Kurumunuzu WannaCry Fidye Virüsünden Nasıl Korursunuz?

Ransomware kurumsal ağlardan sağlık sistemlerine, ev kullanıcılarından endüstri sektörüne herkesi hedef alan, bu zamana kadar yapılan randomware saldırıları arasında en hızlı büyüyen kötü amaçlı tehdit haline gelmiştir. 1 Ocak 2016’dan itibaren yapılan analizlerde hemen hemen her gün 4.000’den fazla ransomware saldırısı yapıldığı gözlenmektedir.

12 Mayıs tarihinde, FortiGuard Labs gün boyunca hızla yayılan yeni ransomware saldırısını izlemeye başladı. Bulaştığı kurumun iç ağlarındaki diğer makinalara kendini kopyalayarak yayılan bu zararlı yazılım İngiliz Ulusal Sağlık Hizmetleri, Rus İçişleri Bakanlığı Çin Üniversiteleri, Macar ve İspanyol telekom şirketleri, hastane ve klinikler, havalimanları ve tren istasyonları gibi bir çok kritik kurumu etkiledi. Kurumlardaki cihazlara bulaşan bu yazlım bulaştığı cihazdaki dosyaları şifreleyerek karşılığında fidye istemektedir.

Bu fidye virüsü WCry, WannaCry, WanaCrypt0r, WannaCrypt veya Wana Decrypt0r gibi isimlerle görülmeye başlanmıştır. Shadow Brokers adlı bir hacker grubu tarafından NSA’I hackleyerek ele geçirilen exploitlerden ETERNALBLUE denilen bir istismar kodunu kullanan bu fidye yazılımı Windows cihazlara SMBv1 (Server Message Block) portu üzerinden bulaşmaktadır. Sosyal mühendislik ve oltalama saldırılarını kullanan bu virus, e-posta ile kullanıcılara ulaşarak ek dosya indirilip çalıştırıldığında cihazdaki bütün dosyaları şifreleyerek karşılığında fidye talep eder. Bu fidye virüsünün son 48 saat içerisinde 99 ülkede 150.000 sisteme bulaştığı tahmin edilmektedir. Etkilenen ülkeler arasında Türkiye’de bulunmaktadır.

Etkilenen Microsoft Ürünleri:

• Windows Vista
• Windows Server 2008
• Windows 7
• Windows Server 2008 R2
• Windows 8.1
• Windows Server 2012 and Windows Server 2012 R2
• Windows RT 8.1
• Windows 10
• Windows Server 2016
• Windows Server Core installation option

Microsoft geçtiğimiz Mart ayında bu güvenlik açığı için kritik derecede bir yama yayınladı. (MS17-010) Aynı ay Fortinet bu güvenlik açığını engellemek ve bu saldırıyı durdurmak için IPS imzası yayınladı. Bu randomware saldırısını durdurmak için de yeni bir AntiVirüs imzası bugün yayınlandı.
 

Tüm müşterilerimize aşağıdaki adımları uygulamalarını tavsiye ederiz:

• Ağınızda bulunan tüm Microsoft ürünlerinin son güncellemeleri aldığından emin olun.
• Kötü amaçlı yazılımların indirilmesini önlemek için Fortinet üzerinde AV ve IPS Inspections özelliklerinin yanı sıra Web Filtering özelliğinin de açık olduğundan emin olun.
• UDP 137/138 portları ile TCP 139 / 445 portlarını devre dışı bırakın.
• Update edilemeyen sunucularda SMBv1 protokolü devre dışı bırakmalı.

Ayrıca kullanıcıların ve kurumların aşağıdaki önlemleri alması gerekmektedir:

• IPS, AV ve WEB Filtreleme teknolojileri kullanın ve güncel tutun.
• Verilerinizi düzenli olarak yedekleyin. Yedeklenen verilerin veri bütünlüğünü doğrulayarak şifreli bir şekilde saklayın, geri döndürülen verilerinizin düzgün çalışıp çalışmadığını kontrol edin.
• Tehditleri önceden algılayabilmek ve çalıştırılabilir dosyaları kullanıcılara ulaşmadan filtreleyebilmek için sürekli gelen ve giden e-postalarınızı tarayın.
• Anti-virüs ve anti-malware programlarınızı otomatik olarak düzenli taramalar yapacak şekilde programlayın.
• E-Posta yoluyla iletilen dosyalardaki makto komut dosyasını devre dışı bırakın.
• Phishing saldırılarına dikkat edin. E-posta yoluyla gönderilen ve kaynağı belli olmayan bağlantılara tıklamayın ve ek dosyaları kesinlikle indirmeyin.
• Bir iş sürekliliği ve olay müdahale stratejisi oluşturun ve düzenli olarak penetrasyon testleri yaptırın.

Kurumunuz fidye yazılımından etkilenmişse yapılması gerekenler:

• Fidye virüsü bulaşmış olan cihazı zararlı yazılımın yayılmasını önlemek için mümkün olduğunca hızlı bir şekilde ağınızdan çıkararak izole edin.
• Ağınıza virüs bulaşmışsa ağınızda bulunan bütün cihazların ağ ile iletişimini kesin.
  Virüs cihaza tamamen bulaşmadıysa cihazı kapatın. Bu, verilerinizi temizlemek ve kurtarmak için zaman kazandırabilir ve durumun daha kötüye gitmesini önler.
• Yedeklenen veriler çevirimdışı olarak saklanmalıdır. Bir zararlı yazılım tespit ettiğinizde yedekleme sisteminizi çevirimdışı konuma getirin ve yedekleme sisteminize herhangi bir zararlı yazılım bulaşmadığına emin olun.

Müşterilerimizin sistemlerinin güvenliği bizim için büyük önem taşımaktadır. Herhangi bir kötü niyetli davranışa tepki vererek anında müdahale için gelişmeleri yakından takip ediyoruz ve yeni gelişmeler olduğunda en kısa sürede size ulaşarak gerekli önlemleri almanızı sağlıyoruz.

FORTİGATE ÇÖZÜMÜ:

IPS İmzası:

MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution

Antivirüs İmzası:

W32/Filecoder_WannaCryptor.B!tr

W32/WannaCryptor.B!tr

W32/Generic.AC.3EE509!tr

W32/GenKryptik.1C25!tr

Kaynak:
http://blog.fortinet.com/2017/05/12/protecting-your-organization-from-the-wcry-ransomware