the gentlemen fidye yazılımı 478 kurban toplamış, solucan gibi yayılıyormuş
arkadaşlar, yeni bir fidye yazılımı çetesi var: “the gentlemen” diyorlar kendilerine. adı kibar ama işleri hiç kibar değil. 478 kurban toplamışlar ve en kötüsü bu yazılım solucan gibi yayılabiliyormuş.
ne olmuş yani
the gentlemen ekibi başlangıçta lockbit, qilin ve medusa gibi ransomware-as-a-service (raas) operasyonlarının affiliate’i olarak çalışmış. yani başkalarının altyapısını kullanarak saldırı yapıyorlarmış. sonra “biz de kendi fidye yazılımımızı yapalım” demişler ve ortaya çıkmışlar.
spoiler: bu arkadaşlar double extortion (çifte haraç) yöntemi kullanıyorlar. yani hem dosyalarınızı şifreliyor, hem de çalıp “para vermezsen sızdırırım” diyorlar. klasik hareket artık.
teknik detaylar
the gentlemen fidye yazılımının en tehlikeli özelliği solucan gibi yayılabilmesi. yani bir sisteme girdikten sonra ağdaki diğer sistemlere kendini otomatik olarak bulaştırabiliyor. bu tür yeteneklere sahip fidye yazılımları çok daha hızlı yayılıyor ve daha fazla hasar veriyor.
çete şu raas operasyonlarıyla çalışmış:
- lockbit (tenacious mantis olarak da biliniyor)
- qilin (pestilent mantis)
- medusa (venomous mantis)
şimdi kendi operasyonlarını yürütüyorlar ve bayağı başarılı olmuşlar: 478 kurban demek az değil.
etkilenen sektörler
the gentlemen seçici davranmıyor, her sektörden kuruma saldırıyor:
| Sektör | Durum |
|---|---|
| Sağlık | ✅ Hedefte |
| Finans | ✅ Hedefte |
| Eğitim | ✅ Hedefte |
| Üretim | ✅ Hedefte |
| Kamu | ✅ Hedefte |
yani “benim sektörüm güvende” diye bir şey yok.
kendinizi nasıl korursunuz
agalar, fidye yazılımlarına karşı en iyi savunma önlem almaktır. şunları mutlaka yapın:
1. yedek stratejisi (3-2-1 kuralı)
# 3 kopya: orijinal + 2 yedek
# 2 farklı ortam: disk + bulut
# 1 offline kopya: ağdan tamamen izole
# örnek yedek scripti (linux)
rsync -avz --delete /kritik/veriler/ /yedek/disk/
# offline yedeği haftada bir manuel alın, sonra diski çıkarın
2. ağ segmentasyonu
# kritik sistemleri izole edin
# vlan'lar oluşturun
# lateral movement'ı engelleyin
# örnek firewall kuralı
iptables -A FORWARD -s 10.0.1.0/24 -d 10.0.2.0/24 -j DROP
3. güvenlik yamaları
her zaman söylüyoruz ama: yamaları güncel tutun. fidye yazılımları genelde bilinen açıklardan giriyor.
# linux sistemler için
apt update && apt upgrade -y
# windows sistemler için
# windows update'i düzenli çalıştırın
# patch tuesday'i takip edin
4. endpoint protection
# iyi bir antivirüs/edr çözümü kullanın
# davranış bazlı koruma önemli
# ransomware'e özel koruma modüllerini aktif edin
5. email güvenliği
çoğu fidye yazılımı phishing emaillerle geliyor:
- spam filtrelerini sıkı tutun
- makro içeren office dosyalarını engelleyin
- şüpheli ekleri sandbox’ta açın
- kullanıcı eğitimi verin (ciddi ciddi işe yarıyor)
6. rce açıklarını kapatın
the gentlemen gibi solucan özelliğine sahip fidye yazılımları genelde rce (uzaktan kod çalıştırma) açıklarından yayılıyor:
# gereksiz servisleri kapatın
systemctl disable <gereksiz-servis>
# güvenlik duvarını sıkı tutun
# sadece gerekli portları açın
ufw default deny incoming
ufw allow 22/tcp # sadece gerekenleri
ufw enable
7. privileged access management
# admin haklarını sınırlayın
# least privilege prensibini uygulayın
# just-in-time access kullanın
# örnek: sudo yetkilerini sınırlama
# /etc/sudoers dosyasında:
kullanici ALL=(ALL) /usr/bin/apt, /usr/bin/systemctl
solucan özelliğine karşı önlemler
the gentlemen’ın en tehlikeli özelliği solucan gibi yayılması. bunu engellemek için:
1. smb güvenliği
# smb v1'i devre dışı bırakın (mutlaka!)
# linux:
echo "min protocol = SMB2" >> /etc/samba/smb.conf
# windows:
# powershell'de:
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
2. rdp güvenliği
# rdp'yi sadece vpn üzerinden açın
# güçlü parola + mfa kullanın
# network level authentication (nla) aktif olsun
# rdp portunu değiştirin (security by obscurity değil ama yardımcı olur)
# registry'de: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
3. lateral movement engelleme
# pass-the-hash saldırılarını engelleyin
# credential guard kullanın (windows)
# lsass korumasını aktif edin
# windows defender credential guard:
# group policy > computer config > admin templates > system > device guard
incident response planı
önemli: fidye yazılımı saldırısına uğrarsanız ne yapacağınızı önceden planlamalısınız:
- izole edin: etkilenen sistemleri hemen ağdan ayırın
- analiz edin: hangi fidye yazılımı olduğunu belirleyin
- rapor edin: yetkililere bildirin (siber olaylar müdahale ekibi, btk vb.)
- fidye ödemeyin: mümkünse ödemeyin, ödeme garantiye almıyor
- restore edin: yedeklerden dönün (onun için yedek alıyoruz zaten)
# etkilenen sistemi izole etme
# ağ kablosunu çekin veya:
ifconfig eth0 down
# forensic analiz için disk imajı alın
dd if=/dev/sda of=/external/disk-image.dd bs=4M status=progress
the gentlemen’a özel notlar
bu çete double extortion kullanıyor, yani:
- dosyalarınızı şifreliyor
- şifrelemeden önce çalıyor
- “para vermezsen sızdırırım” diyor
edit: bazı fidye yazılımı çeteleri çalınan verileri darkweb’de satıyor veya sızdırıyor. the gentlemen’ın da böyle yaptığı biliniyor.
kaynaklar
- The Hacker News - Orijinal Haber
- CISA Ransomware Rehberi
- No More Ransom Project - bazı fidye yazılımları için ücretsiz decrypt araçları var
sonuç
arkadaşlar, the gentlemen yeni bir tehdit ama yöntemleri klasik. iyi bir yedekleme stratejiniz varsa, sistemleriniz yamalıysa ve ağ segmentasyonunuzu doğru yaptıysanız bu tip saldırılardan kurtulma şansınız yüksek.
unutmayın: fidye yazılımlarına karşı en iyi savunma proaktif olmaktır. saldırı olduktan sonra “keşke yedek alsaydık” demeyin.
şimdi gidin yedeklerinizi kontrol edin, yamaları güncelleyin ve ağ segmentasyonunuzu gözden geçirin. sonra gelip “saldırıya uğradık ne yapalım” diye sormayın.
bkz: ransomware koruması, double extortion, raas operasyonları
Bu içerik yapay zeka tarafından oluşturulmuştur.