1.
Bir Ransomware
Saldırısının Anatomisi
A’dan Z’ye Ransomware Saldırıları
Huzeyfe ÖNAL
<huzeyfe.onal@bgasecurity.com>

2.
Amaç...
A’dan Z’ye #ransomware konusu ile ilgili merak
edilebilecek teknik/sosyal konularla ilgili saha
tecrübelerinin paylaşımı ve muhtemel bir
#ransomware vakasıyla karşı karşıya
kalındığında yapılacaklar konusunda tecrübe
paylaşımı.

3.
Bu sunumda anlatılan tüm olaylar ve kişiler
gerçek hayatta yaşanmış örneklerden
alınmıştır.

4.
Ajanda...
1. Neden Ransomware?
a. Ransomware Özet Bilgiler
b. Ransomware Grupları Nasıl Çalışır?
2. Ransomware Saldırı Grupları Niyet aşaması
3. Kurban bulma. Hangi Firmalar İdeal Kurban Adayıdır? Kurbanlar Nasıl
Belirlenir?
4. Hedeflenen Firmanın Hacklenmesi
5. Hacklenen Firmalarda Kalıcı Olma,
6. Detay Araştırma, Arka Kapı Bırakma, Backup Sistemlerinin Tespiti
7. Ödemeye Zorlama Amaçlı Örnek Verilerin Dışarı Sızdırılması
a. Extortion yöntemleri ve çeşitleri
8. Dosyaların Şifrelenmesi (AD Politikası)
9. Pazarlık / Public Sitelerde Yayınlama Şantaj
a. Fidye Pazarlığı nasıl yapılır?
b. Ransomware Gruplarının Aktivitelerini Nasıl Takip Ederim?
10. Verilerin Geri Döndürülmesi
11. Sistemleri Sıkılaştırma / İstifa
a. Ransomware Bulaşmasını Nasıl Engellerim?

5.
[1] - Neden #Ransomware?
● Product-market fit
Siber saldırganlar uzun zamandır bu işi kolay yoldan ölçeklenebilir şekilde paraya
dökmeye uğraşıyorlardı.
● 2018-2019 yılına geldiğimizde artık bu keşfedilmişti…
● Pandemi etkisi?
● Bitcoin etkisi?

6.
Neden Ransomware? - Kim ne kadar kazanıyor?

7.
Dikkat Çeken Ransomware Saldırıları
Iowa-based provider of agriculture services NEW Cooperative

8.
Dönüm noktası: Colonial Pipeline Vakası...
Neler Oldu ?
1. Colonial Pipeline firması DarkSide #ransomware
grubuna 5 milyon $ ödeme yaptı.
2. Pipeline firmasının yaşadığı durum Amerika'da
hükümeti alarma geçirdi ve hızlı bir şekilde siber
güvenlik ile ilgili "executive order" yaynlandı.
3. Colonial Pipeline'a dadanan #ransomware
grubunun kullandığı teknik altyapı -muhtemelen-
US tarafından el konuldu ve #ransomware grubu
ücret ödemeden ellerindeki şifre çözme
anahtarlarını paylaşacaklarını belirttiler.
4. Ransomware gruplarının aktif olarak reklam
yaptığı, iş birliklerini geliştirdiği hacking
forumlarının 3 tanesi forumlarda #ransomware
konularının konuşulmasını yasakladığını açıkladı.
5. Darkside #ransomware grubu piyasadan çekilirken
bambaşka yeni ransomware grupları 10'larca
büyük firmayı hacklediklerini duyuran yeni siteler
açtı....

9.
Türkiye’den Örnekler

10.
Ransomware Grupları Nasıl Çalışır? Kime Karşı Mücadele Veriyoruz?
● Firmaları kendileri mi buluyorlar?
● Firma seçiminde neye dikkat ederler
● Tespit edilen firmaları kendileri mi hackliyorlar, outsource mu
ediyorlar?Affiliation programları
● Initial Access brokerlar ne iş yapiyor?
● Hangi ortamlarda takılıyorlar?

11.
Ransomware Organizasyonunda İK Yapıları

12.
Oyun Değiştirici Atılım...

13.
[2] - Saldırganların Niyet Aşaması
Niyet ettim siber saldırı
gerçekleştirmeye...
Cyber Kill Chain

14.
Ransomware Bulaşacağı Önceden Tespit Edilebilir mi?
● Ransomware saldırılarında en önemli kısım
saldırıyı olmadan önce tespit edip
korunmaktır.
● Ransomware nasıl bulaştığına dair her tür
bilgi elimizde olduğu için bunu tahmin
edebiliriz.
● Örnek rapor ve kaynak
● Free Ransomware Susceptibility Index
○ https://blackkite.com/free-rsi-rating/

15.
Örnek Rapor
○ https://blackkite.com/free-rsi-rating/

16.
[3] - Hangi Firmalar İdeal Kurban Adayıdır?
● Kurbanlar Nasıl Belirlenir?
● Ransomware grupları bir belirli bir sektör, belirli bir bölge/ülkeyi hedef alarak
mı çalışıyorlar?
● Internet üzerinde yayınlanan #ransomware raporlarını dikkatlice
incelediğimizde karşımıza çıkan tablo ne söylüyor?
● Ransomware saldırganları küçük/büyük firmaları hedef alır mı?

17.
Örnek Firma Tespiti [Shodan]

18.
Türkiye’deki Potansiyel Hedefler [Deepweb]
Yaklaşık 2.000 firma

19.
Bize Ransomware Bulaşmaz Yaklaşımı
● Eksik/Yanlış bilinen bazı konular:
○ Ransomware saldırıları küçük ve orta boy işletmeleri
daha çok hedef alır
○ Banka çalışanıyız, bizim güvenlik önlemlerimiz
yeterli olur
○ Her sene düzenli sızma testi yaptırıyoruz
○ ...

20.
[4] - Ransomware Saldırıları Nasıl Gerçekleştiriliyor?
Hedeflenen Firmanın Hacklenme aşaması?
● E-posta üzerinden #Phishing yöntemiyle
● Internete açık RDP ve benzeri portlara yönelik brute-force parola saldırıları
yaparak veya çalıntı hesaplar kullanarak
● Internete açık zafiyet içeren sistemler kullanılarak(RCE veya Hatalı
Yapılandırma)

21.
Phishing Örneği
Ransomware gruplarının ödeme
sonrası firmalara sunduğu özet
rapordan kesitler…
● Nasıl girdik?
● Ne yaptık?
● Hangi önlemleri almalısınız?

22.
Phishing Örneği: Egregor Ransomware Case Study
“Security report -
Initial access was gotten from phishing email,
then we make harvesting information about active directory groups and rights using LDAP protocol using bloodhound.
Then, having user token of call center we got access to other computers from this group of user using protocol WinRM.
On every computer we have executed mimikatz, which dumped NTML hash of user [Redacted UserName].
This user was in group of Domain Admins.
For persistence we created user “[Redacted DA Name]” and added it into all groups containing domain admins.
After we got the full access of the network, we began looking the info about the company. Server [Redacted Server name] was the
mirror of cluster [Redacted Cluster Name].
In the folder users were the table with passwords for a root account of [Redacted Server name] panel. File was [REDACTED].
It had passwords to four [Redacted Cluster Name]: [Redacted Cluster Name1 [Redacted Cluster Name2][Redacted Cluster
Name3][Redacted Cluster Name4], From [Redacted] clusters we downloaded all information and deleted all snapshots.”

23.
Giriş Yöntemi olarak RCE(Remote Code Execution) Zafiyetleri

24.
RCE Kullanarak Ransomware Bulaştırma

25.
Çalıntı Hesaplar Üzerinden Erişim Elde Etme
● Çalıntı VPN
hesapları
● Stealer Logs
● RDP

26.
[5] - Hacklenen Firmalarda Kalıcı Olma

27.
Detay Araştırma, Arka Kapı Bırakma, Backup Sistemlerinin
Tespiti
● Cobalt Strike
● Sigma Kuralları
● Back-up
We cooperate only with experienced
pentesters who are real professionals in
such tools as Metasploit Framework and
Cobalt Strike.

28.
[6] - Ödemeye Zorlama Amaçlı Yapılan Çalışmalar
● Hedef:Ne yap, et o parayı al!
● 4 aşamalı para ödemeye zorlama
Phase 1: Just ransomware. Encrypt the files, drop the ransom note, and wait
for the payment.
Phase 2: Double extortion. Phase 1 + data exfiltration and threatening data
release. Maze was one of the first documented cases of this.
Phase 3: Triple extortion. Phase 1 + Phase 2 + threatening DDoS. SunCrypt,
RagnarLocker, and Avaddon were among the first groups documented doing
this.
Phase 4: Quadruple extortion. Phase 1 (+ possibly Phase 2 or Phase 3) +
directly emailing the victim’s customer base or having contracted call centers
contact customers.
Kaynak (Trend Micro)

29.
Ransomware Gruplarının Ödeme Alma Taktikleri
● DDoS
● Dosyaları yayınlama
● KVKK, GDPR şikayet
şantajı
● Borsaya açık firmalar için
hisse değeri konusu
● CEO yazışmaları

30.
[7] - Verilerin Şifrelenmesi
● Veriler nasıl şifreleniyor?
● Kaç saatlik bir zaman
diliminde tüm verilerim
şifrelenmiş olur?
● Dosyaların Şifrelenmesi (AD
Politikası)
● Bitlocker kullanım örneği

31.
[8] - Pazarlık / Public Sitelerde Yayınlama Şantaj

32.
Ransomware Gruplarının Aktivitelerini Nasıl Takip Ederim?
https://drive.google.com/file/d/1MI8Z2tBhmqQ5X8Wf_ozv3dVjz5sJOs-3/view

33.
SOCRadar® Community Edition
https://socradar.io/community-edition/

34.
[9] - Fidye Pazarlığı Nasıl Yapılır?
● Pazarlıkta dikkat edilmesi gerekenler
● Pazarlık öncesi yönetim onayları
● KVKK bildirimi hazırlık
● A-B-C planları
https://www.newyorker.com/magazine/2021/06/07/how-to-negotiate-with-ransomware-hackers
https://thebossmagazine.com/prisoners-dilemma-negotiation/

35.
Pazarlık Şeması

36.
Fidye Pazarlığı Yazışmaları - Örnek

37.
Başarısız Sonuçlanan Pazarlık Örneği
Washington DC
Police Allegedly
Offered $100,000 to
Hackers to Stop
Leak

38.
Gerçek Bir Fidye Pazarlığı

39.
Round -VI

40.
[10] - Milyon Dolarlık(!) Siber Güvenlik Önerileri
Milyon $$ ödediğimizde alacağımız öneriler:
1. Hesaplarınızda MFA(çoklu kimlik
doğrulama) kullanın
2. Yedeklerinizi mutlaka teyplere alın
3. Klasik antivirüs yerine yeni nesil bir
EDR/EPP çözümü kullanın
4. Pentest yaptırın ve düzenli tarama
yapın

41.
Ransomware Saldırılarına
Müdahale
● Doğru bir müdahale nasıl olmalı?

42.
Ransomware’e Karşı Öneriler
● EASM / Zafiyet Yönetimi Mutlaka Kullanılmalı
● İşe yarayan bir EPP/EDR çözümü mutlaka kullanılmalı
● Yedekleme konusu mutlaka gözden geçirilmeli ve B planı hazırlanmalı
● Ransomware bulaştırma tatbikatı yapılarak önceden önlemlerin geçerliliği
sınanmalı
● 7/24 güvenlik izleme ve arayacak birileri mutlaka olmalı
Örnek

43.
Ransomware Saldırılarına Hazırlık - Simülasyon Çalışması
X ransomware saldırısı bize karşı gerçekleştirilseydi tespit edebilir miydik? Engelleyebilir
miydik?

44.
Teşekkürler
Geri bildirim için huzeyfe.onal@bgasecurity.com

45.
Kaynaklar-I
https://github.com/ForbiddenProgrammer/conti-pentester-guide-leak
https://www.sekoia.io/en/an-insider-insights-into-conti-operations-part-one/
https://www.sekoia.io/en/an-insider-insights-into-conti-operations-part-two/