Yazılım & İşletim SistemiOrta

BlackFile Fidye Yazılımı ve Vishing Saldırılarına Karşı Savunma Rehberi

BlackFile fidye yazılımı grubu, perakende ve konaklama sektörlerini hedef alan vishing (sesli oltalama) ve veri sızdırma saldırılarıyla öne çıkıyor. Bu rehber, bu tehditlere karşı alınacak önlemleri açıklar.

B
Bleeping Computer Tutorials
3 görüntülenme
BlackFile Fidye Yazılımı ve Vishing Saldırılarına Karşı Savunma Rehberi

BlackFile Tehdit Analizi ve Savunma Stratejileri

Şubat 2026'dan itibaren aktif olan BlackFile grubu, özellikle perakende ve konaklama sektörlerindeki kuruluşları hedef alan, finansal motivasyonlu bir siber suç örgütüdür. Grup, geleneksel fidye yazılımı yöntemlerinin yanı sıra, çalışanları manipüle ederek sistem erişimi sağlamak için gelişmiş vishing (sesli oltalama) tekniklerini kullanmaktadır.

Tehdit Profili

BlackFile, kurbanlarının ağlarına sızdıktan sonra hassas verileri şifrelemek yerine, öncelikle verileri dışarı sızdırarak (exfiltration) fidye talebinde bulunmaktadır. Vishing saldırıları, genellikle BT destek personeli veya yönetici gibi davranan saldırganların, çalışanları parola sıfırlamaya veya çok faktörlü kimlik doğrulama (MFA) onaylarını onaylamaya ikna etmesiyle gerçekleşir.

Savunma ve Müdahale Adımları

  1. Farkındalık Eğitimi: Çalışanlara, bilinmeyen numaralardan gelen ve aciliyet bildiren çağrılara karşı şüpheci olmaları gerektiği öğretilmelidir.
  2. MFA Güçlendirme: 'Push' tabanlı onaylar yerine, donanım anahtarları veya zaman tabanlı tek kullanımlık şifreler (TOTP) tercih edilmelidir.
  3. Ağ İzleme: Olağan dışı veri trafiğini tespit etmek için EDR ve SIEM çözümleri yapılandırılmalıdır.
Uyarı: Hiçbir BT personeli, bir telefon görüşmesi sırasında sizden MFA kodunuzu veya parolanızı doğrudan talep etmez. Bu tür talepler doğrudan bir saldırı göstergesidir.

Sistem Denetimi İçin Örnek Komutlar

Ağınızdaki şüpheli oturumları ve yetkilendirme değişikliklerini kontrol etmek için aşağıdaki komutları kullanabilirsiniz:

# Linux üzerinde son giriş yapan kullanıcıları denetle
last -a

# Windows üzerinde PowerShell ile MFA yapılandırmasını kontrol et
Get-MsolUser -All | Where-Object {$_.StrongAuthenticationRequirements.State -ne 'Enabled'}

# Şüpheli ağ bağlantılarını listele
netstat -ano | findstr "ESTABLISHED"

İleri Düzey Önlemler

BlackFile gibi grupların yatay hareketini (lateral movement) engellemek için ağ segmentasyonu kritik öneme sahiptir. Kritik sunuculara erişim, yalnızca 'Just-In-Time' (JIT) erişim yönetimi ile sınırlandırılmalıdır. Ayrıca, PowerShell script yürütme politikalarını kısıtlamak, saldırganların sistem üzerindeki etkisini azaltacaktır.

İlgili Makaleler