Bilgisayar Korsanlarının, Şirketleri Hackleyerek Fidye İstedikleri Yöntemler
siber güvenliğin önemini kavramamış firmaların başını bir hayli ağrıtan, ciddi paralar ödemek zorunda bırakan bilgisayar korsanlığı. bu şahıslar, özellikle şirketleri hedef alıyorlar ve fidyelerini kripto para olarak istiyorlar.
bu tür saldırıların genel mantığı şöyle
1. siber korsanlar internette ava çıkarken öncelikle ıp adreslerini arama tarama yapıyorlar. uzak masaüstü portu açık mı, paylaşımda olan bölüm ya da klasör var mı sıra ile kontrol ediyorlar.
2. ikinci sırada gelen saldırı yönteminde ise e-posta oltalama saldırısı düzenleyerek başta fatura olmak üzere hedefledikleri şirket ve kurum çalışanlarının açarak görüntüleyeceği çeşitli casus yazılımları gönderiyorlar ve kurbanın açmasını bekliyorlar.
3. hedefledikleri sisteme girdikten sonra yaptıkları ilk iş ise sisteme takılı halde bulunan usb aygıtlarını, veri depolama aygıtlarını tespit etmek oluyor. bunun için girdikleri sistemde "usbdview.exe" isimli kurulumsuz yazılımı çalıştırıyorlar.
4. ikinci iş olarak sistem üzerindeki depolama alanlarını araştırıp, paylaşımda olan ve sisteme ekli halde yer alan yedekleme sistemlerini tespit etmek. bunun için basit ve kurulumsuz bir "port scanner" kullanıyorlar.
5. sistemdeki şirket ve kuruma ait başta muhasebe, edefter, sgk vb ne kadar değerli dosya var ise bir klasöre toplayıp, topladıkları klasörü winrar yazılımı ile en az 25 haneli parola olacak şekilde rar uzantılı olarak sıkıştırıyorlar.
6. sıkıştırma işlemini başarı ile tamamladıktan sonra sıkıştırılmış winrar dosyasını kontrol edip, sıkıştırılan klasörü "eraser" ve "ccleaner" isimli yazılımlarla üzerine veri yazacak ve kurtarılamayacak şekilde siliyorlar.
7. yine aynı yazılımları kullanarak sistemde genel bir temizlik yapıyor, logları siliyorlar. son olarak fidye istemek amacıyla masaüstüne ya da diskin birincil bölümüne txt dosyası içerisinde bir mesaj ve iletişim bilgisi bırakıp sistemden çıkıyorlar.
yukarıdaki adımlardan yola çıkıldığında, aslında bu tür siber saldırılara karşı tedbir almanın yollarının çok basit olduğu görülüyor
1. uzak masaüstü portu (remote desktop connection) kapalı tutmak.
2. güvenilir kaynaklardan gelmemiş, doğrulanamayan maillerdeki ekleri ya da linkleri açmamak.
ekleme: uzak masaüstü (remote desktop) yazılımı ve uygulaması (teamviewer, solarwinds dameware, chrome remote desktop, remote pc, microsoft remote desktop, tiht vnc vb) kullanan kişi ve kuruluşların şunu unutmamaları gerekiyor: bu uygulamaların pek çoğu arka planda çalışmaya devam ediyor ve sisteminize yetkisiz erişim yapmak isteyenlere davetiye çıkartıyor. bu yüzden bu tür uygulamaları işiniz bitince dosyaları ile birlikte kaldırmanız, sizin yararınıza olacaktır.