SlideShare une entreprise Scribd logo
Bir Ransomware
Saldırısının Anatomisi
A’dan Z’ye Ransomware Saldırıları
Huzeyfe ÖNAL
<huzeyfe.onal@bgasecurity.com>
Amaç...
A’dan Z’ye #ransomware konusu ile ilgili merak
edilebilecek teknik/sosyal konularla ilgili saha
tecrübelerinin paylaşımı ve muhtemel bir
#ransomware vakasıyla karşı karşıya
kalındığında yapılacaklar konusunda tecrübe
paylaşımı.
Bu sunumda anlatılan tüm olaylar ve kişiler
gerçek hayatta yaşanmış örneklerden
alınmıştır.
Ajanda...
1. Neden Ransomware?
a. Ransomware Özet Bilgiler
b. Ransomware Grupları Nasıl Çalışır?
2. Ransomware Saldırı Grupları Niyet aşaması
3. Kurban bulma. Hangi Firmalar İdeal Kurban Adayıdır? Kurbanlar Nasıl
Belirlenir?
4. Hedeflenen Firmanın Hacklenmesi
5. Hacklenen Firmalarda Kalıcı Olma,
6. Detay Araştırma, Arka Kapı Bırakma, Backup Sistemlerinin Tespiti
7. Ödemeye Zorlama Amaçlı Örnek Verilerin Dışarı Sızdırılması
a. Extortion yöntemleri ve çeşitleri
8. Dosyaların Şifrelenmesi (AD Politikası)
9. Pazarlık / Public Sitelerde Yayınlama Şantaj
a. Fidye Pazarlığı nasıl yapılır?
b. Ransomware Gruplarının Aktivitelerini Nasıl Takip Ederim?
10. Verilerin Geri Döndürülmesi
11. Sistemleri Sıkılaştırma / İstifa
a. Ransomware Bulaşmasını Nasıl Engellerim?
[1] - Neden #Ransomware?
● Product-market fit
Siber saldırganlar uzun zamandır bu işi kolay yoldan ölçeklenebilir şekilde paraya
dökmeye uğraşıyorlardı.
● 2018-2019 yılına geldiğimizde artık bu keşfedilmişti…
● Pandemi etkisi?
● Bitcoin etkisi?
Neden Ransomware? - Kim ne kadar kazanıyor?
Dikkat Çeken Ransomware Saldırıları
Iowa-based provider of agriculture services NEW Cooperative
Dönüm noktası: Colonial Pipeline Vakası...
Neler Oldu ?
1. Colonial Pipeline firması DarkSide #ransomware
grubuna 5 milyon $ ödeme yaptı.
2. Pipeline firmasının yaşadığı durum Amerika'da
hükümeti alarma geçirdi ve hızlı bir şekilde siber
güvenlik ile ilgili "executive order" yaynlandı.
3. Colonial Pipeline'a dadanan #ransomware
grubunun kullandığı teknik altyapı -muhtemelen-
US tarafından el konuldu ve #ransomware grubu
ücret ödemeden ellerindeki şifre çözme
anahtarlarını paylaşacaklarını belirttiler.
4. Ransomware gruplarının aktif olarak reklam
yaptığı, iş birliklerini geliştirdiği hacking
forumlarının 3 tanesi forumlarda #ransomware
konularının konuşulmasını yasakladığını açıkladı.
5. Darkside #ransomware grubu piyasadan çekilirken
bambaşka yeni ransomware grupları 10'larca
büyük firmayı hacklediklerini duyuran yeni siteler
açtı....
Türkiye’den Örnekler
Ransomware Grupları Nasıl Çalışır? Kime Karşı Mücadele Veriyoruz?
● Firmaları kendileri mi buluyorlar?
● Firma seçiminde neye dikkat ederler
● Tespit edilen firmaları kendileri mi hackliyorlar, outsource mu
ediyorlar?Affiliation programları
● Initial Access brokerlar ne iş yapiyor?
● Hangi ortamlarda takılıyorlar?
Ransomware Organizasyonunda İK Yapıları
Oyun Değiştirici Atılım...
[2] - Saldırganların Niyet Aşaması
Niyet ettim siber saldırı
gerçekleştirmeye...
Cyber Kill Chain
Ransomware Bulaşacağı Önceden Tespit Edilebilir mi?
● Ransomware saldırılarında en önemli kısım
saldırıyı olmadan önce tespit edip
korunmaktır.
● Ransomware nasıl bulaştığına dair her tür
bilgi elimizde olduğu için bunu tahmin
edebiliriz.
● Örnek rapor ve kaynak
● Free Ransomware Susceptibility Index
○ https://blackkite.com/free-rsi-rating/
Örnek Rapor
○ https://blackkite.com/free-rsi-rating/
[3] - Hangi Firmalar İdeal Kurban Adayıdır?
● Kurbanlar Nasıl Belirlenir?
● Ransomware grupları bir belirli bir sektör, belirli bir bölge/ülkeyi hedef alarak
mı çalışıyorlar?
● Internet üzerinde yayınlanan #ransomware raporlarını dikkatlice
incelediğimizde karşımıza çıkan tablo ne söylüyor?
● Ransomware saldırganları küçük/büyük firmaları hedef alır mı?
Örnek Firma Tespiti [Shodan]
Türkiye’deki Potansiyel Hedefler [Deepweb]
Yaklaşık 2.000 firma
Bize Ransomware Bulaşmaz Yaklaşımı
● Eksik/Yanlış bilinen bazı konular:
○ Ransomware saldırıları küçük ve orta boy işletmeleri
daha çok hedef alır
○ Banka çalışanıyız, bizim güvenlik önlemlerimiz
yeterli olur
○ Her sene düzenli sızma testi yaptırıyoruz
○ ...
[4] - Ransomware Saldırıları Nasıl Gerçekleştiriliyor?
Hedeflenen Firmanın Hacklenme aşaması?
● E-posta üzerinden #Phishing yöntemiyle
● Internete açık RDP ve benzeri portlara yönelik brute-force parola saldırıları
yaparak veya çalıntı hesaplar kullanarak
● Internete açık zafiyet içeren sistemler kullanılarak(RCE veya Hatalı
Yapılandırma)
Phishing Örneği
Ransomware gruplarının ödeme
sonrası firmalara sunduğu özet
rapordan kesitler…
● Nasıl girdik?
● Ne yaptık?
● Hangi önlemleri almalısınız?
Phishing Örneği: Egregor Ransomware Case Study
“Security report -
Initial access was gotten from phishing email,
then we make harvesting information about active directory groups and rights using LDAP protocol using bloodhound.
Then, having user token of call center we got access to other computers from this group of user using protocol WinRM.
On every computer we have executed mimikatz, which dumped NTML hash of user [Redacted UserName].
This user was in group of Domain Admins.
For persistence we created user “[Redacted DA Name]” and added it into all groups containing domain admins.
After we got the full access of the network, we began looking the info about the company. Server [Redacted Server name] was the
mirror of cluster [Redacted Cluster Name].
In the folder users were the table with passwords for a root account of [Redacted Server name] panel. File was [REDACTED].
It had passwords to four [Redacted Cluster Name]: [Redacted Cluster Name1 [Redacted Cluster Name2][Redacted Cluster
Name3][Redacted Cluster Name4], From [Redacted] clusters we downloaded all information and deleted all snapshots.”
Giriş Yöntemi olarak RCE(Remote Code Execution) Zafiyetleri
RCE Kullanarak Ransomware Bulaştırma
Çalıntı Hesaplar Üzerinden Erişim Elde Etme
● Çalıntı VPN
hesapları
● Stealer Logs
● RDP
[5] - Hacklenen Firmalarda Kalıcı Olma
Detay Araştırma, Arka Kapı Bırakma, Backup Sistemlerinin
Tespiti
● Cobalt Strike
● Sigma Kuralları
● Back-up
We cooperate only with experienced
pentesters who are real professionals in
such tools as Metasploit Framework and
Cobalt Strike.
[6] - Ödemeye Zorlama Amaçlı Yapılan Çalışmalar
● Hedef:Ne yap, et o parayı al!
● 4 aşamalı para ödemeye zorlama
Phase 1: Just ransomware. Encrypt the files, drop the ransom note, and wait
for the payment.
Phase 2: Double extortion. Phase 1 + data exfiltration and threatening data
release. Maze was one of the first documented cases of this.
Phase 3: Triple extortion. Phase 1 + Phase 2 + threatening DDoS. SunCrypt,
RagnarLocker, and Avaddon were among the first groups documented doing
this.
Phase 4: Quadruple extortion. Phase 1 (+ possibly Phase 2 or Phase 3) +
directly emailing the victim’s customer base or having contracted call centers
contact customers.
Kaynak (Trend Micro)
Ransomware Gruplarının Ödeme Alma Taktikleri
● DDoS
● Dosyaları yayınlama
● KVKK, GDPR şikayet
şantajı
● Borsaya açık firmalar için
hisse değeri konusu
● CEO yazışmaları
[7] - Verilerin Şifrelenmesi
● Veriler nasıl şifreleniyor?
● Kaç saatlik bir zaman
diliminde tüm verilerim
şifrelenmiş olur?
● Dosyaların Şifrelenmesi (AD
Politikası)
● Bitlocker kullanım örneği
[8] - Pazarlık / Public Sitelerde Yayınlama Şantaj
Ransomware Gruplarının Aktivitelerini Nasıl Takip Ederim?
https://drive.google.com/file/d/1MI8Z2tBhmqQ5X8Wf_ozv3dVjz5sJOs-3/view
SOCRadar® Community Edition
https://socradar.io/community-edition/
[9] - Fidye Pazarlığı Nasıl Yapılır?
● Pazarlıkta dikkat edilmesi gerekenler
● Pazarlık öncesi yönetim onayları
● KVKK bildirimi hazırlık
● A-B-C planları
https://www.newyorker.com/magazine/2021/06/07/how-to-negotiate-with-ransomware-hackers
https://thebossmagazine.com/prisoners-dilemma-negotiation/
Pazarlık Şeması
Fidye Pazarlığı Yazışmaları - Örnek
Başarısız Sonuçlanan Pazarlık Örneği
Washington DC
Police Allegedly
Offered $100,000 to
Hackers to Stop
Leak
Gerçek Bir Fidye Pazarlığı
Round -VI
[10] - Milyon Dolarlık(!) Siber Güvenlik Önerileri
Milyon $$ ödediğimizde alacağımız öneriler:
1. Hesaplarınızda MFA(çoklu kimlik
doğrulama) kullanın
2. Yedeklerinizi mutlaka teyplere alın
3. Klasik antivirüs yerine yeni nesil bir
EDR/EPP çözümü kullanın
4. Pentest yaptırın ve düzenli tarama
yapın
Ransomware Saldırılarına
Müdahale
● Doğru bir müdahale nasıl olmalı?
Ransomware’e Karşı Öneriler
● EASM / Zafiyet Yönetimi Mutlaka Kullanılmalı
● İşe yarayan bir EPP/EDR çözümü mutlaka kullanılmalı
● Yedekleme konusu mutlaka gözden geçirilmeli ve B planı hazırlanmalı
● Ransomware bulaştırma tatbikatı yapılarak önceden önlemlerin geçerliliği
sınanmalı
● 7/24 güvenlik izleme ve arayacak birileri mutlaka olmalı
Örnek
Ransomware Saldırılarına Hazırlık - Simülasyon Çalışması
X ransomware saldırısı bize karşı gerçekleştirilseydi tespit edebilir miydik? Engelleyebilir
miydik?
Teşekkürler
Geri bildirim için huzeyfe.onal@bgasecurity.com
Kaynaklar-I
https://github.com/ForbiddenProgrammer/conti-pentester-guide-leak
https://www.sekoia.io/en/an-insider-insights-into-conti-operations-part-one/
https://www.sekoia.io/en/an-insider-insights-into-conti-operations-part-two/

Contenu connexe

Tendances

Kablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli AnalizKablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli Analiz
BGA Cyber Security
 
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak  Mitre ATT&CK Kurallarının ...Windows Sistemler için Sysmon ve Wazuh Kullanarak  Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
BGA Cyber Security
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
BGA Cyber Security
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
BGA Cyber Security
 
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
BGA Cyber Security
 
Caldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuCaldera İle Saldırı Simülasyonu
Caldera İle Saldırı Simülasyonu
BGA Cyber Security
 
10 Adımda Sızma Testleri
10 Adımda Sızma Testleri10 Adımda Sızma Testleri
10 Adımda Sızma Testleri
BGA Cyber Security
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıBGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
BGA Cyber Security
 
Siber İstihbarat Eğitim Dokümanı
Siber İstihbarat Eğitim DokümanıSiber İstihbarat Eğitim Dokümanı
Siber İstihbarat Eğitim Dokümanı
BGA Cyber Security
 
Zararlı Yazılım Analizi ve Tespitinde YARA Kullanımı
Zararlı Yazılım Analizi ve Tespitinde YARA KullanımıZararlı Yazılım Analizi ve Tespitinde YARA Kullanımı
Zararlı Yazılım Analizi ve Tespitinde YARA Kullanımı
BGA Cyber Security
 
Siber Saldırılar i̇çin Erken Uyarı Sistemi
Siber Saldırılar i̇çin Erken Uyarı SistemiSiber Saldırılar i̇çin Erken Uyarı Sistemi
Siber Saldırılar i̇çin Erken Uyarı Sistemi
BGA Cyber Security
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Kurtuluş Karasu
 
Mitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı TespitiMitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı Tespiti
BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriBeyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
PRISMA CSI
 
Web Servislerine Yönelik Sızma Testleri
Web Servislerine Yönelik Sızma TestleriWeb Servislerine Yönelik Sızma Testleri
Web Servislerine Yönelik Sızma Testleri
BGA Cyber Security
 
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log Yönetimi
Oğuzcan Pamuk
 

Tendances (20)

Kablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli AnalizKablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli Analiz
 
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak  Mitre ATT&CK Kurallarının ...Windows Sistemler için Sysmon ve Wazuh Kullanarak  Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
 
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
 
Caldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuCaldera İle Saldırı Simülasyonu
Caldera İle Saldırı Simülasyonu
 
10 Adımda Sızma Testleri
10 Adımda Sızma Testleri10 Adımda Sızma Testleri
10 Adımda Sızma Testleri
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
 
Siber İstihbarat Eğitim Dokümanı
Siber İstihbarat Eğitim DokümanıSiber İstihbarat Eğitim Dokümanı
Siber İstihbarat Eğitim Dokümanı
 
Zararlı Yazılım Analizi ve Tespitinde YARA Kullanımı
Zararlı Yazılım Analizi ve Tespitinde YARA KullanımıZararlı Yazılım Analizi ve Tespitinde YARA Kullanımı
Zararlı Yazılım Analizi ve Tespitinde YARA Kullanımı
 
Siber Saldırılar i̇çin Erken Uyarı Sistemi
Siber Saldırılar i̇çin Erken Uyarı SistemiSiber Saldırılar i̇çin Erken Uyarı Sistemi
Siber Saldırılar i̇çin Erken Uyarı Sistemi
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
 
Mitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı TespitiMitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı Tespiti
 
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriBeyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
 
Web Servislerine Yönelik Sızma Testleri
Web Servislerine Yönelik Sızma TestleriWeb Servislerine Yönelik Sızma Testleri
Web Servislerine Yönelik Sızma Testleri
 
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log Yönetimi
 

Similaire à Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları

Man In The Middle
Man In The MiddleMan In The Middle
Man In The Middle
Harun Tamokur
 
Hacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıHacking Uygulamaları ve Araçları
Hacking Uygulamaları ve Araçları
Mustafa
 
SİBER GÜVENLİK
SİBER GÜVENLİKSİBER GÜVENLİK
SİBER GÜVENLİK
gereksizlerim
 
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Ddos analizi
Ddos analiziDdos analizi
Ddos analizifangjiafu
 
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıBilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Raif Berkay DİNÇEL
 
DDoS Saldırı Analizi - DDoS Forensics
DDoS Saldırı Analizi - DDoS ForensicsDDoS Saldırı Analizi - DDoS Forensics
DDoS Saldırı Analizi - DDoS ForensicsBGA Cyber Security
 
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Mustafa
 
#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi
#İstSec'17  Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi#İstSec'17  Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi
#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi
BGA Cyber Security
 
Odinaff Zararlısı Analizi
Odinaff Zararlısı AnaliziOdinaff Zararlısı Analizi
Odinaff Zararlısı Analizi
Leylim Damla Çetin
 
Siber_Guvenlik_ve_Etik_Hacking-2023-BB.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-BB.pdfSiber_Guvenlik_ve_Etik_Hacking-2023-BB.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-BB.pdf
Murat KARA
 
Siber_Guvenlik_ve_Etik_Hacking-2023-Z.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-Z.pdfSiber_Guvenlik_ve_Etik_Hacking-2023-Z.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-Z.pdf
Murat KARA
 
Kötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptx
Kötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptxKötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptx
Kötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptx
Abbasgulu Allahverdili
 
Ransomware Nedir, Nasıl Korunulur?
Ransomware Nedir, Nasıl Korunulur?Ransomware Nedir, Nasıl Korunulur?
Ransomware Nedir, Nasıl Korunulur?
Ibrahim Akgul
 
Threat data feeds
Threat data feedsThreat data feeds
Threat data feeds
Doukanksz
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
Sparta Bilişim
 
Siber güvenlik ve SOC
Siber güvenlik ve SOCSiber güvenlik ve SOC
Siber güvenlik ve SOC
Serkan Özden
 
Ransomware (Fidye Yazılım)
Ransomware (Fidye Yazılım)Ransomware (Fidye Yazılım)
Ransomware (Fidye Yazılım)
Volkan Vural
 
Siber Dünyada Modern Arka Kapılar
Siber Dünyada Modern Arka KapılarSiber Dünyada Modern Arka Kapılar
Siber Dünyada Modern Arka Kapılar
BGA Cyber Security
 
Siber Sigorta Nedir? Nasıl Yapılır?
Siber Sigorta Nedir? Nasıl Yapılır?Siber Sigorta Nedir? Nasıl Yapılır?
Siber Sigorta Nedir? Nasıl Yapılır?
BGA Cyber Security
 

Similaire à Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları (20)

Man In The Middle
Man In The MiddleMan In The Middle
Man In The Middle
 
Hacking Uygulamaları ve Araçları
Hacking Uygulamaları ve AraçlarıHacking Uygulamaları ve Araçları
Hacking Uygulamaları ve Araçları
 
SİBER GÜVENLİK
SİBER GÜVENLİKSİBER GÜVENLİK
SİBER GÜVENLİK
 
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
 
Ddos analizi
Ddos analiziDdos analizi
Ddos analizi
 
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıBilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik Konferansı
 
DDoS Saldırı Analizi - DDoS Forensics
DDoS Saldırı Analizi - DDoS ForensicsDDoS Saldırı Analizi - DDoS Forensics
DDoS Saldırı Analizi - DDoS Forensics
 
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
Kurumunuzdaki Siber Güvenlik Tehditlerini Analiz Edebiliyor musunuz?
 
#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi
#İstSec'17  Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi#İstSec'17  Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi
#İstSec'17 Küresel Siber Suçla Mücadele ve Trend Saptırma Teorisi
 
Odinaff Zararlısı Analizi
Odinaff Zararlısı AnaliziOdinaff Zararlısı Analizi
Odinaff Zararlısı Analizi
 
Siber_Guvenlik_ve_Etik_Hacking-2023-BB.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-BB.pdfSiber_Guvenlik_ve_Etik_Hacking-2023-BB.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-BB.pdf
 
Siber_Guvenlik_ve_Etik_Hacking-2023-Z.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-Z.pdfSiber_Guvenlik_ve_Etik_Hacking-2023-Z.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-Z.pdf
 
Kötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptx
Kötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptxKötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptx
Kötü Niyetli Programlar ve Bu Programları Engelleyici Programlar.pptx
 
Ransomware Nedir, Nasıl Korunulur?
Ransomware Nedir, Nasıl Korunulur?Ransomware Nedir, Nasıl Korunulur?
Ransomware Nedir, Nasıl Korunulur?
 
Threat data feeds
Threat data feedsThreat data feeds
Threat data feeds
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
 
Siber güvenlik ve SOC
Siber güvenlik ve SOCSiber güvenlik ve SOC
Siber güvenlik ve SOC
 
Ransomware (Fidye Yazılım)
Ransomware (Fidye Yazılım)Ransomware (Fidye Yazılım)
Ransomware (Fidye Yazılım)
 
Siber Dünyada Modern Arka Kapılar
Siber Dünyada Modern Arka KapılarSiber Dünyada Modern Arka Kapılar
Siber Dünyada Modern Arka Kapılar
 
Siber Sigorta Nedir? Nasıl Yapılır?
Siber Sigorta Nedir? Nasıl Yapılır?Siber Sigorta Nedir? Nasıl Yapılır?
Siber Sigorta Nedir? Nasıl Yapılır?
 

Plus de BGA Cyber Security

WEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiWEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesi
BGA Cyber Security
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
BGA Cyber Security
 
Webinar: Popüler black marketler
Webinar: Popüler black marketlerWebinar: Popüler black marketler
Webinar: Popüler black marketler
BGA Cyber Security
 
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
BGA Cyber Security
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
BGA Cyber Security
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-II
BGA Cyber Security
 
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiWebinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
BGA Cyber Security
 
Open Source SOC Kurulumu
Open Source SOC KurulumuOpen Source SOC Kurulumu
Open Source SOC Kurulumu
BGA Cyber Security
 
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
BGA Cyber Security
 
Siber Fidye 2020 Raporu
Siber Fidye 2020 RaporuSiber Fidye 2020 Raporu
Siber Fidye 2020 Raporu
BGA Cyber Security
 
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Cyber Security
 
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerSOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
BGA Cyber Security
 
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsVeri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
BGA Cyber Security
 
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I:  Bilgi ToplamaAktif Dizin (Active Directory) Güvenlik Testleri - I:  Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
BGA Cyber Security
 
SSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiSSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain Tespiti
BGA Cyber Security
 
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıGüvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
BGA Cyber Security
 
Mail Sniper Nedir?
Mail Sniper Nedir?Mail Sniper Nedir?
Mail Sniper Nedir?
BGA Cyber Security
 
Güncel DDOS Saldırılarının ve Teknik Analizi
Güncel DDOS Saldırılarının ve Teknik AnaliziGüncel DDOS Saldırılarının ve Teknik Analizi
Güncel DDOS Saldırılarının ve Teknik Analizi
BGA Cyber Security
 
SOCMINT Nedir? Kullanımı ve Örnekler
SOCMINT Nedir? Kullanımı ve ÖrneklerSOCMINT Nedir? Kullanımı ve Örnekler
SOCMINT Nedir? Kullanımı ve Örnekler
BGA Cyber Security
 
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
BGA Cyber Security
 

Plus de BGA Cyber Security (20)

WEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiWEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesi
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
 
Webinar: Popüler black marketler
Webinar: Popüler black marketlerWebinar: Popüler black marketler
Webinar: Popüler black marketler
 
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-II
 
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiWebinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
 
Open Source SOC Kurulumu
Open Source SOC KurulumuOpen Source SOC Kurulumu
Open Source SOC Kurulumu
 
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
 
Siber Fidye 2020 Raporu
Siber Fidye 2020 RaporuSiber Fidye 2020 Raporu
Siber Fidye 2020 Raporu
 
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
 
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerSOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
 
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsVeri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
 
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I:  Bilgi ToplamaAktif Dizin (Active Directory) Güvenlik Testleri - I:  Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
 
SSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiSSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain Tespiti
 
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıGüvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
 
Mail Sniper Nedir?
Mail Sniper Nedir?Mail Sniper Nedir?
Mail Sniper Nedir?
 
Güncel DDOS Saldırılarının ve Teknik Analizi
Güncel DDOS Saldırılarının ve Teknik AnaliziGüncel DDOS Saldırılarının ve Teknik Analizi
Güncel DDOS Saldırılarının ve Teknik Analizi
 
SOCMINT Nedir? Kullanımı ve Örnekler
SOCMINT Nedir? Kullanımı ve ÖrneklerSOCMINT Nedir? Kullanımı ve Örnekler
SOCMINT Nedir? Kullanımı ve Örnekler
 
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
 

Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları

  • 1. Bir Ransomware Saldırısının Anatomisi A’dan Z’ye Ransomware Saldırıları Huzeyfe ÖNAL <huzeyfe.onal@bgasecurity.com>
  • 2. Amaç... A’dan Z’ye #ransomware konusu ile ilgili merak edilebilecek teknik/sosyal konularla ilgili saha tecrübelerinin paylaşımı ve muhtemel bir #ransomware vakasıyla karşı karşıya kalındığında yapılacaklar konusunda tecrübe paylaşımı.
  • 3. Bu sunumda anlatılan tüm olaylar ve kişiler gerçek hayatta yaşanmış örneklerden alınmıştır.
  • 4. Ajanda... 1. Neden Ransomware? a. Ransomware Özet Bilgiler b. Ransomware Grupları Nasıl Çalışır? 2. Ransomware Saldırı Grupları Niyet aşaması 3. Kurban bulma. Hangi Firmalar İdeal Kurban Adayıdır? Kurbanlar Nasıl Belirlenir? 4. Hedeflenen Firmanın Hacklenmesi 5. Hacklenen Firmalarda Kalıcı Olma, 6. Detay Araştırma, Arka Kapı Bırakma, Backup Sistemlerinin Tespiti 7. Ödemeye Zorlama Amaçlı Örnek Verilerin Dışarı Sızdırılması a. Extortion yöntemleri ve çeşitleri 8. Dosyaların Şifrelenmesi (AD Politikası) 9. Pazarlık / Public Sitelerde Yayınlama Şantaj a. Fidye Pazarlığı nasıl yapılır? b. Ransomware Gruplarının Aktivitelerini Nasıl Takip Ederim? 10. Verilerin Geri Döndürülmesi 11. Sistemleri Sıkılaştırma / İstifa a. Ransomware Bulaşmasını Nasıl Engellerim?
  • 5. [1] - Neden #Ransomware? ● Product-market fit Siber saldırganlar uzun zamandır bu işi kolay yoldan ölçeklenebilir şekilde paraya dökmeye uğraşıyorlardı. ● 2018-2019 yılına geldiğimizde artık bu keşfedilmişti… ● Pandemi etkisi? ● Bitcoin etkisi?
  • 6. Neden Ransomware? - Kim ne kadar kazanıyor?
  • 7. Dikkat Çeken Ransomware Saldırıları Iowa-based provider of agriculture services NEW Cooperative
  • 8. Dönüm noktası: Colonial Pipeline Vakası... Neler Oldu ? 1. Colonial Pipeline firması DarkSide #ransomware grubuna 5 milyon $ ödeme yaptı. 2. Pipeline firmasının yaşadığı durum Amerika'da hükümeti alarma geçirdi ve hızlı bir şekilde siber güvenlik ile ilgili "executive order" yaynlandı. 3. Colonial Pipeline'a dadanan #ransomware grubunun kullandığı teknik altyapı -muhtemelen- US tarafından el konuldu ve #ransomware grubu ücret ödemeden ellerindeki şifre çözme anahtarlarını paylaşacaklarını belirttiler. 4. Ransomware gruplarının aktif olarak reklam yaptığı, iş birliklerini geliştirdiği hacking forumlarının 3 tanesi forumlarda #ransomware konularının konuşulmasını yasakladığını açıkladı. 5. Darkside #ransomware grubu piyasadan çekilirken bambaşka yeni ransomware grupları 10'larca büyük firmayı hacklediklerini duyuran yeni siteler açtı....
  • 10. Ransomware Grupları Nasıl Çalışır? Kime Karşı Mücadele Veriyoruz? ● Firmaları kendileri mi buluyorlar? ● Firma seçiminde neye dikkat ederler ● Tespit edilen firmaları kendileri mi hackliyorlar, outsource mu ediyorlar?Affiliation programları ● Initial Access brokerlar ne iş yapiyor? ● Hangi ortamlarda takılıyorlar?
  • 13. [2] - Saldırganların Niyet Aşaması Niyet ettim siber saldırı gerçekleştirmeye... Cyber Kill Chain
  • 14. Ransomware Bulaşacağı Önceden Tespit Edilebilir mi? ● Ransomware saldırılarında en önemli kısım saldırıyı olmadan önce tespit edip korunmaktır. ● Ransomware nasıl bulaştığına dair her tür bilgi elimizde olduğu için bunu tahmin edebiliriz. ● Örnek rapor ve kaynak ● Free Ransomware Susceptibility Index ○ https://blackkite.com/free-rsi-rating/
  • 16. [3] - Hangi Firmalar İdeal Kurban Adayıdır? ● Kurbanlar Nasıl Belirlenir? ● Ransomware grupları bir belirli bir sektör, belirli bir bölge/ülkeyi hedef alarak mı çalışıyorlar? ● Internet üzerinde yayınlanan #ransomware raporlarını dikkatlice incelediğimizde karşımıza çıkan tablo ne söylüyor? ● Ransomware saldırganları küçük/büyük firmaları hedef alır mı?
  • 18. Türkiye’deki Potansiyel Hedefler [Deepweb] Yaklaşık 2.000 firma
  • 19. Bize Ransomware Bulaşmaz Yaklaşımı ● Eksik/Yanlış bilinen bazı konular: ○ Ransomware saldırıları küçük ve orta boy işletmeleri daha çok hedef alır ○ Banka çalışanıyız, bizim güvenlik önlemlerimiz yeterli olur ○ Her sene düzenli sızma testi yaptırıyoruz ○ ...
  • 20. [4] - Ransomware Saldırıları Nasıl Gerçekleştiriliyor? Hedeflenen Firmanın Hacklenme aşaması? ● E-posta üzerinden #Phishing yöntemiyle ● Internete açık RDP ve benzeri portlara yönelik brute-force parola saldırıları yaparak veya çalıntı hesaplar kullanarak ● Internete açık zafiyet içeren sistemler kullanılarak(RCE veya Hatalı Yapılandırma)
  • 21.
  • 22. Phishing Örneği Ransomware gruplarının ödeme sonrası firmalara sunduğu özet rapordan kesitler… ● Nasıl girdik? ● Ne yaptık? ● Hangi önlemleri almalısınız?
  • 23. Phishing Örneği: Egregor Ransomware Case Study “Security report - Initial access was gotten from phishing email, then we make harvesting information about active directory groups and rights using LDAP protocol using bloodhound. Then, having user token of call center we got access to other computers from this group of user using protocol WinRM. On every computer we have executed mimikatz, which dumped NTML hash of user [Redacted UserName]. This user was in group of Domain Admins. For persistence we created user “[Redacted DA Name]” and added it into all groups containing domain admins. After we got the full access of the network, we began looking the info about the company. Server [Redacted Server name] was the mirror of cluster [Redacted Cluster Name]. In the folder users were the table with passwords for a root account of [Redacted Server name] panel. File was [REDACTED]. It had passwords to four [Redacted Cluster Name]: [Redacted Cluster Name1 [Redacted Cluster Name2][Redacted Cluster Name3][Redacted Cluster Name4], From [Redacted] clusters we downloaded all information and deleted all snapshots.”
  • 24. Giriş Yöntemi olarak RCE(Remote Code Execution) Zafiyetleri
  • 26. Çalıntı Hesaplar Üzerinden Erişim Elde Etme ● Çalıntı VPN hesapları ● Stealer Logs ● RDP
  • 27. [5] - Hacklenen Firmalarda Kalıcı Olma
  • 28.
  • 29. Detay Araştırma, Arka Kapı Bırakma, Backup Sistemlerinin Tespiti ● Cobalt Strike ● Sigma Kuralları ● Back-up We cooperate only with experienced pentesters who are real professionals in such tools as Metasploit Framework and Cobalt Strike.
  • 30. [6] - Ödemeye Zorlama Amaçlı Yapılan Çalışmalar ● Hedef:Ne yap, et o parayı al! ● 4 aşamalı para ödemeye zorlama Phase 1: Just ransomware. Encrypt the files, drop the ransom note, and wait for the payment. Phase 2: Double extortion. Phase 1 + data exfiltration and threatening data release. Maze was one of the first documented cases of this. Phase 3: Triple extortion. Phase 1 + Phase 2 + threatening DDoS. SunCrypt, RagnarLocker, and Avaddon were among the first groups documented doing this. Phase 4: Quadruple extortion. Phase 1 (+ possibly Phase 2 or Phase 3) + directly emailing the victim’s customer base or having contracted call centers contact customers. Kaynak (Trend Micro)
  • 31. Ransomware Gruplarının Ödeme Alma Taktikleri ● DDoS ● Dosyaları yayınlama ● KVKK, GDPR şikayet şantajı ● Borsaya açık firmalar için hisse değeri konusu ● CEO yazışmaları
  • 32. [7] - Verilerin Şifrelenmesi ● Veriler nasıl şifreleniyor? ● Kaç saatlik bir zaman diliminde tüm verilerim şifrelenmiş olur? ● Dosyaların Şifrelenmesi (AD Politikası) ● Bitlocker kullanım örneği
  • 33. [8] - Pazarlık / Public Sitelerde Yayınlama Şantaj
  • 34. Ransomware Gruplarının Aktivitelerini Nasıl Takip Ederim? https://drive.google.com/file/d/1MI8Z2tBhmqQ5X8Wf_ozv3dVjz5sJOs-3/view
  • 36. [9] - Fidye Pazarlığı Nasıl Yapılır? ● Pazarlıkta dikkat edilmesi gerekenler ● Pazarlık öncesi yönetim onayları ● KVKK bildirimi hazırlık ● A-B-C planları https://www.newyorker.com/magazine/2021/06/07/how-to-negotiate-with-ransomware-hackers https://thebossmagazine.com/prisoners-dilemma-negotiation/
  • 39. Başarısız Sonuçlanan Pazarlık Örneği Washington DC Police Allegedly Offered $100,000 to Hackers to Stop Leak
  • 40. Gerçek Bir Fidye Pazarlığı
  • 42. [10] - Milyon Dolarlık(!) Siber Güvenlik Önerileri Milyon $$ ödediğimizde alacağımız öneriler: 1. Hesaplarınızda MFA(çoklu kimlik doğrulama) kullanın 2. Yedeklerinizi mutlaka teyplere alın 3. Klasik antivirüs yerine yeni nesil bir EDR/EPP çözümü kullanın 4. Pentest yaptırın ve düzenli tarama yapın
  • 43. Ransomware Saldırılarına Müdahale ● Doğru bir müdahale nasıl olmalı?
  • 44. Ransomware’e Karşı Öneriler ● EASM / Zafiyet Yönetimi Mutlaka Kullanılmalı ● İşe yarayan bir EPP/EDR çözümü mutlaka kullanılmalı ● Yedekleme konusu mutlaka gözden geçirilmeli ve B planı hazırlanmalı ● Ransomware bulaştırma tatbikatı yapılarak önceden önlemlerin geçerliliği sınanmalı ● 7/24 güvenlik izleme ve arayacak birileri mutlaka olmalı Örnek
  • 45. Ransomware Saldırılarına Hazırlık - Simülasyon Çalışması X ransomware saldırısı bize karşı gerçekleştirilseydi tespit edebilir miydik? Engelleyebilir miydik?
  • 46. Teşekkürler Geri bildirim için huzeyfe.onal@bgasecurity.com