(Kaynak : FOXBusiness | Orjinal Makale | Yazan : Donna Fuscaldo | Çeviri : Selçuk Sadak)

Herhangi bir günde küçük işletme sahipleri özellikle dikkatli değillerse bir bilgisayar virüsü tarafından saldırıya uğrayabilir. Popülerlik kazanan kötü özellikli bir virüs verilerinizi işe yaramaz hale getirecektir. Cryptolocker olarak bilinen virüs bilgisayarınızın sabit diskinde bulunan bütün verileri şifreler ve bunun genellikle 300$ civarında bir ücret karşılığında fidye için tutar.

Immunity güvenlik şirketi CEO’su Dave Aitel; “Crypto locker kısmen daha fazla önem kazanmakta. Çünkü daha başarılılar ve bunun üzerinden nihayet gerçek para kazanıyorlar” demektedir.

Crypto locker şu şekilde çalışmaktadır; Bir masum bilgisayar kullanıcısı kendi bankası, arkadaşları ya da Facebook veya diğer sahte gönderi sağlayıcısı üzerinden bir web sitesine ait açılır pencereye tıklamasını isteyen bir e-posta alacaktır. Kişi bunun yasal olduğunu düşünür, linke tıklar ve farkında olmadan virüs verileri şifreleyeceği bilgisayar üzerine yüklenir. Kişiye tüm verilerin şifresini çözen anahtar karşılığında ödeme yapması için belirli bir süre verilir, örneğin 72 saat. Kabul edilmezse sabit diskte bulunan bütün veriler sonsuza kadar yok olacaktır.

Suçlular hem ödemeyi almak hem de yakalanmamak istediklerinden fidyeyi temin etmek için izlenemez finansal araçları kullanırlar. Bu işlem için sanal para birimi Bitcoin ve Visa ya da Master Card ön ödemeli MoneyPark gibi popüler yöntemler vardır. Crypto locker’ın arkasında kim olduğu kesin olarak bilinmezken; her ölçekteki şirketler ve tüketicilerin suçlulara parayı ödemeye hazır oldukları kesin.

Aitel, “Küçük işletmeler BT’de kötü olduklarından ödeme yapmak zorundadırlar. Bir yedekleme programları yok. Veri sadece bu tek yerde bulunuyor. Sahip oldukları tek kopya bu” diyor.

Crypto locker kötü bir virüs olmasına rağmen, başka bir kurbanı olmaktan korunmak için kolay adımlar mevcut. Güvenlik uzmanları en önemli savunmanın, veri yediğinin alınmasını ve bunun sık sık yapılması olduğunu söylemektir. Casaba güvenlik şirketi kurucularından Jason Glassberg’e göre, küçük işletmeler düzenli olarak kendi verilerini haftalık olarak yedeklemeli ve günlük değişiklikleri kopyalamalıdır. İşletme sahibi de bu yedeklenmiş verilerin kopyasına sahip olmalı, Crypto locker tarafından saldırıya uğrama ya da sabit disklerinin bozulması durumunda var olan yedekler sayesinde bir kaç dakika içinde çalışabilir hale gelebilirler.

Düzenli olarak zamanlanmış yedekleme işlemine sahip olmanın yanı sıra, Glassberg insanların hangi web sitesini gezdiğine ve hangi e-postayı açtığına dair daha dikkatli olmaları gerektiğini söylemektedir.

Güvenlik uzmanlarına göre diğer seçenekler, küçük işletmeler aramaları için Internet Explorer kullanımından vazgeçmeleri ya da kendi verilerini barındırmak için bulut tabanlı hizmetlere yönelmeleri. Aitel, bulut tabanlı servislerin daha cazip olabileceğini çünkü hiçbir verinin sabit diskte yer almayacağını söylüyor. Aitel “Bulut bilişimin günü kurtardığı nokta burasıdır” diyor.

Birçok bulut tabanlı hizmetle küçük işletme sahiplerinin bir sürücüyü eşleştirebileceğini ya da hizmet için bir sürücü harfi atayabileceğini aklınızda bulundurun. Sürücü eşleştirildiğinde, içinde bulunan veriler de virüs tarafından şifrelenip fidye ödenene kadar kilitlenebilir.

Glassberg, “Eğer eşleştirilmiş bir ağa bağlı iseniz bu ağ sürücüleri de şifrelenecektir. Aynı şekilde bilgisayara takılı unutulan bir USB sürücüsü de şifrelenecektir” diyor.

Glassberg, “Sürücü eşleştirmeden kaçının, düzenli yedekleme ve tıklama bakımından güvende olun” diyor.

 

(Kaynak : Security Affairs | Orjinal Makale | Yazan : Pierluigi Paganini  | Çeviri : Bilge Kaya )

Petrol ve gaz şirketleri önemli ölçüde siber atakların hedefi durumundalar. Her geçen gün siber suçlular, devlet destekli saldırganlar ve hacktivisitler enerji sektörünün alt yapı güvenliğini tehdit etmekte.

Dünya çapında petrol ve gaz şirketlerine yapılan siber casusuluk ve sabotaj saldırılarının sayısı düzenli olarak artmakta. Fikri mülkiyet hırsızlığı ve zararlı yazılımların sebep olduğu zararlar ile birlikte maddi kayıplar da büyümekte.

Körfez İşbirliği Konseyi (GCC) üyesi petrol ve gaz şirketleri, kritik üretim süreçlerinin kontrolünde teknolojinin kullanımının yüksek seviyede olması nedeniyle siber ataklar karşısında çok savunmasız olduğu düşünülüyor.

Enerji sektöründe meydana gelmiş en bilindik zararlı yazılım olaylarından biri, petrol üreticisi Saudi Aramco’nun ağındaki yaklaşık 30.000 bilgisayara bulaşmış bir vürüs olan Shamoon isimli zararlı yazılım kaynaklıdır.

energy-industry

Güvenlik uzmanları, Shamoon zararlı yazılımının, İranlı siber birimler tarafından enerji sektörüne darbe vurmak için tasarlanmış bir siber silah olduğuna inanmaktadır.

Saudi Aramco, siber saldırı sonucu darbe almış olan tek enerji şirketi değildir. Katar RasGas da hackerlar tarafından saldırıya uğramıştır.

 

Bugünlerde Booz Allen Hamilton’da başkan yardımcısı olan, Birleşik Devletler eski milli istihbarat yöneticisi (Director of National Intelligence – DNI) McConnell şu açıklamayı yapmıştır:

“Büyük olasılıkla her büyük bilgisayar sistemi kendi içerisinde rakiplerce yerleştirilmiş bir zararlı yazılım barındırır.” “Dünyadaki petrol üretiminin büyük bir kısmı bu bölgede yapılmaktadır ve teknolojilerin amacı bu üretimi daha verimli hale getirmektir.” “Otomasyon seviyesini ve bilgi teknolojilerinin kullanımını arttırmak, sadece güvenlik zafiyetlerini arttırmaktadır.” “Dünyada 180’den fazla ulus var, bunların 150 ila 160 tanesinde zafiyetleri istismar kabiliyeti mevcut.” “Ulus devletler, tehdit düzeylerini anlamak için birbirlerinin açıklarını istismar ediyorlar. Çoğu kendi etki alanlarına ve etraflarındaki ülkelere bakıyorlar. Pakistanlılar, en çok Hintlilere ve Afganlılara saldırmakla ve onların zafiyetlerini istismar etmekle ilgileniyor.”

 

Kaspersky araştırmacıları, Temmuz ve Eylül ayları arasında Birleşik Arap Emirlikleri’ndeki kullanıcıların %26.4 ünü etkileyen 1.2 milyon adet internet kaynaklı zararlı yazılım olayı tespit etmiştir.

Enerji altyaplarını korumak ortak bir problem. Bir nükleer santrale ya da rafineriye hasar verildiğini düşünelim, siber saldırıların çevre üzerinde ciddi etkileri olabilir.

Temmuz ayında US ICS-CERT, özellikle enerji sektöründe yer alan kontrol sistemlerini hedefleyen saldırılarda büyük bir artış olduğunu ortaya koyan bir rapor yayınladı.  CERT tarafından toplanan verilerde, saldırıların %53 (111)’ünün enerji sektörünü hedef aldığı ve genellikle kontrol sistemlerini vurduğu görülmektedir. Rapora göre, saldırganlar saldırıları gerçekleştirirken “watering hole” (sızdırma), SQL enjeksiyonu, “spear phishing” (nokta hedefli oltalama) gibi çok çeşitli teknikleri saldırılarına dahil etmişler.

ICS-CERT-Monitor-Report-Energy-sector

Anonymous bir ay önce, Batı’nın dünya kaynaklarına hakimiyetini protesto eden OpPetrol adını verdiği bir kampanya yürüttü. Hactivistler enerji sektörünü hedef aldılar ve petrol piyasasında para birimi olarak Amerikan dolarının kabul görmesini protesto ettiler, fakat saldırıların ciddi sonuçları olmadı.

Enerji sektörüne yönelik siber saldırıların bir çoğu fark edilemeyebilir. Bir çok olayda saldırganlar ilerideki saldırıları için uzun bir süre boyunca sadece kurbanlarını gözetleyerek değerli bilgiler toplayabilir. Enerji sektörünün ağlarına sızan zararlı yazılımlar fark edilmemek üzere tasarlanmıştır. Örneklerin bir çoğunda hedefin Orta Doğu’da faaliyet gösteren firmaların fikri mülkiyet haklarının çalınması ve bilgilerinin istismar edilmesi olduğu görülmektedir.

Çinli hackerlar, özellikle siber casusuluk profilinde, enerji sektörünün karşı karşıya olduğu en ısrarlı ve tehlikeli tehdit.

Kaspersky tarafından hazırlanan rapora göre hedefli saldırılar bir firmayı 2.4 milyon dolara varan zararlara uğratabilmekte. Bu korkutucu seneryoya rağmen şirketler hala güvenlik önlemlerini azaltılması gereken bir maliyet olarak düşünmekteler. Conell, bir firmanın IT bütçesinin en az  %5 ila %10’unu siber güvenlik önlemlerine ayırması gerektiğini belirtmiştir.

“Yerel tehditler – genellikle zararlı yazılımın USB, CD ve DVD’ler aracılığyla yayılmasını sağlayan çevrimdışı metodlar – Birleşik Arap Emirliklerindeki bilgisayarların %40’tan fazlasını etkilemiş, 17.4 milyon zararlı yazılım olayına neden olmuştur.”

 

Rusya, ABD ve İngiltere dünyadaki en güçlü siber sistemlere sahip ülkeler fakat bu ülkelerin hükümetleri siber saldırılara ilişkin risklerin ve enerji sektörünün kritik altyapılarına daha çok yatırım yaparak korunması gerektiğinin farkındalar.

Hızlı analiz çalışmalarında kullanmak için bir araca ihtiyacımız vardı. Ekip arkadaşlarımız Yasin Sürer ve Yakup Kutluk hızlı bir analizde kullanılmak için bir araç geliştirmek üzere "boosted camp" yaptılar ve bir kaç saat içerisinde kullanışlı bir uygulama ortaya çıktı. Bir kaç bugfix ve iyileştirmeyle beraber yaklaşık bir günümüzü aldı. Umarım sizler için de faydalı olur.

VT Inspector bellekte o an çalışan süreçlerin bir listesini alır ve VirusTotal veritabanından sorgulayarak şüpheli süreçleri bildirir.

VT Inspector gets the list of the processes in memory and queries them in VirusTotal database, notifies suspicious ones.

VT InspectorDownload : VT Inspector