SamSam Fidye Yazılımı

Kötü amaçlı yazılımlar, hem bireyler hem de kuruluşlar için en acil tehditlerden biri olmaya devam ediyor. Siber suçlular, güvenlik açıklarından yararlanmak ve hassas verilere yasa dışı erişim sağlamak için tasarlanmış yeni saldırı stratejileri geliştirerek sürekli olarak yenilikler yapıyor. Bu tehditler arasında, SamSam Fidye Yazılımı, özellikle alışılmış kimlik avı tabanlı bulaşma yöntemlerinden farklı olduğu için özellikle tehlikeli bir tür olarak öne çıkıyor. Nasıl çalıştığını anlamak ve güçlü güvenlik önlemleri uygulamak, sistemlerinizi güvende tutmak için hayati önem taşıyor.

SamSam Fidye Yazılımı Nedir?

İlk olarak 2015 sonu ile 2016 başı arasında tespit edilen ve Samas veya SamsamCrypt olarak da bilinen SamSam Fidye Yazılımı, sağlık, ulaşım, eğitim ve yerel yönetimler gibi kritik sektörlere yönelik hedefli saldırılarıyla hızla ünlendi. Sosyal mühendislik taktiklerine dayanan tipik fidye yazılımı saldırılarının aksine, SamSam doğrudan ağ istismarı kullanır.

Başlangıçta Doğu Avrupa'dan kaynaklandığı düşünülse de, daha sonra yapılan soruşturmalar kötü amaçlı yazılımı İranlı siber suçlularla ilişkilendirdi ve 2018'de iki kişi hakkında dava açıldı. Etkisi küresel oldu ve ABD, Birleşik Krallık, Fransa, Portekiz, Avustralya, Kanada ve Orta Doğu'da belgelenen saldırılar oldu.

Ünlü Saldırı Kampanyaları

Colorado Ulaştırma Bakanlığı
Şubat 2018'de, Colorado Ulaştırma Bakanlığı, SamSam'ın sistemlerini şifrelemesi ve Bitcoin ile ödeme talep etmesiyle büyük bir aksaklıkla karşı karşıya kaldı. CDOT, bu talebi reddederek kurtarma çalışmalarına yaklaşık 1,7 milyon dolar harcadı.

Atlanta Yerel Yönetimi
Mart 2018'de Atlanta şehri, Uzak Masaüstü Protokolü'ne (RDP) kaba kuvvet saldırısı yoluyla gerçekleştirilen bir SamSam saldırısıyla felç oldu. Kamu hizmetlerinden adliye sistemine kadar birçok hizmet etkilendi. Saldırganlar 51.000 dolar değerinde Bitcoin talep etti, ancak şehir bu talebi reddetti ve nihayetinde 2,7 milyon dolar tazminat harcadı.

Sağlık Sektörü Darbe Aldı
SamSam, özellikle Allied Physicians of Michiana, Hancock Health ve Allscripts gibi önemli kurbanlarıyla sağlık sektörünü etkiledi. Sadece 2018 yılında, sağlık sektörü bilinen tüm SamSam saldırılarının dörtte birini oluşturdu.

SamSam Fidye Yazılımı Nasıl Çalışır?

Kimlik avı e-postaları veya kötü amaçlı ekler yoluyla yayılan fidye yazılımlarının aksine, SamSam savunmasız sistemleri ve çalınan kimlik bilgilerini kullanır. Siber Güvenlik ve Altyapı Güvenlik Ajansı'na (CISA) göre, saldırganlar Windows sunucularındaki zayıflıkları kullanarak uzaktan erişim sağlar:

• Açık veya yama uygulanmamış RDP bağlantıları
• Satın alınan veya zorla edinilen oturum açma kimlik bilgileri

• JBoss uygulamaları için JexBoss gibi istismar araçları

Saldırganlar, sisteme girdikten sonra yetkilerini artırır, kötü amaçlı yazılımı manuel olarak dağıtır ve kritik dosyaları şifreler. Bu uygulamalı yaklaşım, ele geçirilmiş ağlarda hassas hedefleme ve yaygın hasara olanak tanır.

Fidye Notu ve Ödeme Taktikleri

Şifreleme tamamlandıktan sonra, SamSam operatörleri kurbanlara Tor tabanlı bir portal üzerinden iletişim kurmalarını söyleyen bir fidye notu bırakıyor. Ödemeler Bitcoin ile talep ediliyor ve bazı kurbanlar ödeme sonrasında şifre çözme anahtarlarını almış olsa da, saldırganların anlaşmaya sadık kalacağına dair hiçbir garanti yok.

SamSam Hala Bir Tehdit Mi?

2018'den sonra kamuoyuna duyurulan saldırılar azaldı ve kilit operatörler tutuklandı, ancak fidye yazılımının ortadan kaldırıldığına dair bir kanıt yok. Resmi bir şifre çözme aracı mevcut değil, bu da SamSam'in hâlâ aktif bir risk olarak değerlendirilmesi gerektiği anlamına geliyor.

Savunmanızı Güçlendirin: En İyi Güvenlik Uygulamaları

SamSam bulaşmasını önlemek, istismar ettiği güvenlik açıklarını kapatmaya odaklanan proaktif bir güvenlik stratejisi gerektirir. Her kuruluşun uygulaması gereken temel adımlar şunlardır:

1. Güvenli ve Denetlenebilir RDP Erişimi

• Gerekmiyorsa RDP'yi devre dışı bırakın.
• Gerekli RDP hizmetleri için güçlü kimlik doğrulamayı zorunlu kılın ve erişimi güvenilir IP adresleriyle sınırlayın.
• Kullanılabilir açıkları ortadan kaldırmak için en son güvenlik yamalarını derhal uygulayın.

2. En Az Ayrıcalık İlkesini Uygulayın

• Kullanıcı izinlerini yalnızca temel işlevlerle sınırlayın.
• Tek bir tehlikeye maruz kalan hesaptan kaynaklanabilecek yaygın hasarı önlemek için rol tabanlı erişim denetimini kullanın.

3. Güçlü Parola ve Kimlik Doğrulama Politikaları Benimseyin

• Güçlü bir parola stratejisi şunları içermelidir:
• Büyük ve küçük harflerin, rakamların ve özel karakterlerin karışımı.
• Şifrelerin düzenli olarak değiştirilmesi ve tekrar kullanılmasının yasaklanması.
• Kaçınılması gereken yaygın hatalar:
• Kimlik bilgilerini başkalarıyla paylaşmak.
• Çok faktörlü kimlik doğrulamayı (MFA) devre dışı bırakma.
• Şifrelerin güvenli olmayan dosyalarda saklanması.

4. Düzenli Yedeklemeler Yapın

• Yedeklemeleri çevrimdışı veya segmentli ağlarda tutun.
• Etkililiğini sağlamak için restorasyon prosedürlerini periyodik olarak test edin.

Son Düşünceler

SamSam fidye yazılımı, fidye yazılımı saldırılarının her zaman kullanıcıları kandırmaya dayanmadığını, genellikle teknik zayıflıkları istismar ettiğini çarpıcı bir şekilde hatırlatıyor. RDP bağlantılarını güvence altına almayan, güçlü kimlik doğrulama önlemleri uygulamayan veya uygun yedeklemeleri sürdürmeyen kuruluşlar, bir sonraki tehdit unsuru olma riskiyle karşı karşıya. Dikkat, katmanlı güvenlik kontrolleri ve eğitimli bir iş gücü, gelişen siber tehditlere karşı en iyi savunma olmaya devam ediyor.