Sağlık sektörüne ve diğer hayati altyapıya yönelik Kuzey Kore sponsorluğundaki fidye yazılımı siber saldırılarının taktikleri en son #StopRansomware uyarısında vurgulanmıştır.
CISA ve diğer federal kurumlara, ABD hükümetinin devam eden #StopRansomware çabasındaki en son siber güvenlik danışmanlığını yayınlamak için Ulusal İstihbarat Servisi (NIS) ve Kore Cumhuriyeti Savunma Güvenlik Ajansı (ROK) katıldı. Bu uyarı, Kore Demokratik Halk Cumhuriyeti’nin (KDHC) ABD sağlık sektörü ve diğer hayati altyapı sektörlerindeki kuruluşlara karşı devlet destekli sürekli fidye yazılımı faaliyetlerini vurgulamaktadır. Ajansların, bu tür operasyonlardan kripto para fidye ödemelerinin DPRK’nın “ulusal düzeydeki önceliklerini ve hedeflerini” desteklediğine inanmak için nedenleri var.
2021’deki Yıllık Tehdit Değerlendirmesi raporunda, “Kuzey Kore’nin siber programı büyüyen bir casusluk, hırsızlık ve saldırı tehdidi oluşturuyor.” “Kuzey Kore, muhtemelen nükleer ve füze programları gibi hükümet önceliklerini finanse etmek için dünya çapındaki finansal kurumlara ve kripto para borsalarına karşı siber hırsızlık gerçekleştirdi ve potansiyel olarak yüz milyonlarca doları çaldı.”
DPRK, hem ABD hem de Güney Kore topraklarındaki kuruluşlara karşı fidye yazılımı saldırıları gerçekleştirme konusunda uzun bir geçmişe sahiptir ve bunlardan bazıları diğer siber suç faaliyetlerini finanse etmek için “ana akım” haline gelmiştir. 2017’de WannaCry’ı, örneğin EternalBlue’ya karşı savunmasız kalan yamalı Windows sistemlerine saldıran türü kim unutabilir? ABD ve Birleşik Krallık, bir ulus devlet gelişmiş kalıcı tehdit (APT) grubu olan Lazarus Grubu aracılığıyla Kuzey Kore’nin WannaCry’ı dünyaya salmaktan sorumlu olduğunu kabul etmişti.
Ayrıca Magnitude istismar kiti (EK) tarafından 2017’nin sonlarında dağıtılan bir tür olan Magniber fidye yazılımı var. Magniber, yalnızca kendisine özgü bir özellik olan Güney Kore’de bulunan sistemleri hedefliyor. Bu, Magniber’ı tek bir ülkede bulunan ilk fidye yazılımı yapar.
Son birkaç yılda, Kuzey Kore’den iki yeni fidye yazılımı türü ortaya çıktı: Maui ve H0lyGh0st.
Maui fidye yazılımı kampanyalarının arkasında olduğuna inanılan APT grubu Andariel (aka Silent Chollima ve Stonefly), Mayıs 2021’den beri Sağlık ve Halk Sağlığı (HPH) Sektörü kuruluşlarına saldırıyor. Hedef ağlara ulaştığında, kayıttan sorumlu sunucuları şifreler. tutma, tanılama, görüntüleme hizmetleri ve diğerleri. Sonuç olarak, Maui saldırısı kurbanları uzun süreler boyunca ciddi kesinti yaşarlar.
H0lyGh0st, diğer mevcut fidye yazılımı çeteleri gibi, çifte gasp taktiklerini destekliyor, bir sızıntı sitesi sağlıyor ve küçük ve orta ölçekli işletmeleri (KOBİ’ler) hedefliyor. Microsoft, H0lyGh0st çetesi PLUTONIUM’un yarattığı araçları kullandığından, başka bir Kuzey Kore APT’si olan PLUTONIUM ile bağları olduğuna inanıyordu. Mali olarak motive olurken, “zengin ve fakir arasındaki uçurumu kapatma” “arayışının” arkasına saklanıyor.
DPRK fidye yazılımı, fidye yazılımının çehresini önemli ölçüde değiştirdi, onu basit bir dolaptan ayarladı ve ardından onu daha yıkıcı, kazançlı ve bazı durumlarda yıkıcı hale getirdi. Ve gerçek kurbanları umursamadan gündemlerini finanse etmek için fidye yazılımı saldırılarından kâr elde ettiği iddia edilen ülkelerden sadece biri: sistemlerin kendilerini kapatmasından doğrudan etkilenen insanlar, en çok ilgiye ve bakıma ihtiyacı olanlara hizmet etmelerini engelliyor.
Conti fidye yazılımı Mayıs 2021’de İrlanda Sağlık Hizmetleri Yöneticisini (HSE) vurduğunda, saldırıdan sadece birkaç gün sonra görüştüğümüz doktor da dahil olmak üzere herkes hazırlıksız yakalandı. Bilgisayarlara dokunmama talimatı verildiğini, üzerlerindeki belirsizliği ve o gün sabah 7:00’den beri ameliyat bekleyen hastalara eve gitmek için nasıl kötü haberi vermek zorunda kaldığını anlattı.
“Hastalara söylemek zorundayım, üzgünüm seni ameliyat edemem” diye hatırladı. “Oruç tutuyorsun, uzun yoldan geldin, bana vakit ayırmak için işleri yeniden planladın, belki de işten çıkmak zorunda kaldın. Tüm bunlardan sonra kusura bakma, seni göremeyeceğim.”
“Ben burada hastaların hayatlarıyla uğraşıyorum. Bu hafife alabileceğiniz bir şey değil. Ya doğru yaparsınız ya da yanlış yaparsınız ve yanlış yaparsanız birine zarar vermiş olursunuz.”
Fidye yazılımından nasıl kaçınılır?
Hiç şüphe yok ki hastaneler hedef tahtasında ve saldırganlar her an saldırabilir. Neyse ki, kuruluşların bir fidye yazılımı saldırısına uğrama risklerini azaltmalarına yardımcı olabilecek yollar var.
- Bir olay müdahale (IR) planınız olsun. Kuruluşlar, ister doğrudan kurban ister tedarik zincirinin bir parçası olsunlar, bir siber saldırının bir noktada onları etkileme olasılığının yüksek olduğu gerçeğini kabul etmelidir. Bir IR planı, yanıt verenlerinizi bir siber güvenlik saldırısı durumunda ne yapacakları konusunda yönlendirebilir. Bu, yedeklerden geri yüklemeyi, müşteri erişimini ve diğerlerinin yanı sıra kolluk kuvvetlerine raporlamayı içermelidir.
- Personelinizi eğitin. Farkındalık uzun bir yol kat eder ve şirketteki herkesin kuruluşun ağını güvende tutma sorumluluğu vardır. Personele sosyal mühendislik taktikleri ve bir sistem saldırısının kırmızı bayrakları öğretilmelidir, böylece bir saldırı meydana geldiğinde doğru personeli hızla uyarabilirler.
- Yapabildiğiniz kadar çabuk yama yapın. Birçok tehdit aktörü, yama uygulanmamış güvenlik açıklarından yararlanarak ağlara girer. Kuruluşunuzun ağının en son ve en çok yararlanılan zayıflıklara karşı korunmasını sağlamak için bir yama planına sahip olun.
- Dosyalarını yedekle. Yedeklemeler, bir fidye yazılımı saldırısından sonra pek çok kuruluşu kurtardı – tabii ki çalışırlarsa. Bir plan yaptığınızda, yedekleme testi için de hazırlıklarınız olduğundan emin olun.
- Bir EDR çözümü edinin. Malwarebytes Endpoint Detection and Response, yerleşik fidye yazılımı koruması, 72 saatlik fidye yazılımı geri dönüşü ve sıfır gün fidye yazılımı koruması sunar. Burada deneyin.
- Daha fazla bilgi edin. İşletmenizi fidye yazılımlardan koruma hakkında daha fazla bilgi edinmek istiyorsanız Fidye Yazılımı Acil Durum Kitimize göz atın.
Güvende kal!
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.