Mayıs ayında gerçekleşen tarihin en büyük ransomware (fidye zararlı yazılımı) saldırılarından biri olan WannaCry ardından bir tehdit daha ortaya çıktı. Daha önce siber ortamda “Petya” olarak dolaşan ve varlığı bilinen bir zararlı yazılım, evrim geçirerek çok daha zararlı bir hale dönüştü.

WannaCry zararlısının kullandığı aynı SMB açığını (MS17-010) kullanarak ve e-posta ekleri üzerinden bulaşarak yayılan Petya, aynı şekilde tüm dosyalarınızı şifreleyerek fidye talep ediyor. WannaCry saldırısına ek olarak ağ ve bilgisayar üzerinde kullanıcı bilgileri toplayarak ağ üzerinde yayılmaya çalışıyor. Bilgilerinizi geri almanız için ise 300 dolar civarında bir para talep ediyor.

Akıllardaki soru ise saldırının gerçek amacı. Petya’nın bulaştığı cihazların sahipleri ödemeyi yapmış olsa bile, deşifre anahtarının iletilmediği görüldü. Fidye mesajında belirtilen e-posta adresinin kapatıldığı ve ilgili bitcoin adresine toplamda 10,000 dolar gibi bu tip saldırı için ufak bir rakam aktarıldığı tespit edildi. Saldırının %60 ının Ukrayna daki enerji santrallerini, metro istasyonlarını ve kamu kuruluşlarını hedef aldığı da düşünülürse, saldırının gerçek amacının para değil ülkesel çıkarlar olduğu tahmin ediliyor.

Sebebi ne olursa olsun, bu tip saldırılardan etkilenmemek için güncel, hızlı ve dinamik bir ekibin ve bakış açısının olması şart. Bu şekildeki saldırıların her geçen gün artması ve saldırganların açık açık maddi gelir elde ediyor olması, ilerde çok daha fazla ve orijinal saldırılarla karşılaşacağımızın işaretidir. Unutulmaması gerekir ki günümüz dünyasında bir kuruluşun verisi yoksa, o kuruluşun kendisi de yoktur.

• Sık frekans ile yedekler alınmalı ve güvenli ortamlarda saklanmalıdır.
• Tüm dijital varlıklar her zaman güncel tutulmalıdır.
• Kullanıcıların bilgi güvenliği farkındalığı her daim üst seviyede tutulmalıdır.
• Kurum ağlarınız, sistemleriniz ve kayıtlarınız sürekli monitör edilmeli ve müdahele planları hazırlanmalıdır.
• Ağ mimariniz kontrol edilmeli, çalışan tüm servislerin listeleri ve riskleri belirlenmelidir.
   

• Tüm Windows envantere MS17-010 güncellenmesi geçilmelidir.
• Kurum içerisinde kullanılan Microsoft Office ürünleri CVE-2017-0199 kodlu yayınlanmış zafiyete karşı güncellenmelidir.
• Bilgisayar açılış ekranında ilerleyen bir yükleme ve BİLGİSAYARINIZI KAPATMAYIN benzeri bir ifade görülürse, cihaz anında kapatılmalı ve açılmamalıdır. Bu aslında CHKDSK ekranı taklidi yapan şifreleme operasyonudur.

Tüm kurum çalışanlarının bilgi güvenliği farkındalığı seviyesi her zaman üst seviyede tutulmalıdır. Her zaman tekrar tekrar söylendiği gibi, siber saldırılarda öncelikli hedef en zayıf halka olan insandır.