Son yıllarda güvenli parola oluşturma kuralları giderek daha fazla gündeme geliyor. Birçok dijital servis artık kullanıcılarından en az 10 karakter uzunluğunda, büyük harf, rakam ve özel karakter içeren parolalar talep ediyor. Ancak geçmiş yıllardaki sızdırılmış parola verilerinin karşılaştırmalı analizi, yalnızca bu temel kurallara uymanın brute force veya yapay zekâ destekli saldırılara karşı yeterli koruma sağlamadığını ortaya koyuyor.

Kaspersky uzmanları, kullanıcıların daha güçlü ve güvenli parolalar oluşturabilmesi için dikkat edilmesi gereken noktaları ve en sık yapılan hataları paylaşıyor.

Rakam ve sembol kullanımında daha yaratıcı olun

Yalnızca tek bir özel karakter içeren sızdırılmış parolalar incelendiğinde, en sık kullanılan sembolün yüzde 10 oranıyla “@” işareti olduğu görülüyor. Onu yüzde 3 ile nokta (.) takip ediyor. Tüm analiz edilen parolalar arasında ise “@” en yaygın ikinci karakter olurken, üçüncü sırada “!” yer alıyor.

Rakam kullanımında da benzer derecede öngörülebilir kalıplar dikkat çekiyor:

• İncelenen parolaların yüzde 53’ü rakamlarla sona eriyor.
• Yüzde 17’si rakamlarla başlıyor.
• Yaklaşık yüzde 12’si, 1950-2030 yılları arasındaki tarihlere benzeyen sayı dizileri içeriyor.
• Sızdırılmış parolaların yüzde 3’ünde “qwerty” veya “ytrewq” gibi klavye dizilimleri yer alırken, en yaygın örnekleri “1234” benzeri sayısal diziler oluşturuyor.

Kaspersky Veri Bilimi Ekibi Lideri Alexey Antonov, özellikle yaygın kullanılan sembollerin, sayıların veya tarihlerin parolanın başında ya da sonunda kullanılmasının siber suçlular için brute force saldırılarını önemli ölçüde kolaylaştırdığına dikkat çekiyor. Antonov’a göre bu nedenle daha az tercih edilen karakterlerin kullanılması ve tahmin edilmesi kolay sayı ya da klavye dizilimlerinden kaçınılması gerekiyor.

“Brute force saldırıları, doğru parola bulunana kadar tüm olası karakter kombinasyonlarını sistematik şekilde deneyerek çalışır. Saldırganlar kullanıcıların hangi karakterleri daha sık tercih ettiğini bildiğinde, parolanın kırılması için gereken süre ciddi ölçüde azalır. Tahmin edilebilir semboller seçme eğiliminden kaçınmak için, harf, rakam ve özel karakterleri eşit olasılıkla üreten parola oluşturucuların kullanılması büyük önem taşıyor” diyor Antonov.

Kelime Kullanımından Kaçının: Duygular ve Akımlar Risk Taşıyor

Araştırma, duygusal veya popüler kelimelerin sıklıkla parolanın temelini oluşturduğunu kanıtlıyor. 2023-2026 yılları arasında “Skibidi” kelimesinin kullanımındaki 36 katlık artış, internet kültürünün siber güvenliğe olan doğrudan yansımasını gösteriyor.

Kaspersky uzmanlarının pozitif ve negatif kelimeler üzerine yaptığı analizde, pozitif kelimelerin çok daha baskın olduğu görüldü. Parolalarda en sık rastlanan kelimeler arasında “love”, “magic”, “friend”, “team”, “angel”, “star” ve “eden” gibi ifadeler yer alıyor. Bununla birlikte “hell”, “devil”, “nightmare” ve “scar” gibi negatif kelimeler de listede kendine yer buluyor.

Antonov bu konuda şu öneride bulunuyor: “Sonuna bir rakam veya sembol eklense bile tek bir kelimeden oluşan parolalar zayıf tercihlerdir. Bu kalıplar çok öngörülebilir olduğu için saldırganlar tarafından kolayca tahmin edilebilir. Bunun yerine, birbiriyle ilgisiz birkaç kelimeyi bir araya getiren, aralara rakamlar ve semboller serpiştirilen ve hatta bilinçli yazım hataları içeren bir ‘parola cümlesi’ (passphrase) oluşturun. Parola ne kadar uzun, rastgele ve öngörülemez olursa kırılması o kadar zorlaşır. Ayrıca, mümkün olan her yerde iki faktörlü doğrulamayı (2FA) mutlaka etkinleştirin.”

Parola Uzunluğu Tek Başına Yeterli mi?

Uzun parolaların kırılmasının daha zor olduğu uzun süredir biliniyor ve sızdırılmış parola analizleri de bunu doğruluyor. Ancak yapay zekâ destekli araçların gelişmesiyle birlikte, yalnızca parola uzunluğu artık tek başına yeterli güvenliği sağlamıyor. Çünkü uzun parolalar dahi öngörülebilir kalıplar içerdiğinde kolaylıkla kırılabiliyor.

Araştırmaya göre veri sızıntılarında yer alan sekiz karakter ve altındaki kısa parolalar genellikle bir gün içinde brute force saldırılarıyla kırılabiliyor. Öte yandan yapay zekâ destekli akıllı algoritmalar sayesinde 15 karakter uzunluğundaki parolaların %20’sinden fazlası bir dakikadan kısa sürede çözülebiliyor.

Parola uzunluğunun kırılma oranlarına etkisi: Tek bir 5090 GPU ve MD5 algoritmasına dayalı sonuçlar

Analiz edilen tüm parolaların yüzde 60,2’sinin — uzunluğundan bağımsız olarak — yaklaşık bir saat içinde kırılabildiği görülürken, bu oran bir gün içinde kırılabilen parolalarda yüzde 68,2’ye ulaşıyor.

Paylaşılan örneklerdeki hesaplamalar, tek bir RTX 5090 GPU ve MD5 algoritması baz alınarak gerçekleştirildi. Ancak gerçek dünya senaryolarında saldırganlar; 10, 100 hatta daha fazla GPU’yu kiralayabiliyor. Bu tür koşullarda parola kırma hızı, potansiyel olarak katlanarak artabiliyor.

Günümüz koşullarında gerçekten güçlü bir parola; yalnızca 16 karakter ve üzeri uzunluk standardını karşılamakla kalmıyor, aynı zamanda rastgele oluşturulmuş, tekrar etmeyen harf, rakam ve sembollerden oluşuyor ve her hesap için benzersiz şekilde kullanılıyor. Kullanıcıların bu tür güvenli parolalar oluşturmasına yardımcı olmak amacıyla Kaspersky, Kaspersky Password Generator websitesine parola oluşturma özelliği ekledi. Böylece kullanıcılar artık yalnızca parolalarının sızıntılara karışıp karışmadığını kontrol etmekle kalmıyor, aynı zamanda ücretsiz olarak güçlü parolalar da oluşturabiliyor.

Parolaların kolay ve güvenli şekilde yönetilmesi, otomatik doldurma özelliğinden yararlanılması ve cihazlar arasında güvenli senkronizasyon sağlanması için, tüm kimlik bilgilerinin güvenli bir kasada saklandığı ve tek bir ana parola ile korunduğu bir parola yöneticisinin kullanılması öneriliyor. Bu yaklaşım, yüzlerce farklı parolayı hatırlama ihtiyacını ortadan kaldırırken, bilgilerin veri ihlallerine karşı korunmasına da yardımcı oluyor. Üstelik yalnızca parolalar değil, passkey’ler de doğrudan Kaspersky Password Manager içerisinde oluşturulup saklanabiliyor. Böylece kullanıcılar desteklenen hizmetlere tek dokunuşla giriş yapabilirken, güvenli senkronizasyon sayesinde passkey’lerine tüm cihazlarından erişebiliyor.

Kaspersky Araştırması: Sızdırılan Parolaların Yarısından Fazlası Rakamla Bitiyor yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Söz konusu olayda siber suçlular, çalınan ayrıcalıklı kimlik bilgilerinden faydalanarak altyapıya sızmayı başardı. Olay Batı Afrika’da gerçekleşmiş olsa da, Kaspersky diğer bölgelerde de builder tabanlı fidye yazılımı saldırılarının yaşandığına dikkat çekiyor.

Gine-Bissau’da meydana gelen son olay, özel fidye yazılımlarının bugüne dek görülmemiş teknikler kullandığını ortaya koydu. Virüs bulaşmış ana bilgisayarların kötü amaçlı yazılımı kurbanın ağında daha fazla yaymaya çalışması kontrolsüz bir çığ etkisi yaratabiliyor. 

Kaspersky, yaşanan son olayın ardından konuyla ilgili olarak ayrıntılı bir analiz paylaştı.

Kimlik taklidi: Yasadışı yollarla elde edilen kimlik bilgilerinden yararlanan tehdit aktörü, ayrıcalıklı haklara sahip sistem yöneticisinin kimliğine bürünüyor. Ayrıcalıklı hesaplar saldırıyı yürütmek ve kurumsal altyapının en kritik alanlarına erişim sağlamak için kapsamlı fırsatlar sunduğundan, bu adım kritik önem taşıyor.

Kendi kendine yayılma: Özelleştirilmiş fidye yazılımı, yüksek ayrıcalıklı etki alanı kimlik bilgilerini kullanarak ağda bağımsız olarak yayılabiliyor. Ayrıca verileri şifrelemek ve eylemlerini gizlemek için Windows Defender’ı devre dışı bırakma, ağ paylaşımlarını şifreleme ve Windows Olay Günlüklerini silme gibi kötü amaçlı etkinlikler gerçekleştirebiliyor. Kötü amaçlı yazılımın davranışı, virüs bulaşmış her bir ana bilgisayarın ağdaki bir diğer ana bilgisayarlara virüs bulaştırmaya çalıştığı senaryoyla sonuçlanıyor.

Uyarlanabilir özellikler: Özelleştirilmiş yapılandırma dosyaları, yukarıda belirtilen yeteneklerle birlikte, kötü amaçlı yazılımın kendisini mağdur şirketin mimarisinin belirli yapılandırmalarına göre uyarlamasını sağlıyor. Örneğin saldırgan, fidye yazılımını .xlsx ve .docx dosyaları gibi yalnızca belirli dosyalara veya yalnızca belli bir dizi sisteme bulaşacak şekilde yapılandırabiliyor.

Kaspersky, bu özel yapıyı bir sanal makine üzerinde çalıştırdığında gerçekleştirdiği kötü amaçlı faaliyetlerin yanı sıra masaüstünde özel bir fidye notu oluşturduğunu gözlemledi. Gerçek saldırı durumunda bu not, kurbanın şifre çözücüyü elde etmek için saldırganlarla nasıl iletişime geçmesi gerektiğine dair ayrıntılar içeriyor.

Kaspersky Global Acil Durum Müdahale Ekibi Olay Müdahale Uzmanı Cristian Souza, şunları söylüyor: “LockBit 3.0 builder 2022 yılında sızdırıldı ve saldırganlar bunu özelleştirilmiş sürümler hazırlamak için aktif olarak kullanıyor. Bunun için ileri programlama becerileri de gerekmiyor. Bu esneklik, incelediğimiz son vakanın da gösterdiği üzere, saldırganlara saldırılarının etkinliğini arttırmak için pek çok fırsat sunuyor. Kurumsal kimlik bilgisi sızıntılarının artan sıklığı göz önüne alındığında, bu tür saldırılar daha da tehlikeli hale geliyor.”

Kaspersky ayrıca saldırganların SessionGopher komut dosyasını kullanarak etkilenen sistemlerdeki uzak bağlantılar için kayıtlı parolaları bulup çıkardığını tespit etti.

Sızdırılan LockBit 3.0 kurucusuna dayanan- ancak Gine-Bissau’da bulunan kendi kendine yayılma ve kimliğe bürünme yeteneklerinden yoksun- çeşitli diğer türleri içeren olaylar, çeşitli sektörlerde ve bölgelerde düzenli olarak meydana geliyor. Bunların Rusya, Şili ve İtalya’da gözlemlenmesi saldırıların coğrafyasının daha da genişlediğine dair bir gösterge niteliğinde.

Kaspersky güvenlik ürünleri bu tehditleri Trojan-Ransom.Win32.Lockbit.gen, Trojan.Multi.Crypmod.gen ve Trojan-Ransom.Win32.Generic olarak tespit ediyor. SessionGopher komut dosyası HackTool.PowerShell.Agent.l veya HackTool.PowerShell.Agent.ad olarak algılanıyor.

LockBit, hizmet olarak fidye yazılımı (RaaS) sunan bir siber suç grubu. Şubat 2024’te uluslararası kolluk kuvvetleri operasyonu grubun kontrolünü ele geçirdi. Operasyondan birkaç gün sonra fidye yazılım grubu meydan okurcasına tekrar faaliyete geçtiğini duyurdu.

Kaspersky, fidye yazılımı saldırılarının etkinliğini azaltmak için aşağıdaki önlemleri öneriyor:

• Sık sık yedekleme yapın ve yedeklerinizi düzenli testlerden geçirin.
• Fidye yazılımının kurbanı olduysanız ve henüz bilinen bir şifre çözücü yoksa, kritik şifrelenmiş dosyalarınızı saklayın. Devam eden bir tehdit araştırma çabası sonucunda veya yetkililer tehdidin arkasındaki aktörün kontrolünü ele geçirmeyi başarırsa şifre çözmeye dair bir çözüm ortaya çıkabilir.
• Yakın zamanda yetkililer LockBit fidye yazılımı grubunu çökertmek için bir operasyon düzenledi. Operasyon sırasında, kolluk kuvvetleri özel şifre çözme anahtarları elde etti ve bilinen kimliklere dayalı olarak dosyaların şifresini çözmek için araçlar hazırladı. check_decryption_id.exe ve check_decrypt.exe gibi bu araçlar, dosyaların kurtarılıp kurtarılamayacağını değerlendirmenize yardımcı olur.
• Kaspersky Endpoint Security gibi sağlam bir güvenlik çözümünü yaygınlaştırın ve doğru şekilde yapılandırıldığından emin olun. Proaktif tehdit avcılığı için Yönetilen Algılama ve Yanıt (MDR) hizmetlerini değerlendirin.
• Kullanılmayan hizmetleri ve bağlantı noktalarını devre dışı bırakarak saldırı yüzeyinizi azaltın.
• Güvenlik açıklarını derhal yamayın, sistemlerinizi ve yazılımlarınızı güncel tutun.
• Zayıflıkları tespit etmek ve uygun karşı önlemleri uygulamak için düzenli olarak sızma testleri ve güvenlik açığı taraması gerçekleştirin.
• Siber tehditler ve azaltma stratejileri konusunda farkındalığı artırmak için çalışanlarınıza düzenli olarak siber güvenlik eğitimi verin.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Sızdırılan LockBit builder tabanlı fidye yazılımı, çalışanları taklit ederek kendiliğinden yayılıyor yazısı ilk önce En Gazete üzerinde ortaya çıktı.