Sophos’un 2020 yılına damga vuracak en önemli tehditler arasında gösterdiği Snatch, gelişmiş saldırı teknikleri eşliğinde geri döndü. Üstelik bu kez sadece kurumların işleyişini durdurmakla kalmayıp, saldırı öncesinde bilgi sızmasına neden olarak KVKK ve GDPR kanunları uyarınca büyük cezalarla karşılaşma ihtimalini de gündeme getiriyor.
Sophos, Snatch adı verilen fidye yazılımının değişen saldırı tekniklerini ortaya koyan bir rapor yayınladı. İlk olarak 2018 yılının Aralık ayında tespit edilen Snatch, kazandığı yeni yeteneklerle davranış analizine dayalı fidye yazılımı algılama tekniklerini etkisiz hale getirmek için saldırı sırasında PC’leri güvenli modda yeniden başlamaya zorluyor.
Rapor, Snatch’ın saldırıya başlamadan önce bulaştığı sistemlerden bilgi sızdırdığına da dikkat çekiyor. Bu durum KVKK, GDPR gibi kanunlara uyum sağlaması gereken ve Snatch saldırısına uğradığını düşünen kurumların veri denetim otoritelerini bilgilendirmesini gerektirecek büyüklükte bir sorun ortaya koyuyor. Söz konusu kanunlar, şirketlere korumakla yükümlü olduğu bilgilerin sızdırılması halinde önemli cezalar öngörüyor. Bu yöntem daha önce Bitpaymer gibi gruplar tarafından da kullanılıyordu.
Snatch, Sophos’un yayınladığı 2020 Tehdit Raporunda önümüzdeki yılın öncelikli tehditleri arasında yer alan otomatik aktif saldırıların tehlikeli bir örneğini oluşturuyor. Bu saldırı biçiminde uzaktan erişim protokollerini suistimal ederek sistemlere sızan saldırganlar, sistemler arasında ilerlemek ve olabildiğince fazla sayıda sisteme bulaşmak için klavye başında manuel siber saldırı teknikleri kullanıyor. Raporda Snatch’ın arkasındaki isimlerin, saldırının başarı şansını artırmak için karanlık Web ortamlarında teknik becerisi yüksek siber korsanlarla anlaşma yoluna gittiğine dair bulgular da yer alıyor.
Korunmak İçin Ne Yapmalı?
Snatch ve benzer saldırılardan korunmak isteyen kurumlar için Sophos önerilerini şöyle sıralıyor:
- Tehditlerin tespitinde proaktif davranın. Sistemleri her an gözlem altında tutacak bir güvenlik ekibi bulundurun veya bu işle uğraşan profesyonellerden hizmet alın.
- Uç nokta güvenlik çözümünüzde makine öğrenmesi ve derin öğrenmeye dayalı tehdit algılama, aktif saldırı önleme ve davranışsal analiz yetenekleri olmasına özen gösterin.
- Mümkün olan her durumda internete açık olan uzak erişim hizmetlerini kapatın.
- Uzaktan erişim mutlaka gerekliyse endüstride kendini ispatlamış, çok katmanlı güvenlik, şifre denetimi ve doğruluğu yüksek erişim kontrolüne sahip VPN çözümlerini kullanın.
- İnternete açık ve uzaktan erişimi olan tüm sunucuların güncel ve koruma altında olmasına dikkat edin. Beklenmeyen giriş denemeleri ve olağandışı davranışlara karşı sürekli denetim uygulayın.
- Uzaktan erişim yetkisi olan kullanıcıların ayrıcalıklarını sadece yaptıkları işlerle sınırlı tutun. Ağın geri kalanı üzerinde gereksiz yetkilere sahip olmalarına izin vermeyin.
- Sistem yöneticisiyseniz mutlaka çok katmanlı doğrulama kullanın. Kişisel hesabınızı ve yönetici hesabını birbirinden ayrı tutun.
- Açık IP havuzundaki tüm RDP portlarını aktif olarak denetim altına alın.
