Evet — bir fidye yazılımı müzakerecisi aynı zamanda BlackCat (ALPHV) saldırganı çıktı. 41 yaşındaki Angelo Martino, DigitalMint adlı siber güvenlik olay müdahale firmasında çalışırken 2023’te ABD’li kurumlara yönelik fidye saldırılarına katıldığını mahkemede kabul etti. Bu yazıda vakayı, içeriden tehdit (insider threat) riskinin Türkiye’deki kurumları nasıl etkilediğini ve Wazuh ile tespit kurallarını ele alıyorum. ⚠️
Ne Oldu? Olayın Özeti ve Asıl Çarpıcı Nokta
DigitalMint adlı siber güvenlik olay müdahale firmasında çalışan Angelo Martino, 2023 yılında ABD’li şirketlere yönelik BlackCat/ALPHV fidye yazılımı saldırılarına karıştığını kabul etti. Martino’nun rolü son derece kritik ve bir o kadar da karanlık: Müzakereci sıfatıyla kurbanların güvenini kazanıyor, fidye ödeme süreçlerini yönetiyor ve aynı anda ya da sonrasında elde ettiği erişim ile içgörüleri saldırı altyapısına aktarıyor olması kuvvetle muhtemel.
Haberi okuduğumda ilk düşüncem şu oldu: Bu kişi kurbanların ağ yapısını, savunma mekanizmalarını, olay müdahale prosedürlerini ve hatta ödeme kapasitelerini birinci elden biliyordu. Klasik bir “dışarıdan saldırgan” senaryosundan çok daha tehlikeli bir pozisyon. Sektör jargonuyla söylersek: bu adamın TTI (Time to Intelligence) sıfırdı, çünkü zaten içerideydi.
İçeriden Tehdit Neden Bu Kadar Tehlikeli?
İçeriden tehdit (Insider Threat), çoğu kurumun risk modelinde hâlâ ikincil bir satır olarak kalıyor. Oysa Verizon DBIR raporları yıllardır şunu söylüyor: ihlallerin önemli bir kısmında içeriden bir aktör ya doğrudan fail, ya kolaylaştırıcı ya da ihmalkar bir unsur olarak yer alıyor. Martino vakası bu üç rolü tek kişide birleştiriyor.
Türkiye özelinde konuşursak: Pek çok KOBİ ve orta ölçekli kurumda BT/güvenlik personeli sayısı az, yetki sınırları belirsiz ve ayrıcalıklı erişim denetimleri yetersiz. Bir olay müdahale sürecinde dışarıdan getirilen danışmanlara veya MSSP ekiplerine verilen yetkiler çoğu zaman belgelenmeden, zaman sınırı konulmadan ve log alınmadan kalıyor. Bu durum, Martino vakasındaki riski birebir yansıtıyor.
MITRE ATT&CK çerçevesinde bu vakayı şu tekniklerle eşleştirebiliriz:
- T1078 – Valid Accounts: Meşru kimlik bilgileriyle sisteme erişim. Martino zaten yetkili bir kullanıcıydı.
- T1591 – Gather Victim Org Information: Müzakere sürecinde toplanan kurumsal bilgilerin saldırıya kanalize edilmesi.
- T1486 – Data Encrypted for Impact: BlackCat’in nihai payload’ı — fidye amaçlı şifreleme.
- T1567 – Exfiltration Over Web Service: Çalınan verinin dışarıya sızdırılması (ALPHV’nin çift gasp modeli).
- T1489 – Service Stop: Yedekleme ve güvenlik servislerinin devre dışı bırakılması.
Bu Olay Türk Kurumlarını Nasıl Etkiler?
Şunu açıkça söylemek gerekiyor: Türkiye’de fidye yazılımı müzakere hizmeti veren yerli ve yabancı firmalar giderek artıyor. Bir saldırı anında panikle çağrılan bu danışmanlar, ağınıza VPN erişimi alıyor, Active Directory’nizi, backup altyapınızı ve finansal verilerinizi görüyor. Onlara verdiğiniz güven, Martino vakasında kurbanların verdiği güvenden farklı değil.
Bunun yanı sıra, kendi iç çalışanlarınız da benzer riskler barındırıyor. Aşırı yetkilendirilmiş sistem yöneticileri, memnuniyetsiz eski çalışanlar ya da finansal baskı altındaki personel — hepsi potansiyel içeriden tehdit vektörü. 🛡️
Wazuh ile İçeriden Tehdidi Nasıl Tespit Edersiniz?
Biz kurumda Wazuh ile içeriden tehdit senaryolarını izlerken birkaç kritik detection katmanı kullanıyoruz. En değerli olanları: ayrıcalıklı hesap davranış anomalileri, mesai dışı erişimler, toplu dosya erişimi/kopyalama ve yedekleme servislerine dokunma.
Aşağıda, ayrıcalıklı bir kullanıcının Windows ortamında toplu dosya silme veya gölge kopya (VSS) silme girişimini tespit eden örnek bir Wazuh kuralı paylaşıyorum. BlackCat dahil pek çok fidye yazılımı, şifrelemeden önce gölge kopyaları siler — bu, tespitiniz için altın değerinde bir sinyal. 🔧
<!-- Wazuh custom rule: VSS/Shadow Copy deletion + ransomware pre-stage detection -->
<!-- /var/ossec/etc/rules/local_rules.xml dosyasına ekleyin -->
<group name="ransomware,insider_threat,windows,">
<!-- Kural 1: vssadmin ile gölge kopya silme girişimi -->
<rule id="100200" level="14">
<if_group>windows</if_group>
<field name="win.eventdata.commandLine" type="pcre2">
(?i)(vssadmin.*delete.*shadows|wmic.*shadowcopy.*delete|bcdedit.*recoveryenabled.*no)
</field>
<description>Ransomware Pre-Stage: Gölge kopya veya kurtarma silme girişimi tespit edildi - $(win.eventdata.user)</description>
<mitre>
<id>T1490</id>
</mitre>
<options>no_full_log</options>
</rule>
<!-- Kural 2: Mesai dışı saatlerde ayrıcalıklı hesap girişi (22:00 - 06:00) -->
<rule id="100201" level="10">
<if_sid>60106</if_sid> <!-- Wazuh: Windows privileged logon -->
<time>10pm - 6am</time>
<description>Insider Threat İzleme: Mesai dışı ayrıcalıklı oturum açma - $(win.eventdata.targetUserName)</description>
<mitre>
<id>T1078</id>
</mitre>
</rule>
<!-- Kural 3: Kısa sürede çok sayıda dosyaya erişim (FIM tabanlı) -->
<rule id="100202" level="12" frequency="50" timeframe="60">
<if_matched_sid>550</if_matched_sid>
<same_field>agent.id</same_field>
<description>Ransomware/Insider: 60 saniyede 50+ dosya değişikliği tespit edildi (Agent: $(agent.name))</description>
<mitre>
<id>T1486</id>
</mitre>
</rule>
<!-- Kural 4: Yedekleme servisi durdurma girişimi -->
<rule id="100203" level="13">
<if_group>windows</if_group>
<field name="win.eventdata.commandLine" type="pcre2">
(?i)(net\s+stop|sc\s+stop|taskkill).*(backup|veeam|acronis|shadowprotect|wbengine)
</field>
<description>Ransomware Pre-Stage: Yedekleme servisi durdurma girişimi - $(win.eventdata.user)</description>
<mitre>
<id>T1489</id>
</mitre>
</rule>
</group>Bu kuralları devreye aldıktan sonra Wazuh’un Active Response modülüyle de ilişkilendirebilirsiniz: örneğin Kural 100200 tetiklendiğinde otomatik olarak ilgili host’u ağ segmentinden izole eden bir script çalıştırmak, fidye yazılımının yayılmasını dakikalar içinde durdurabiliyor.
Ne Yapmalısınız? 6 Kritik Aksiyon Maddesi
- 🔐 Üçüncü taraf erişimlerini sınırlayın ve kayıt altına alın: Olay müdahale danışmanları dahil, dışarıdan gelen her erişim için zaman sınırlı, en az ayrıcalıklı hesaplar oluşturun. Bu hesapların tüm aktivitelerini Wazuh’a aktarın. Olay kapandığında hesabı hemen devre dışı bırakın.
- 📊 Ayrıcalıklı hesap davranışını baseline alın: Domain Admin, local Admin ve servis hesaplarınızın “normal” davranışını tanımlayın. Mesai dışı giriş, yeni lokasyondan erişim, toplu veri kopyalama gibi anomalileri otomatik alarm olarak kurgulayın.
- 🔧 Wazuh FIM’i kritik dizinlerde aktif edin: Özellikle yedekleme klasörleri, log dizinleri ve paylaşım sürücüleri üzerinde
whodata="yes"ile gerçek zamanlı izleme yapın. Kim, ne zaman, hangi dosyaya dokundu — her şeyin kaydı olsun. - ⚠️ VSS ve yedekleme servis komutlarını izleyin:
vssadmin delete shadows,bcdedit /set recoveryenabled nove benzeri komutların çalışmasını SIEM’de yüksek öncelikli alarm olarak tanımlayın. - 🛡️ Tedarik zinciri ve MSSP güven modelinizi gözden geçirin: Hangi MSSP veya danışmanın ağınıza ne kadar erişimi var? Bu erişimler belgelenmiş mi? Yıllık bir erişim denetimi prosedürü oluşturun.
- 👤 Çalışan ayrılış prosedürlerini sıkılaştırın: Bir çalışan görevden ayrıldığında tüm hesapları, VPN sertifikaları, API anahtarları ve paylaşılan şifreleri içeren kapsamlı bir “offboarding checklist” uygulayın.
❓ Sıkça Sorulan Sorular
Fidye müzakerecisi ne demek?
Fidye müzakerecisi, bir kurum fidye yazılımı saldırısına uğradığında saldırganlarla pazarlık eden ve ödeme süreçlerini yöneten dış danışmandır. Çoğu büyük siber güvenlik firması bu hizmeti sunar. Martino vakası bu rolün kötüye kullanılabileceğini gösteriyor: Müzakereci kurbanın ağ yapısını, savunma mekanizmalarını ve finansal kapasitesini birinci elden bilir.
İçeriden tehdit nedir ve nasıl tespit edilir?
İçeriden tehdit (insider threat), meşru erişimi olan bir çalışan, danışman veya tedarikçinin kasıtlı ya da kazara güvenliği ihlal etmesidir. Tespiti zor çünkü eylemler görünüşte meşrudur. Yaygın tespit yöntemleri: ayrıcalıklı hesap davranış analizi, mesai dışı erişim alarmları, toplu dosya erişim paternleri ve yedekleme servislerine dokunma tespiti.
BlackCat (ALPHV) fidye yazılımı nedir?
BlackCat, 2021’den itibaren aktif, Rust diliyle yazılmış ve çift gasp modeli (şifreleme + veri sızdırma tehdidi) kullanan büyük bir ransomware-as-a-service (RaaS) grubudur. 2023’te FBI tarafından altyapısı kısmen çökertıldı ama tamamen yok olmadı; affiliate’ları farklı gruplara dağılarak faaliyetlerini sürdürdü.
Türk kurumları bu riske karşı ne yapmalı?
Üçüncü taraf erişimlerini zaman sınırlı ve least-privilege yapın, ayrıcalıklı hesap davranışlarını SIEM’de baseline alın, Wazuh FIM ile yedekleme dizinlerini gerçek zamanlı izleyin, VSS silme komutlarını yüksek öncelikli alarm yapın ve MSSP/danışman erişimlerini yıllık denetleyin.
Sonuç: Güven Bir Kontrol Değildir
Martino vakasından çıkarılacak en önemli ders şu: güven, bir güvenlik kontrolü değildir. “Bu kişi zaten güvenlik uzmanı, ona inanabiliriz” mantığı, bu davada tam anlamıyla çöküyor. Zero Trust mimarisinin özü tam da burada yatıyor — kimseye koşulsuz güvenme, her erişimi doğrula, her aksiyonu kayıt altına al.
Orijinal kaynak: bleepingcomputer.com
Bir Cevap Yazın