Bir Fidye Saldırısının Anatomisi
Bu akış; Eskişehir ve çevresindeki KOBİ’lerde yaşanmış gerçek olayların harmanlanmış, isim verilmemiş bir fidye saldırısı senaryosudur. Her adımda hem “ne oldu?” hem de “bunu nasıl engellerdik?” sorusunun kısa cevabı var.
Kare 1
Pazarlamadan Ayşe, yoğunluk arasında gelen bir “kargo takip” mailine tıklıyor. Link, şirket logosuna benzeyen sahte bir sayfaya gidiyor.
Bunu Engellemenin Yolu
Phishing eğitimleri, e-posta güvenlik filtreleri ve basit bir iç politika: “Emin değilsen BT’ye sor.”
Kare 2
Zararlı yazılım, Ayşe’nin bilgisayarındaki oturum bilgilerinden yararlanarak dosya sunucusuna ve paylaşılan klasörlere bulaşmaya başlıyor.
Bunu Engellemenin Yolu
EDR, davranış analizi ve anormal dosya erişimlerini tespit eden loglama altyapısı ile ilk dakikalarda sinyal yakalanır.
Kare 3
Ortak klasördeki projeler, teklif dosyaları ve muhasebe tabloları birer birer açılmaz hale geliyor. Dosya sonlarına .locked benzeri uzantılar eklenmiş.
Bunu Engellemenin Yolu
Yetkiyi “en az ayrıcalık” prensibiyle kısıtlamak, kritik klasörlerde versiyonlu yedek ve offline kopya bulundurmak.
Kare 4
Ekranda beliren notta, “dosyalarınızı geri açmak için şu adrese yazın, 3 gün içinde ödeme yapın” yazıyor. İlk refleks: “Yedekler sağlam mı?”
Bunu Engellemenin Yolu
3-2-1 yedekleme kuralı: 3 kopya, 2 farklı ortam, 1 off-site. Test restore yapılmamış yedek, gerçek yedek değildir.
Kare 5
Eski NAS üzerindeki yedeği geri döndürmeye çalışırken, dosyanın bozuk olduğu ortaya çıkıyor. Son sağlam kopyanın tarihi kimsenin aklında değil.
Bunu Engellemenin Yolu
Yedekleme sonrası otomatik doğrulama, periyodik test restore ve basit bir DR prosedürü ile bu sahne yaşanmaz.
Kare 6
Olay sonrası yönetim, “Bu bize pahalıya patladı ama tekrarlanmaması için neleri değiştirmeliyiz?” sorusuna gerçek cevaplar istiyor.
Bunu Engellemenin Yolu
Olay sonrası rapor, root-cause analizi, policy güncellemeleri ve kullanıcı farkındalık çalışmaları kalıcı hale getirilir.