RT Tehditleri

RT nedir, nasıl tespit edilir?

Ransomware/fidye yazılımı kategorisindeki kayıtlar; bilinen fidye operasyonlarının (LockBit, BlackCat, Conti varyantları, RansomHub) leak site, ödeme portalı veya operatör altyapısı olarak işaretlenmiş adresleri kapsar.

Tespit; EDR'de bilinen ransomware aileleri için davranış kuralları (mass file rename, shadow copy silme, BCDEdit ile recovery devre dışı bırakma), NDR'de C2 callback ve veri sızdırma trafiği üzerinden sağlanır. MITRE ATT&CK'da T1486 (Data Encrypted for Impact), T1490 (Inhibit System Recovery), T1567 (Exfiltration to Web Service) teknikleri ile eşleştirilir.

Savunma; yedek izolasyonu (air-gapped veya immutable backup), EDR'da ransomware davranış kuralları, segmentasyon, ayrıcalıklı hesap yönetimi (PAM) ve düzenli IR tatbikatları ile sağlanır. Herhangi bir kurumsal varlığın bu kategorideki IoC'ye erişimi P1 (kritik) olay sayılmalıdır.

Kritiklik dağılımı

Toplam 0 RT göstergesinin operasyonel risk bandlarına dağılımı.

Önerilen Aksiyonlar

RT kategorisinde bir tehdit göstergesi tespit edildiğinde, aşağıdaki kurumsal müdahale adımları takip edilmelidir.

• 1 Bu göstergeyi mevcut güvenlik duvarı ve web proxy engelleme listelerine günlük senkronizasyonla ekleyin.
• 2 SIEM platformunda eşleştirme kuralı oluşturun; son 30 günlük log verisinde geriye dönük arama yapın.
• 3 Sınır yönlendiricilerinde bu IP/aralık için inbound ve outbound ACL kuralı tanımlayın; NetFlow telemetrisini etkinleştirin.
• 4 NDR/NTA çözümünüzde bu IP'ye yönelik bağlantı denemelerini yüksek-öncelikli alarm olarak işaretleyin.
• 5 Bu göstergeyi kurumsal tehdit istihbarat platformuna (TIP) kaynak atfı ile birlikte kaydedin; resmi kaynak: siberguvenlik.gov.tr · USOM. Orijinal kayıt: —

Filtre Matrisi