12 Mayıs Cuma günü, güvenlik araştırmacılarının yeni bir çevrimiçi tehdit hakkında yayınladıkları raporlar ortaya çıkmaya başladı. BT güvenliği endüstrisi insanları için, bu durum sadece başka bir ransomware enfeksiyonu gibi göründü. Fakat 24 saatten kısa bir sürede manşetlere yerleşen bu zararlı yazılım, dünya çapında yüzbinlerce bilgisayara bulaşarak sağlık hizmeti veren tesisleri, telekomünikasyon sağlayıcılarını ve şirketleri devre dışı bıraktı.
Seviyesini yükselten bir siber saldırı
Şimdi meşhur olan WanaCrypt0r 2.0'ın (WannaCrypt ya da WannaCry olarak biliniyor) ilk versiyonlarının Eternal Blue adlı bir güvenlik açığını kullanarak bilgisayarlara yayıldığı, güvenlik şirketleri tarafından Şubat'ta farkedildi. Bu bir Windows SMB (Server Message Block(Sunucu Mesaj Engelleyicisi)) açığı, ve bu açığı kullanan hacker'lar bilgisayarlara uzaktan bağlantı erişimi sağlayabiliyor ve zararlı yazılımı kurabiliyor, ve bu yazılım da bilgisayardaki tüm dosyaları şifreleyerek, şifreyi kaldırmak için 300 dolarlık bir fidye istiyor. Daha kötüsü, tek bir bilgisayara bulaşan bu sanal haşere yerel ağda otomatik olarak yayılıyor ve ağdaki diğer güncellenmemiş Windows tabanlı bilgisayarları tespit edip kendini onlara enjekte ediyor.
Bu sorun daha önce bilindiğinden, 14 Mart'ta Microsoft tarafından üzerine değinildi ve yamalandı. Windows Güncellemeleri açık olan ya da WSUS ve GFI LanGuard gibi programlar ile rutin bir şekilde bilgisayarlarını güncelleyen çoğu kullanıcı, bu açığa karşı güvenlik önlemini daha önceden almış oldular. Ne yazık ki, bir o kadar da çok kişi bu önlemi almadı.
3,2,1... Küresel Zararlı Yazılım İstilası Başlasın!
İki gün sonra, enfekte olmuş bilgisayarların sayısı 250,000'i geçmişti, ve enfeksiyonun interaktif haritaları gösteriyordu ki dünyada neredeyse hiçbir ülke kayırılmamıştı. Ameliyatları ve rutin sağlık check-up'larını iptal etmek zorunda kalan İngiltere'nin NHS'i (Ulusal Sağlık Servisi), Almanya'daki Deutsche Bahn'ın bazı tren istasyonlarındaki varış-kalkış duyuru sistemleri ve bilet makineleri gibi bir çok büyük altyapı sistemi kısmen etkilenmişti.
Fransa, Slovenya, Romanya, Hindistan ve Birleşik Krallık'ta üretimini durdurmak zorunda kalan Renault-Nissan gibi büyük üreticiler, bir çok ülkedeki üretimin simültane olarak etkilendiğini duyurdular. Resmi açıklamalar Rusya'daki kritik altyapının tehlike altında olmadığı yönünde olsa da, bağımsız raporlar gösteriyor ki Megafon adlı büyük mobil operatörü ve İçişleri Bakanlığı WannaCry tarafından etkilenmiş durumda ve Windows tabanlı altyapı üzerinde büyük çaplı hizmet kesintileri yaşandı.
Esas hedefin, Nisan 2014'te desteği kesilen Windows XP gibi, bu durum için yama çıkartılmamış eski sistemler olduğu görülüyor. Enfeksiyonun muazzam çapından dolayı, Microsoft bir istisna ile bu hafta sonunda bir yama oluşturarak, WannaCrypt ransomware hakkında müşteri rehberi'nin bir parçası olarak yayınladı.
Nasıl Korunmalı? Bulaştığında ne yapmalı?
İlk yapmanız gereken şey Eternal Blue güvenlik açığını en hızlı şekilde yamamak. Bunun için de Microsoft Security Bulletin MS17-010 adresindeki uygun sürümü indirip elinizdeki tüm bilgisayarlara - evdeki masaüstü bilgisayarlar, ofis workstation'ları ya da dizüstü bilgisayarlar, ya da işletim sistemi olarak Microsoft Windows kullanan herhangi bir cihaza (özellikle eski olup XP, Vista ya da Server 2003 kullananlar) kurmanız. Bu çözüm bu ransomware'in altyapınıza kamp kurmasına en başından engel olacaktır. Yamanın haricinde, tek bir bilgisayarı bile etkileyemeden bir tehdidi algılayacak ve yok edecekleri için anti-virüs ve anti-malware araçlarınızın çalışabilir ve güncel olduğundan emin olmanız gerekmekte.
Merkezi yama yönetimi ve uç nokta anti-virüs korumasını bir araya getiren özelleştirilmiş bir yazılım kullanmak bu görevi çok daha kolay ve hızlı bir hale getirecektir. Bu ürünlere örnek olarak GFI OneGuard'ı önerebiliriz, ama bu WannaCry salgınını önlemek acil bir durum olduğundan, her bilgisayarda el ile güncelleme yapmak bile bu konuyu ihmal etmekten daha iyidir. Hızlı davranmak isterseniz, tüm özellikleriyle çalışan GFI OneGuard'ın 30 günlük deneme sürümünü şimdi indirerek ağınızdaki tüm Windows bilgisayarları güncelleyerek koruyabilirsiniz.
Bu kadar şanslı değilseniz, ve WannaCry yerel ağınıza halihazırda yerleşmiş ise, yayılmasını yavaşlatarak hasarı en aza indirmek için yollar bulunmakta. SMB açığını kullanan port'ları engelleyen gelişmiş güvenlik duvarı kuralları kullanmak enfeksiyonun yayılmasını yavaşlatmanızı mümkün kılarak, koruma altında olmayan sistemleri yamamak için size zaman tanıyacaktır. Bu işlem, yerel ağları tehlikeli dosyaların etrafa yayılmasını engelleyerek koruyan otomatik kurallara sahip Kerio Control ya da GFI WebMonitor gibi özelleştirilmiş ağ takip ve koruma yazılımları kullanarak büyük ölçüde hızlandırılabilir.
Tabii ki, durumdan habersiz kullanıcılar, bilinmeyen adreslerden gelen ve WannaCry enfeksiyonlu dosyaları içeren e-posta eklentilerini açmasaydı bunların hiçbiri olmazdı. Diğer ransomware enfeksiyonları gibi, birincil taşıyıcı e-postadır – en genelinde, finans ya da diğer departmanlardaki çalışanlar, "acil" başlıklı Word ya da PDF dökümanlarının bulunduğu eklentileri açarak enfeksiyonun yerel ağlarına yayılmasını sağlar. GFI MailEssentials ya da Kerio Connect gibi anti-spam ve anti-virüs motorlarına sahip iyi bir e-posta koruma ve yönetim çözümü, bu enfekte dosyaların daha çalışanların hesaplarına bile ulaşamadan yok edileceğini garanti edecektir.
Sonuç olarak
Her ne kadar bu tehdit önemli ölçüde azaltılmış olsa da, WannaCry ransomware enfeksiyonu ileride, daha farklı bir şekilde, daha acımasız ve daha hızlı olarak tekrar karşımıza çıkabilir. Bu yüzden, dünya çevresindeki şirketler sistemlerini ransomware ve daha bir çok tehditten korunan bir hale getirmek için bir sonraki küresel zararlı yazılım salgınını beklememeliler. Kullanıcıları şüpheli eklentileri açmamak, yetkilendirilmemiş uygulamaları kurmamak, ya da güven vermeyen web sitelerini ziyaret etmemek konularında eğitmek de WannaCry ve haleflerinin sistemlerinize bulaşmasını engellemek için önemli bir diğer yoldur. Ama bu başarısız olduğunda, hiçbir zaman kullanıcılara en başından bu imkanları tanımayan yukarıda listelenmiş araçlara sahip olduğunuzu unutmayın.
RSS Beslemesi