Bad Rabbit Ransomware

Merhabalar,

2017 senesi siber anlamda zorlu bir süreç oldu. Ülkemizde siber anlamda yapılan hazırsızlıklar ve ihmakarlıklar gün ve gün ortaya çıktı. Bir çok kişi , özel ve resmi kurumlar olmak üzere zararlar gördü.

Bütün  bu olanlar kötü itibar gibi görünse de sonuçları pozitif olarak devam ediyor. Çünkü eksiklikler ve ihmakarlıklar gün yüzüne çıktıkça bunların giderilmesi için önlem ve tedbirler alınıyor. Bu doğrultuda çalışmalar meydana geliyor.

Konuya dönmeden önce ise son bir şey daha siber güvenlik beraberinde getirdiği diğer siber ‘ … ‘ kavramlarla bizlere artık insan sayısının fazlalığı , silah sayısının fazlalığı veya ateş gücü üstüğünlüğü , uzaklık / yakınlık , nükleer gibi kavramların önemini yitirmeye başladığını ve yeni dünyada bilgisayar , internet ve beyin gücü ile insanların insanlarla ve hatta ulusların uluslarla savaşlarının şekilleneceği , güç dengelerinin faktör ve aktörlerinin yeni dünya da farklı olabileceği ve yakın zamanda en büyük caydırı güç kabul edilen nükleer güçten bile daha caydırı bir güç olacak siber caydırıcılığı öğreniyoruz.

Geçtiğimiz yakın zaman da “WannaCry” ve “NotPetya” ransomware (fidye yazılımı) ile bir çok kurum ve kuruluş çok sorun yaşamıştı. Türkiye örnek olarak Renault fabrikası yaşandı. (bu adresten konu ile ilgili bir haber örneğini inceleyebilirsiniz.) Fabrika demek üretim demektir. Üretimin sadece saniyeler ya da dakika bazında durmasında kaybedilen rakamları düşünecek olursak bir fabrikanın 3 gün kapanmasının ne kadar ağır bir maliyeti olacağını düşünebilirsiniz.

#Bad Rabbit Ransomware Hakkında
> EthernalBlue isim exploiti kullanarak Türkiye , Bulgaristan , Rusya ve Ukrayna ‘da etkili olmaya başladı.

> Sahte bir Adobe Flash güncellemesi gibi sisteme enfekte olduktan sonra ; mimikatz kullanarak yerel kullanıcı ve active directory kullanıcı bilgilerini ele geçirebiliyor.

> Şu ana kadar açıklanan bir çözüm ve/veya araç mevcut değil.

> Yalnızca bilinen MS17-010 ‘u değil , aynı zamanda sistemlerde yerel yönetici paylaşımlarını devre dışı bırakmak için Grup İlkesi kullanmayı da içeriyor.

Tedbir olarak aşağıdakilere dikkat edebilirsiniz!

*Bu saldırı aşağıdakiler için oluşturulan bir izleme listesi ile algılanabilir :

 filemod: C: \ windows \ infpub.dat VEYA dosya adı: C: ​​\ windows \ cscc.dat VEYA dosya adı: C: ​​\ windows \ dispci.exe

*Ataklar en çok e-posta phishing , web sitelerinde ilanlar ve 3 parti yazılımlar ile yayılıyor.

*Bu yüzden , e-posta üzerinden davet edilmemiş , bilinmeyen ve doğrulanamayan kaynaklara , kurum ve kişilere dikkat ediniz.

*İnternet adres bağlantısı/bağlantılarına (url) tıklarken dikkatli olunuz.

*Bilinmeyen doğruluğu ispatlanmamış ya da açık kaynak olarak bulup incelenmemiş; sizi çözüme götüreceği söylenen bilinmeyen kaynak ve araçları denemeyin ve itimat etmeyin.

*Sisteminizi her duruma karşı yedekleyin. Bir servis sağlayıcınız var ise yedekleme hizmeti almıyorsanız yedekleme hizmeti talebinde bulunun. Hatta düzenli yedekleme hizmeti alarak sistem verilerinizi güncel olarak yedekleyiniz aksi durumlarda kaybınızı en aza indirebilirsiniz.

*Sisteminiz de bir virüs programı var ise bu programları güncel tutunuz.

*Windows işletim sistemi bulunan cihazların 445 portunu yapılandırınız.

*SMB protokollerini inceleyiniz.

*Geç kalmadan sisteminizi/sistemlerinizi güvenlik taramalarından düzenli olarak sınanmasını sağlayın!