west pharmaceutical services fidye yazılımı saldırısına uğradı

arkadaşlar, ilaç ve tıbbi cihaz sektöründe faaliyet gösteren west pharmaceutical services’a ciddi bir fidye yazılımı (ransomware) saldırısı yapılmış. şirket global çapta sistemlerini kapatmak zorunda kalmış.

ne olmuş peki

saldırganlar önce şirketin ağına sızmış, verileri dışarı sızdırmış (data exfiltration denen olay), sonra da sistemlere fidye yazılımı bulaştırıp dosyaları şifrelemiş. klasik çift haraç taktiği yani - hem verilerinizi çaldık, hem de dosyalarınızı kilitledik diyorlar.

şirket saldırı sonrası global çapta sistemlerini offline almış. bu da demek oluyor ki üretim, lojistik, sipariş sistemleri falan hepsi durmuş olabilir. tıbbi cihaz ve ilaç sektörü olduğu için bu durum oldukça kritik.

saldırının etkileri

şu ana kadar bilinen detaylar:

• ✅ veri sızıntısı gerçekleşmiş (exfiltration)
• ✅ dosyalar şifrelenmiş (encryption)
• ✅ global sistemler kapatılmış
• ❓ hangi fidye yazılımı grubu olduğu henüz açıklanmamış
• ❓ ne kadar veri çalındığı bilinmiyor
• ❓ fidye miktarı açıklanmamış

spoiler: tıbbi cihaz ve ilaç sektörü olduğu için bu saldırı sadece şirketi değil, potansiyel olarak hastaları da etkileyebilir. tedarik zinciri aksayabilir.

saldırganlar nasıl girmiş olabilir

henüz resmi bir açıklama yok ama genelde bu tür saldırılar şöyle gerçekleşiyor:

1. phishing: çalışanlara gönderilen sahte maillerle
2. güvenlik açıkları: yamalanmamış sistemlerdeki zafiyetler
3. zayıf kimlik doğrulama: çok faktörlü doğrulama olmayan sistemler
4. vpn/rdp açıkları: uzaktan erişim noktalarındaki gedikler

sistem yöneticileri ne yapmalı

agalar, bu olay size de ders olsun. yapmanız gerekenler:

1. yedek stratejinizi gözden geçirin

# yedeklerinizi test edin
# offline yedek mutlaka olsun (3-2-1 kuralı)
# yedekten dönüş testleri yapın

# örnek yedek kontrolü
rsync -avz --dry-run /backup/location/ /restore/test/

2. ağ segmentasyonu yapın

# kritik sistemleri izole edin
# vlan'lar oluşturun
# firewall kurallarını sıkılaştırın

# örnek firewall kuralı kontrolü
iptables -L -n -v
ufw status verbose

3. endpoint detection kurun

• EDR/XDR çözümleri kullanın
• antivirüs yetmez artık, davranış analizi lazım
• suspicious activity’leri loglamayın sadece, alarm verin

4. erişim kontrollerini sıkılaştırın

# mfa'yı her yerde aktif edin
# privileged access management (pam) kullanın
# least privilege prensibini uygulayın

# ssh için mfa örneği
# /etc/ssh/sshd_config
ChallengeResponseAuthentication yes
AuthenticationMethods publickey,keyboard-interactive

5. incident response planı hazırlayın

• saldırı anında ne yapacağınızı bilin
• iletişim ağacını belirleyin
• yedek sistemleri hazır tutun
• forensic analiz için logları saklayın

fidye yazılımı saldırısında yapılması gerekenler

eğer siz de böyle bir durumla karşılaşırsanız:

hemen yapın:

• ✅ etkilenen sistemleri ağdan izole edin
• ✅ incident response ekibini toplayın
• ✅ yedeklerinizi kontrol edin (erişilebilir mi, şifreli mi değil mi)
• ✅ yetkililere bildirin (kvkk, siber olaylara müdahale ekibi)
• ✅ forensic kanıtları koruyun

sakın yapmayın:

• ❌ hemen sistemi kapatıp açmayın (ram’deki kanıtlar gider)
• ❌ fidye ödemeyin (ödemek çözüm değil, sizi hedef gösterir)
• ❌ yedekten dönmeden önce saldırganı sistemden atmayın (tekrar girerler)

sektörel etkiler

west pharmaceutical services’ın durması demek:

• ilaç şirketlerine malzeme tedarikinde aksama
• hastanelere tıbbi cihaz sevkiyatında gecikme
• üretim hatlarında duruş
• finansal kayıplar (hem şirket hem müşteriler)

edit: bu tür saldırılar son dönemde özellikle healthcare ve pharmaceutical sektörünü hedef alıyor. veriler değerli, sistemler kritik, fidye ödeme olasılığı yüksek diye düşünüyorlar.

öneriler

arkadaşlar, özellikle kritik altyapı ve healthcare sektöründeyseniz:

1. yedek, yedek, yedek: offline yedekleriniz olsun
2. segmentasyon: her şey birbirine bağlı olmasın
3. monitoring: anormal aktiviteleri hemen tespit edin
4. eğitim: çalışanlarınıza güvenlik eğitimi verin
5. incident response: plan hazır olsun, tatbikat yapın
6. threat intelligence: hangi gruplar sektörünüzü hedefliyor takip edin

kaynaklar

• SecurityWeek - West Pharmaceutical Services Hit by Disruptive Ransomware Attack
• CISA - Ransomware Guide
• NIST - Cybersecurity Framework

not: bu olay henüz gelişiyor, daha fazla detay açıklandıkça güncelleyeceğim.

son not: sistem yöneticisi olarak en kötü kabusunuz böyle bir saldırıdır. önleminizi şimdiden alın, “bize olmaz” demeyin. istatistikler sizin lehinize değil.

şimdi gidin yedeklerinizi kontrol edin, firewall kurallarınıza bakın, mfa’yı aktif edin. sonra ağlamayın.

Bu içerik yapay zeka tarafından oluşturulmuştur.