sparta@sparta.com.tr | 0 312 909 33 02FİDYE YAZILIMI (RANSOMWARE)
NASIL BULAŞIR?
Fidye yazılımı nasıl bulaşır sorusunun cevabını bilmek, bu zararlı yazılım ve saldırılardan korunmak için önemli bir adım olacaktır.
MALSPAM
Fidye yazılımının cihazınıza bulaşmasının birden fazla yolu vardır. En bilinen yöntem ise içerisinde zararlı yazılım barındıran (ekinde ya da metin içinde) e-postalardır. Bu yönteme “malspam” adı verilir.
Malspam içerisinde zararlı bağlantılar, oltalama mesajları ve virüslü e-posta ekleri barındırır.
Fidye yazılımları, casusluk yazılımları ve tuş kaydedici (keylogger) yazılımlar da dahil olmak üzere birçok tehlikeli zararlı yazılımı ulaştırmak için Malspam kullanılabilir.
Bu zararlı yazılımların dağıtımı için PDF dosyaları, Word dokümanları gibi ekler kullanıldığı görülmektedir.
Malspam ile sosyal mühendislik kullanılarak kurbanın zararlı yazılım içeren bağlantıya tıklaması ya da dosyayı kendi cihazına indirmesi sağlanır.
Oltalama Saldırısı / Phishing olarak bilinen bu e-postalar fidye yazılımların bulaşmasının en temel kaynağı olarak görülmektedir.
** Oltalama saldırıları ile ilgili sık sık bilgi vermeye çalışıyoruz. Konuyla ilgili daha detaylı bilgi edinmek isterseniz https://sparta.com.tr/makaleler/oltalama-saldirisi-nedir/ linkinde yer alan yazıyı da okuyabilirsiniz.
** “Kötü oyuncuların favorisi: Malspam” başlıklı yazımıza buradan göz atabilirsiniz.
MALVERTISING
Fidye yazılımı nasıl bulaşır sorusuna verilebilecek bir diğer cevap ise malvertisingdir.
Malvertising mailicious ve advertising kelimelerinin birleşiminden oluşmakta ve zararlı yazılım içeren reklam anlamına gelmektedir.
İnternetteki reklamlar aracılığıyla dağıtılan bu zararlı yazılımların bulaşması için çok az kullanıcı etkileşimi yeterlidir, zaman zaman hiç kullanıcı etkileşimi olmadan da bulaşabilir.
Web’de, yasal sitelerde gezinirken dahi kullanıcılar hiçbir reklama tıklamadan saldırgan sunucularına yönlendirilebilir. Bu sunucular, kurban bilgisayarlar ve konumları hakkındaki ayrıntıları toplar ve ardından dağıtıma en uygun zararlı yazılımı seçer. Bu zararlı yazılım ise genellikle fidye zararlı yazılımıdır.
Malvertising genellikle virüslü bir iframe ya da kullanıcı tarafından görülmeyen bir web sayfası öğesi kullanır. Iframe genellikle bir zararlı yazılım barındıran sayfaya yönlenir ve zararlı yazılım kodu bir istismar kiti vasıtasıyla sisteme saldırı gerçekleştirir. Bu işlemler kullanıcının bilgisi ya da herhangi bir etkileşimi olmadan gerçekleştiği için “drive by download” olarak adlandırılır.
GÜVENLİK AÇIKLARI
WannaCry ve NotPetya gibi daha agresif fidye yazılımları ise güvenlik açıklarını istismar ederek bulaşır. Bu saldırılar Windows kullanan makinalardaki zafiyetlerden faydalanarak insan etkileşimi olmaksızın zararlı yazılımın yüklenmesine olanak tanır.
Wannacry’dan sonra karşılaştığımız küresel zararlı yazılım salgını olan NotPetya dünya genelinde dev kuruluşları etkilemiş ve bunun için Microsoft’un MS17-010 güncellemesi ile giderdiği SMB zafiyetinden yararlanmıştı.
RDP OTURUMLARI
İnternete açık Uzak Masaüstü Protokolü (RDP) oturumları, fidye yazılım saldırılarında çok yaygın bir başka yoldur. RDP genel olarak iletişim için 3389 numaralı bağlantı noktasını (port) kullanır ve birçok kuruluş güvenlik duvarları aracılığıyla internet trafiğine izin verir, böylece kullanıcılar gibi saldırganlar da bilgisayara uzaktan erişebilir.
Uzak Masaüstü Protokolü (Remote Desktop Protocol – RDP) oturumları, Windows bilgisayarlarda uzaktan oturum açmak ve kullanıcının o bilgisayarı sanki önünde oturuyormuş gibi kontrol etmesini sağlamak için kullanılır. Siber saldırganlar, açığa çıkan bu sistemlere saldırmak ve bunları bir ağ içinde zararlı yazılım yaymak için kullanmak konusunda giderek daha yetenekli hale gelmiştir.