Silent Ransom Group'un Hedefinde Hukuk Firmaları: Sahte BT Destek Aramalarıyla Saldırılar

Giriş

Son dönemde, Silent Ransom Group (SRG) olarak bilinen bir fidye yazılımı çetesi, ABD'deki hukuk firmaları ve profesyonel hizmet kuruluşlarını sosyal mühendislik saldırıları yoluyla hedef almaktadır. Mandiant tarafından yapılan araştırmaya göre, bu saldırılar sahte BT destek aramaları aracılığıyla gerçekleştirilmekte ve genellikle ilk temasın ardından birkaç saat içinde veri hırsızlığına yol açabilmektedir. Bu makalede, saldırının teknik detayları, hedef alınan sistemler, saldırı vektörleri ve savunma stratejileri detaylandırılmaktadır.

Saldırının Teknik Ayrıntıları

1. Saldırının Amacı ve Hedefleri

SRG, esas olarak yüksek değere sahip verileri (müşteri bilgileri, gizli belgeler, finansal kayıtlar vb.) ele geçirmeyi ve bunları fidye taleplerinde kullanmayı hedeflemektedir. Hukuk firmaları, bu tür verilerin yoğun olarak bulunduğu kuruluşlar olduğu için tercih edilen hedeflerdir. Saldırganlar, sosyal mühendislik ve psikolojik manipülasyon tekniklerini kullanarak kurbanları kandırmakta ve sistemlerine erişim sağlamaktadır.

2. Saldırı Vektörü: Sahte BT Destek Aramaları

SRG tarafından kullanılan ana saldırı vektörü, sahte BT destek aramalarıdır. Bu yöntemde, saldırganlar aşağıdaki adımları izlemektedir:

1. Arama Yapılması: Saldırganlar, hedef kuruluşun çalışanlarını arayarak BT destek ekibiymiş gibi davranırlar. Bu aramalarda genellikle kuruluşun gerçek BT departmanının numarasını taklit eden sahte numaralar kullanılır.
2. Kimlik Doğrulama: Aramayı alan kişi, saldırganın kimliğini doğrulamak için çeşitli yöntemler kullanır. Saldırganlar, bu aşamada kuruluşun iç sistemlerine erişim bilgilerini veya kişisel bilgileri talep edebilir.
3. Uzak Erişim Kurulumu: Kurbanı ikna eden saldırgan, genellikle TeamViewer, AnyDesk veya Zoom gibi uzak masaüstü yazılımlarını kullanarak sisteme erişim sağlar.
4. Veri Toplama ve Sızıntı: Saldırganlar, sisteme erişim sağladıktan sonra, veri tabanlarını tarar, hassas dosyaları kopyalar ve fidye taleplerinde kullanmak üzere verileri şifreler.

3. Kullanılan Araçlar ve Teknikler

SRG, saldırılarını gerçekleştirmek için aşağıdaki araçları ve teknikleri kullanmaktadır:

• Sosyal Mühendislik: Kurbanları kandırmak için stresli durumlar yaratma, acil destek gerektiği izlenimi verme gibi psikolojik taktikler kullanılır.
• Kimlik Taklit: Saldırganlar, kuruluşun gerçek BT departmanının adını, telefon numarasını ve e-posta adresini taklit eder.
• Uzak Masaüstü Yazılımları: TeamViewer, AnyDesk ve Zoom gibi araçlar, saldırganların sistemlere uzaktan erişim sağlamasına olanak tanır.
• Veri Sızıntısı Araçları: Saldırganlar, 7-Zip, WinRAR gibi araçları kullanarak verileri sıkıştırır ve dışarı aktarır.
• Fidye Yazılımı: Veri hırsızlığı sonrasında, saldırganlar genellikle dosyaları şifreleyerek kurbanları fidye ödemeye zorlar.

Savunma Stratejileri

1. Kurumsal Düzeyde Önlemler

Aşağıdaki adımlar, hukuk firmaları ve profesyonel hizmet kuruluşlarının bu tür saldırılardan korunmasına yardımcı olabilir:

1. Çalışan Eğitimi:
   • Tüm çalışanlara sosyal mühendislik saldırıları hakkında eğitim verilmelidir.
   • Çalışanlar, sahte BT destek aramaları konusunda uyarılmalı ve uzak masaüstü yazılımlarının kullanımına dair politikalar oluşturulmalıdır.
2. Kimlik Doğrulama Politikaları:
   • BT destek taleplerinin doğrulanması için iki faktörlü kimlik doğrulama (2FA) kullanılmalıdır.
   • Çalışanlar, telefonla gelen destek taleplerini doğrulamak için resmi kanalları kullanmalıdır.
3. Uzak Masaüstü Yazılımlarının Kısıtlanması:
   • Kuruluş içinde uzak masaüstü yazılımlarının kullanımı sınırlandırılmalı ve yalnızca onaylı kullanıcılar tarafından erişilebilir hale getirilmelidir.
   • Windows Defender Application Control (WDAC) gibi araçlar kullanılarak, yetkisiz uygulamaların çalıştırılması engellenmelidir.
4. Veri Yedekleme ve İzleme:
   • Verilerin düzenli olarak yedeklenmesi ve yedeklerin offline ortamlarda saklanması önemlidir.
   • Sistemlerde anormal aktivitelerin tespit edilmesi için SIEM (Security Information and Event Management) sistemleri kullanılmalıdır.

2. Teknik Önlemler

Aşağıdaki teknik önlemler, saldırganların sistemlere erişimini engellemeye yardımcı olabilir:

1. Güvenlik Duvarı ve Ağ İzolasyonu:
   • İnternet üzerinden gelen uzak masaüstü bağlantılarının engellenmesi için güvenlik duvarı kuralları oluşturulmalıdır.
   • Ağ segmentasyonu uygulanarak, kritik sistemlere erişim sınırlandırılmalıdır.
2. Uç Nokta Koruması:
   • Tüm uç noktalarda güncel antivirüs ve EDR (Endpoint Detection and Response) yazılımları kullanılmalıdır.
   • Microsoft Defender for Endpoint gibi araçlar, anormal davranışları tespit etmek için kullanılabilir.
3. Günlük Kaydı ve Olay Müdahalesi:
   • Tüm sistemlerde günlük kayıtları tutulmalı ve güvenlik olaylarına hızlı müdahale edilmelidir.
   • Olay müdahale planları oluşturularak, saldırıların erken tespiti ve izolasyonu sağlanmalıdır.

Olay Müdahale Adımları

Eğer bir saldırı gerçekleşirse, aşağıdaki adımlar izlenmelidir:

1. Saldırının Tespiti: Sistemlerde anormal aktivitelerin tespit edilmesi durumunda, olay hemen rapor edilmelidir.
2. Saldırının İzolasyonu:
   • Etkilenen sistemler ağdan izole edilmeli ve uzak masaüstü bağlantılarının kesilmesi sağlanmalıdır.
   • Kullanıcı hesapları geçici olarak devre dışı bırakılmalı ve şifreler değiştirilmelidir.
3. Veri Kurtarma ve Temizlik:
   • Etkilenen sistemler temizlenmeli ve yedeklerden geri yüklenmelidir.
   • Saldırganlar tarafından bırakılan artık dosyalar ve izler temizlenmelidir.
4. Yasal ve İletişim Süreci:
   • Saldırı yasal mercilere bildirilmelidir.
   • Müşteriler ve ilgili taraflar şeffaf bir şekilde bilgilendirilmelidir.

Uyarı: Sahte BT destek aramaları, saldırganların sistemlere erişim sağlamasının en yaygın yollarından biridir. Çalışanların bu tür taleplere karşı şüpheci olması ve resmi doğrulama yöntemlerini kullanması kritik önem taşır.

Sonuç

Silent Ransom Group'un hukuk firmalarını hedef alan saldırıları, sosyal mühendislik ve uzak masaüstü yazılımlarının birleşimiyle gerçekleştirilmektedir. Bu saldırılardan korunmak için, kuruluşların çalışan eğitimi, kimlik doğrulama politikaları, veri yedekleme ve teknik önlemler gibi çoklu savunma katmanları oluşturması gerekmektedir. Saldırı tespit edildiğinde ise, hızlı bir şekilde izolasyon, temizlik ve olay müdahalesi gerçekleştirilmelidir.

Bu makalede sunulan adımlar ve öneriler, hukuk firmaları ve profesyonel hizmet kuruluşlarının siber tehditlere karşı daha dirençli hale gelmesine yardımcı olacaktır.