Adları bile bilinmiyor ama 4 milyondan fazla kişiyi fidyeden kurtardılar! Onlar süper kahraman hacker'lar...
Güncelleme Tarihi:
Fidye yazılım saldırıları son dönemde hızla yaygınlaşan bir siber suç. Şirketleri, hastaneleri, okulları, devlet kurumlarını hatta boru hatlarını bile felç eden bu saldırılardan kurtulmanın tek yolu fidyeyi ödemek gibi görünüyor ama değil. Ödeyecek gücü olmayan ya da korsanlara para kaptırmak istemeyenlerin yardımına koşan bir tim var. Peki kim bunlar?
Londra'nın merkezindeki bir okulun bilgi teknolojileri yöneticisi olan Matthew'nun telefonuna 23 Kasım 2020 Pazartesi akşamı saat 21.00 sularında bir mesaj geldi. İş arkadaşlarından biri okulun internet sitesine erişilemediğini haber veriyordu.
Matthew kendi de girmeyi denedi siteye ama başarılı olamadı. Başta "Acaba şifremi mi unuttum?" diye düşünse de kısa süre içinde sitenin kullanıcı adını tanımadığını fark etti.
Soyadının açıklanmasını istemeyen Matthew'nun çalıştığı devlet okulu, Hindistan, Pakistan ve Doğu Avrupa'dan gelen ve çok da varlıklı olmayan ailelerin çocuklarının devam ettiği bir kurum. Yaşları 5 ile 10 arasında değişen 150 kadar öğrencinin çoğunun en önemli besin kaynağı öğlenleri verilen ücretsiz okul yemekleri. Kraliçe Victoria döneminden kalmış eski binanın içinde kısıtlı bütçeyle öğrencileri için ellerinden geleni yapmaya çalışan öğretmenler, çocukların kalemlerini ilk tuttukları andan itibaren tüm ilerlemelerini, fotoğraflarını çekerek kayıt altına alıyor. Ardından bu fotoğraflar okulun diğer işlerinin de yürütüldüğü bir ortak işlemciye yükleniyor.
Dışarıdan anlaşmalı olarak çalışmaya 2016 yılında başlayan Matthew'nun işi, çocukların öğrenme yolculuğuna ait bu yeri doldurulmaz kayıtları korumak. Bu işin karşılığında aldığı para oldukça sınırlı ama Matthew bu önemli görevi büyük bir bağlılıkla yerine getiriyor.
23 Kasım 2020 gecesine dönersek... Matthew siteye erişilemediğini görünce elinden gelen her şeyi denemeye başladı. Saat 02.00 olduğunda son çare olarak sunucu hizmetini veren şirketin müşteri hizmetlerini aramaya karar verdi. Yeni bir sunucu aldı ve okulun sitesini bu sunucuya bağladı. Ama tuhaflık devam ediyordu. Matthew, sunucuda isimlerini gördüğü dosyaları açamıyordu. Hepsinin isminin sonuna ".encrypt" (şifrele) diye bir uzantı eklenmişti.
Matthew bir anda olan biteni fark ederek dehşete düştü: Okul, günümüzde hızla yaygınlaşmakta olan bir siber suç olan fidye saldırısı kurbanı olmuştu.
Korsanlıkla kriptografi arasında noktada yer alan fidye yazılımları, bulaştıkları sistemlerdeki dosyaları kilitliyor. Kilidi açmak sadece doğru şifre anahtarının girilmesiyle mümkün olabiliyor. Korsanlar bu şifre anahtarı karşılığında çok büyük paralar talep ediyor.
"TÜM DOSYALARINIZ KİLİTLENDİ, ÖDEME YAPMAK İÇİN 2 GÜNÜNÜZ VAR"
Korsanlar okulun sistemine öğretmenlerin içerik yönetimi amacıyla kullandığı bir internet portalı üzerinden sızmıştı. Aslında portalın güvenliğini artıracak bir yama yayımlanmıştı ama aynı anda birden fazla müşteriye hizmet veren Matthew, çok meşgul olduğundan o güncellemeyi yapmayı unutmuştu.
"Başkalarına verdiğim tavsiyeyi kendim uygulamamıştım. Çok büyük hüsrana uğradım ve çok utandım. Birileri karnıma yumruk atmış gibi hissettim" sözleriyle aktardı Matthew o andaki duygularını.
Okulun sitesinin enkazında dolanan Matthew bir not buldu. "Hack for Life" (Ölümüne Korsanlık) başlıklı notta şu ifadeler yer alıyordu:
"Tüm Dosyalarınız Kilitlendi! Dosyalarınızın yapısı ve içeriğindeki veriler geri döndürülemeyecek şekilde değiştirildi. Onları göremez, okuyamaz, üzerlerinde çalışamazsınız. Ama bizim yardımımızla dosyalarınızı eski haline getirebilirsiniz. Siz fidyeyi ödedikten sonra, tüm dosyalarınızın şifresini çözebiliriz. Fidye elimize geçtikten sonra sizi kandırmak için bir sebebimiz bulunmuyor çünkü biz barbar değiliz ve böyle bir şey yapmak bizim kazancımıza zarar verir.
Ödeme Yapmak İçin 2 Gününüz Var. 2 Günden sonra Şifre Çözme Ücreti, İkiye Katlanacak. 1 haftanın ardından ise üçe... Bu nedenle ödemeyi birkaç saat içinde yapmanızı tavsiye ediyoruz."
Bu, Matthew'nun fidye yazılımlarıyla ilk karşılaşması değildi. Daha önce çalıştığı yazılım şirketi de 2018 yılında saldırıya uğramıştı. Matthew ödeme yapmak yerine iki gün boyunca şirketin verilerini kurtarmak için çalışmıştı. Şirket yetkilileri ise olay duyulduğunda kurumun itibarına zarar geleceğini ve yatırımcıların paniğe kapılacağını düşünüyordu. İki günün ardından pes eden yöneticiler Matthew'ya 2 bitcoin'lik (o günün parasıyla yaklaşık 10 bin dolar) fidyeyi ödemesini söyledi. Ödemeyi yapan Matthew'ya şifreyi çözmek için gerekli anahtar teslim edildi ve şirket olayı geride bırakıp faaliyetlerine kaldığı yerden devam etti.
Ancak büyük bir şirketin önemsiz bir aksaklık muamelesi yaptığı böyle bir saldırı, ekonomik anlamda zorluklar yaşayan bir okul için felaket potansiyeli taşıyordu. Matthew, "Çocukların değerlendirmeleri imkânsız hale gelecekti. Öğretmenlerin aylarca verdiği emekler çöpe gidecekti. Okul teftişten geçemeyecekti" diye konuştu.
10 BİN EURO'LUK FİDYE TALEBİNİ 1000 EURO'YA İNDİRDİLER AMA…
Uykusuz geçirdiği bir gecenin ardından Matthew üstlerine durumu bildirdi ve saldırganlarla pazarlık etmekle görevlendirildi. Okulun saldırganlara para vermekten başka çaresi yokmuş gibi görünmesi diğer okulların da hedef alınmasına yol açacaktı. Matthew ve yöneticileri saldırıyı gizli tutmaya karar verdi. Okulun itibarı lekelensin istemiyorlardı, bu nedenle kolluk güçlerine haber vermemeyi seçtiler. Öğretmenlere ve velilere ise sistemin çalışmadığı söylendi.
Fidye notunda saldırganların istediği meblağ yer almıyordu. Matthew, korsanların belirttiği Gmail adresine "Bilgisayarımın şifresini kaldırmak için ne kadar istiyorsunuz?" diye bir e-posta gönderdi. Gelen cevapta, "10 bin euro ödemek zorundasınız. Bugün 10 bin. Yarın 15 bin. İki gün daha beklerseniz 20 bin" deniyordu.
Matthew, okulun böyle bir ödeme yapmaya gücünün yetmeyeceğini biliyordu. O nedenle saldırı çok fazla hasara yol açmamış gibi davranarak pazarlık yapmaya karar verdi.
"Size ödeyecek 10 bin euro'm yok. Kusura bakmayın ama gülünç bir talep bu. Biz kaynakları sınırlı olan küçük bir okuluz. Verilerimizin çok büyük bir kısmı yedeklenmiş halde, sadece yakın zamanda yüklenmiş birkaç fotoğraf kayıp. En fazla 500 dolar ödeyebilirim. Bu sizin için uygunsa bana haber verin" diye bir mesaj daha gönderen Matthew'nun stratejisi başta işe yaramış gibi görünüyordu. Korsanlardan gelen cevap "1000 Euro Son Teklif Eğer kabul etmezseniz bu konuşmayı sonlandırmak zorunda kalacağız" şeklindeydi.
10 milyon kişi ve şirket yararlanacak! Kara liste affıMatthew rahatlamıştı. Okul 1000 euro'yu toplayabilirdi. Felaket atlatılmış gibi görünüyordu. Korsanlar ödemeyi bitcoin olarak istiyordu. Matthew kendisi de kripto paraya yatırım yaptığından nasıl bitcoin alabileceğini biliyordu. 1000 euro'yu bitcoin'e çevirdi ve korsanların bildirdiği bir cüzdana aktardı. Ardından da "Tamam, gönderdim. Lütfen dosyalarımı nasıl kurtaracağımı bildirin bana" diye bir mesaj yazdı.
Gelen cevabı gördüğünde ise beyninden vurulmuşa döndü: "Üzgünüm 1000 euro'yu kabul edemiyoruz. 10 bin euro ödemek zorundasınız. Borcunuz 9000 euro siz ödemeyi yaptıktan sonra şifre çözme dosyasını size göndereceğim."
Saldırganlar Matthew'yu kandırmıştı. Taviz veriyormuş numarasıyla Matthew'nun ön ödeme yapmasını sağlamış ve anahtarı vermemişlerdi. Matthew o kadar bozulmuştu ki pazarlığın "Rakibine zor durumda olduğunu belli etme" şeklindeki bir numaralı kuralını bile unutmuştu. Umutsuzca yalvarmaya başladı: "1000 euro son teklif demiştiniz ve anlaşmıştık."
Ama saldırganın geri adım atmaya niyeti yoktu. "Bunu kabul edemem" diye yanıt verdi ve ekledi: "Üzgünüm, bu benim sorunum değil."
ŞİFREYİ KIRABİLECEK TEK KİŞİ VARDI
Matthew bir mucize bulma umuduyla interneti taramaya başladı. BleepingComputer (Bip'li Bilgisayar) sitesinin forum kısmında VashSorena isimli fidye yazılımının kurbanlarının yazışmalarına denk geldi. Bu yazılım da dosyaların sonlarına ".encrypt" şeklinde bir uzantı ekliyordu.
Matthew foruma, "Bugün bu fidye yazılımı bilgisayarıma bulaştı, fidyeyi ödedim ama saldırgan yardımcı olmadı" diye yazdı.
Diğer kullanıcılar Matthew'ya fidye notunu ve şifrelenmiş dosyalardan birkaçını ID Ransomware isimli siteye yüklemesini ve sitenin demonslay335 kullanıcı adıyla bilinen kurucusuyla temasa geçmesini tavsiye etti. "Şifreyi kırabilecek biri varsa o da demonslay335'tir" diyorlardı.
Bunun üzerine Matthew demonslay335'e, "Selam, çalıştığım okulun öğrencilerin ilerlemesini kaydettiği sunucum saldırıya uğradı ve şifrelendi. Lütfen, bana yardım edebilir misin? Tamamen sıkışmış durumdayım" diye mesaj gönderdi.
George Orwell'in yıllar evvel dediği üzere, "Medeniyetin tarihi büyük ölçüde silahların tarihidir". Günümüzde dijital silahlar dünyayı yeniden şekillendiriyor, en büyük tehdit de fidye yazılımları olacak gibi görünüyor. Fidye yazılımları kimlik hırsızlığı gibi siber suçlara kıyasla çok daha verimli ve kârlı. Hayatımızın her alanında internete olan bağımlılığımız arttıkça da suçluların para kazanıp kaos yaratma olasılıklarının sınırları sonsuzluğa doğru genişliyor. Fidye yazılımı saldırılarının ne kadar sık gerçekleştiği ve nasıl etkiler yarattığı tam olarak bilinmiyor çünkü birçok kurban başlarına geleni yetkililere bildirmekten ya da kamuoyuyla paylaşmaktan kaçınıyor. Ancak Bad Rabbit, LockerGoga gibi tuhaf isimleri olan yazılımlar son yıllarda milyonlarca şirketi, devlet kurumunu, kâr amacı gütmeyen kuruluşu ve kişiyi felç etti. Toplumun bilgisayarlara olan bağımlılığını sömüren korsanlar, sistemleri yeniden devreye almak için binlerce, milyonlarca hatta on milyonlarca dolar istiyor. Pandemi sırasında siber şantaj dalgası hastaneleri ve diğer hayati kurumları çalışamaz hale getirdi, şirketleri ve okulları kapanmaya zorladı, insanların akrabaları, dostları ve iş arkadaşlarıyla olan mesafesinin daha da açılmasına neden oldu.
ZORBALIKLA, YOKSULLUKLA, KANSERLE MÜCADELEYLE GEÇEN BİR ÇOCUKLUK...
İnternet aleminde demonslay335 (iblis avcısı) adıyla tanınan Michael Gillespie o sırada Londra'dan kilometrelerce uzakta, Illinois şehrinde yaşıyor, evinin üst katındaki mütevazı ofisinden fidye yazılımlarına karşı savaşıyordu. Sekiz kedileri, iki köpekleri ve bir tavşanları vardı ve Gillespie'nin ofisini "kedi odası" diye adlandırıyorlardı. Masanın üzerindeki dizüstü bilgisayar, duvardaki rafa yerleştirilmiş bir ekran, eskimiş bir kanepe ve en sevdiği film olan Aslan Kral'ın afişi dışında oda boştu.
O günlerde 29 yaşına girmek üzere olan Gillespie oldukça zor bir hayat yaşamıştı. Okulda zorbalığa uğramış, yoksullukla ve kanserle mücadele etmişti. Çocukluk yıllarında o kadar fakirdiler ki zaman zaman arkadaşlarının ya da akrabalarının yanına taşınmak zorunda kaldığı oluyordu. 16 yaşındayken bilgisayar tamir hizmeti veren Nerds on Call'da (Nöbetçi İnekler) çalışmaya başladı. 10 yıldan fazla çalıştığı bu şirkette kendi kendine fidye yazılımlarını kırmayı öğrendi.
Zamanla dünyanın en iyi fidye yazılım kırıcılarından biri haline geldi. Yarattığı şifre kırma araçları, dünyanın dört bir yanında en az 1 milyon kişi tarafından indirildi. Karşılığında bir kuruş bile almayan Gillespie, yardım ettiği kişileri toplamda yüz milyonlarca dolar değerinde fidye ödemekten kurtardı. Bilinen 1000'den fazla fidye yazılımı arasında 100'den fazlasını kırmayı başardı.
Gillespie için bugün internet bir tür sığınak, bir yuva. Uyanık olduğu saatlerin neredeyse tamamını çevrimiçi geçiren Gillespie'nin Illinois'deki akrabaları ve arkadaşları demonslay335'in internet alemindeki nüfuzundan habersiz.
FİDYE YAZILIM AVI TİMİ'NİN EN TANINMIŞ ÜYESİ
Becerikliliği ve yorulmazlığıyla tanınan Gillespie, Fidye Yazılım Avı Timi'nin en tanınmış üyesi. Sadece davetle katılım sağlanan bu seçkin ekip, hayatını fidye yazılımlarını kırmaya adamış bir grup teknoloji dâhisinden oluşuyor. Dünyanın dört bir yanına yayılmış bu gönüllüler, fidye ödemeye gücü yetmeyen ya da prensip gereği ödeme yapmayı reddeden kurbanların yardımına koşuyor. Ekip üyeleri toplamda 300'den fazla fidye yazılımını kırmayı başardı, aşağı yukarı 4 milyon kadar kurbana gelen milyarlarca dolar değerindeki fidye talebini boşa çıkardı.
Fidye Yazılım Avı Timi'nin üyelerinin çoğu tıpkı Gillespie gibi yokluktan başarıya ulaşmış kişiler. Teknik eğitimleri yok, her şeyi kendi kendilerine öğrenmişler. Bazılarının geçmişte yaşadığı yokluklar ve istismarlar, zorbalara karşı harekete geçmelerinde etkili olmuş. Saldırılarını savuşturdukları suçluların misilleme yapma ihtimaline karşı takma isimlerin ya da çevrimiçi kimliklerin arkasına saklanıyorlar. Çoğu birbirini hiç görmemiş bile.
Başvurular yarın başlıyor! Şimdi sıra ucuz arsada... Ancak hem davalarına hem de birbirlerine olan bağlılıkları çok güçlü. Örneğin biri ekonomik anlamda zor günler yaşadığında, ekip arkadaşlarından biri mutlaka devreye giriyor, bağış ya da iş teklifi yoluyla zora düşeni kurtarıyor. ABD, İngiltere, Almanya, İspanya, İtalya, Macaristan ve Hollanda gibi çeşitli ülkelere dağılmış durumdalar ancak hepsinin asıl yaşadığı yer internet alemi.
"HEPİMİZ BİR ŞEKİLDE DIŞLANMIŞ İNSANLARIZ"
Ekip üyelerinin maaşlı işleri de var: çoğu siber güvenlik alanında çalışıyor. Fidye yazılımlarını kırmayı ise bir tutku olarak görüyorlar. Birçoğu, bir sorunu çözmeye odaklanınca dünyayı unutup gece gündüz aralıksız bunun için çalışıyor. Zengin olmak umurlarında değil; öyle olsaydı var olan fidye yazılımlarını kırmak yerine yeni yazılımlar tasarlamakla uğraşırlardı.
Ekibin üyelerinden Fabian Wosar, "Bence hepimiz bir şekilde dışlanmış insanlarız" sözleriyle özetledi grubun genelini. Almanya'da doğup büyüyen, şu an ise Londra'nın dış mahallelerinden birinde yaşayan Wosar'ın lise diploması dahi yok. Gillespie'nin akıl hocası ve Fidye Yazılım Avı Timi'nin en önemli şifre kırıcısı olan Wosar, "Hepimizin normal dünyadan izole olmamıza neden olan ama fidye yazılımlarını izleyip insanlara yardım ederken işimize yarayan tuhaflıkları var. Tam da bu nedenle birlikte çok iyi çalışabiliyoruz. İçinizde tutku ve kendinize gerekli becerileri öğretme azmi olduğu müddetçe diplomaya ihtiyacınız yok" diye konuştu.
Elbette ekip bütün yazılımları kıramıyor. Zira doğru şekilde kodlanmış bir fidye yazılımının kırılması imkânsız. Ancak bazı saldırganların beceriksizlikleri, kestirmeden gitmek istemeleri yahut rakiplerini küçümsemeleri sonucu ortaya zayıf noktalar çıkıyor. Fidye Yazılım Avı Timi de tam olarak bu noktalardan vuruyor.
Ekip üyeleri gittikçe büyümekte olan bir boşluğu dolduruyor. Zira resmi makamlar fidye yazılımı saldırılarına karşı henüz yeterince önlem alabilmiş değil. Örneğin FBI kurbanlara fidyeyi ödememelerini tavsiye etmenin dışında bir alternatif sunamıyor. Korsanların önemli bir kısmı Rusya, İran, Kuzey Kore gibi ülkelerde faaliyet gösteriyor. Bu ülkelerin hükümetleri korsanları durdurmak için pek bir şey yapmıyor, üstüne üstlük Batı'ya karşı yürütülen isimsiz sanal savaşın bir parçası kabul edilen bu saldırılardan istihbarat elde etmek amacıyla faydalandıkları hatta ödenen fidyelerden pay aldıkları dahi söyleniyor. Fidye saldırıları yaygınlaştıkça kazançları katlanan sigortacılar ve siber güvenlik şirketleri gibi özel sektör temsilcileri de kesin çözümler üretme konusunda gönülsüz davranıyor.
KORSANLARLA SAVAŞANLAR, KORSANLARA ÇOK BENZİYOR
Ahlaki açıdan iki zıt uçta yer alan fidye yazılımı korsanları ile avcılar aslında aynı dünyanın insanları. Kedi fare oyununu bir kenara bıraktıkları zamanlarda korsanlar, avcılarla hem hakaretler hem de övgülerle dolu sohbetler ediyor. Fidye yazılımına duydukları hayranlık da becerileri de ortak.
Korsanların kodlarını kırma konusundaki maharetini defalarca sergilemiş olan Wosar, sık sık hem iltifatların hem de hakaretlerin hedefi oluyor.
Avcılar ve korsanların karakter özellikleri de benzer. Birçoğu işi kendi kendine öğrenmiş işsiz teknoloji delileri. Sosyal nezaket açısından biraz zayıflar. Aynı oyunları, aynı filmi seviyorlar. Örneğin HakunaMatata isimli fidye yazılımının adı, Gillespie'nin en sevdiği film olan Aslan Kral'ın Oscar'a aday gösterilmiş ünlü şarkısından geliyor. Tıpkı Fidye Yazılım Avı Timi'nin üyeleri gibi korsanların da çoğu genç erkekler. Dünyanın dört bir yanına yayılmış haldeler ancak çoğu Doğu Avrupa ülkelerinde yaşıyor.
Bazı korsanlar için benimsedikleri ahlaki değerler birer gurur kaynağı. Örneğin fidye ödendikten sonra sözlerini tutup şifreleri hemen kaldırıyorlar. Zira sözlerini tutmayıp muhataplarını kandırdıkları takdirde gelecekteki kurbanlarından para alma ihtimallerinin azalacağını biliyorlar. Neden böyle saldırılar düzenledikleri sorulduğunda farklı gerekçeler sunuyorlar. Bu gerekçelerin ortak noktası genellikle "Mesele para değil" oluyor. Ama bu açıklamanın doğruluğu şüpheli. Zaten Fidye Yazılım Avı Timi ile korsanlar arasındaki en büyük fark da ikinci gruptakilerin paragözlüğü.
Fabian Wosar, son yıllarda o kadar çok fidye yazılımı kırdı ki korsanları püskürtmek hayatının rutinlerinden biri haline geldi. Bu durum bir noktada korsanların da ilgisini çekmeye başladı. Örneğin 2016 sonlarında yaygınlaşan NMoreira isimli yazılımını kodlayan kişi Wosar'a bir mesaj bırakmayı ihmal etmemişti. "FWosar, adamsın" diye başlayan mesaj şöyle devam ediyordu: "Yaptığı işi anlayan herifler bana ilham veriyor. Umarım bunu da kırabilirsin, ukalalık olsun diye söylemiyorum, gerçekten ilham vericisin. Kucaklıyorum seni." Tabii tüm mesajlar bu kadar pozitif değildi. Örneğin bir saldırgan, "Wosar, lütfen, beni kırma! Bu son girişimim. Eğer bu versiyonu da kırarsan uyuşturucuya başlayacağım" diye yalvarıyordu. (Bu sözler pek etkili olmadı. Fidye yazılımını kıran Wosar, üzerine bir de bir şifre kırıcı tasarladı.) En sık karşılaştığı mesajlar ise hakaret içerikli olanlardı. Örneğin bir yazılımın satırlar dolusu harf ve rakamdan oluşan kodlarının arasında "Hadi beni gene kırsana Wosar! Bakalım cesaretin var mıymış" sözleri dikkat çekiyordu. Wosar, 2019 yılında BBC'ye yaptığı açıklamada fark edilmenin kendisini memnun ettiğini belirterek, "Benim o mesajı göreceğimi bildikleri için yazma zahmetine girmişler. Çalışmalarımızın bazı pis siber suç çetelerini üzdüğünü bilmek çok iyi bir motivasyon kaynağı" ifadelerini kullanmıştı.
İLK BAKIŞTA "KIRILAMAZ" DEDİ AMA HATASINI KISA SÜREDE ANLADI
Gillespie, 2020 yılının Kasım ayının sonlarında bir salı günü ofisinde çalışıyordu. Kurbanlardan gelen talepler arasında öylesine kaybolmuştu ki Matthew'un gönderdiği dosyaya göz gezdirecek zamanı bile zor bulmuştu.
Hızlı bir incelemeden sonra okula düzenlenen saldırıda Ouroboros adı verilen ve kırılması mümkün olmayan bir fidye yazılımının altıncı versiyonunun kullanıldığını anladı.
Antik bir sembol olan Ouroboros, kendi kuyruğunu yiyen bir yılanı tasvir ediyor.
Antik bir sembol olan Ouroboros, kendi kuyruğunu yiyen bir yılanı tasvir ediyor.
Gillespie bu keşfin ardından Matthew'ya biraz da sinirle, "Ouroboros v6, kusurlarının tamir edildiği Ekim 2019'dan bu yana kırılamayan bir yazılım. Bunu ID Ransomware'den çoktan öğrenmiş olman lazım" diye bir e-posta gönderdi.
Ancak Matthew'nun geri adım atmaya niyeti yoktu. Gillespie'nin kendi internet sitesinde yazılım, VashSorena olarak isimlendiriliyor doğru koşullar altında kırılabileceği belirtiliyordu. Matthew, "Aynı yazılımın iki farklı isminden mi bahsediyoruz yoksa şifreyi kırmak için bir şansım olabilir mi?" diye sordu.
Dosya adındaki karakterleri ve diğer işaretleri yeniden inceleyen Gillespie, aceleyle karar verdiğini ve çok anlaşılabilir bir hata yaptığını fark etti. Hem Ouroboros'un hem de VashSorena'nın İran kökenli korsanlar tarafından geliştirildiğine inanılıyordu. İki yazılım da dosyaları aynı şekilde şifreliyordu. Bunu durumu idrak edince işe koyuldu.
KORSANLARIN AÇIĞINI YAKALAMIŞ AMA AÇIKLAMAMIŞTI
VashSorena'yı tasarlayan yazılımcılar bir noktada kestirmeden gitmek istedikleri için yazılımın bir zayıflığı bulunuyordu. Fidyenin ödenip ödenmediğini takip etmek isteyen yazılımcılar, her kurbana özel bir kimlik numarası ataması yapıyordu. Aslına bakılırsa bu fidye yazılımında standart bir uygulamaydı. Bir diğer standart uygulama ise her kurbana dosyaları üzerindeki şifreyi kaldıracak özel bir anahtar gönderilmesiydi. VashSorena'daki farklılık kimlik numarası ise anahtarın birbiriyle bağlantılı olmasıydı. Bu sayede Gillespie bir açık bulabileceğine inanıyordu.
Gillespie, VashSorena'nın ilk versiyonunu Haziran 2020'de kırmayı başarmış ancak çoğu zaman yaptığı üzere bu başarısını pek dillendirmek istememişti. Zira saldırganların durumu öğrendiklerinde açığı kapatmaları işten bile değildi. Korsanlara yazılımlarını mükemmelleştirmelerinde yardımcı olmak, Av Timi'nin yapmak isteyeceği son şeydi. Gillespie kendisine BleepingComputer üzerinden ulaşan en az 40 kurbanı VashSorena'dan kurtarmış ancak nasıl bir çözüm yolu geliştirdiğine dair bir paylaşım yapmamıştı. Fazla dikkat çekmemek üzerine kurulu bu yaklaşım işe yaramış gibi görünüyordu. Saldırganlar VashSorena'ya beş kez güncelleme yapmış ama Gillespie'nin bulduğu boşluğu kapatmamıştı.
Matthew'nun kendisine gönderdiği fidye notundaki kimlik numarasını kullanan Gillespie, yazılımı kırıp dosyaların üzerindeki şifreyi kaldıracak anahtarı üretmeyi başardı. Ardından Matthew'nun verilerini kurtarmak için kullanabileceği bir şifre kaldırma programı yazdı. Bir de anahtar üretti ve "Bir daha bakar mısın? Gerçekten de VashSorena'ymış ve senin anahtarını kırabildim" mesajı eşliğinde Matthew'ya gönderdi.
"İNANILMAZ! İŞE YARIYOR!"
Matthew mesajı aldığında akşamın saatleriydi. Gillespie'nin yönergelerini uygulayan Matthew, eski sunucuya erişip öğrencilerin fotoğraflarını ve diğer dosyaları kurtarmayı başardı.
Gillespie'ye, "İnanılmaz! İşe yarıyor" diye cevap yazdı ve ekledi: "Sana ne kadar teşekkür etsem az. Nasıl yaptın bunu? Okuldaki öğretmenler ve öğrenciler sana öylesine minnettar olacaklar ki..."
Ancak Matthew'nun işi kendi dosyalarını kurtarmakla bitmedi. Google'a bir şikâyet başvurusunda bulundu ve fidye yazılımı saldırganlarının Gmail kullanmasına nasıl izin verildiğini sordu. (Yanıt alamadı.) Okul yetkilileri ise sınırlı bütçelerine karşın siber güvenlik yatırımlarını artırmaları gerektiğini anladı. Matthew'un yönlendirmesiyle sunucudaki dosyaların yedekleneceği bir cihaz satın alındı.
Matthew, korsanlara kaptırdığı 1000 euro'yu geri almak için de bir plan yaptı. Anahtara halen ihtiyacı varmış gibi davranarak pazarlığı sürdürdü. Korsanlara, "Size yeniden güvenebilmenin tek yolu bitcoin'lerimi bana geri göndermeniz. Ardından dosyalarımı kurtarmak için size 3000 euro göndereceğim" diye mesaj yolladı.
Ancak korsanların bunu kabul etmeye niyeti yoktu. "Üzgünüm" dedi e-postayı yazan kişi son mesajında, "Bana bu teklifi 10 yıl boyunca sunsanız bile reddedeceğim".
Fidye yazılımı saldırıları, insan kaçırmanın dijital çağ için güncellenmiş hali olarak tarif ediliyor. Oltalama e-postaları gibi teknikler kullanan korsanlar bilgisayarlara sızıyor. Bir kez girdikten sonra da fidye yazılımını aktive edip bilgisayarları rehin alıyor ve istedikleri kripto para ödenmedikçe geri adım atmıyorlar. Fidye yazılımının temel unsurlarından biri olan kriptografi, günümüzde internette güvenliğin bel kemiği haline gelmiş durumda. Ancak ne yazık ki devletlerin, sektörün ve akademinin geliştirdiği meşru kriptografi yazılımları, siber suçlular tarafından kötü amaçlar için de kullanılıyor. Fidye yazılımı, şifrelemeyi silah haline getiriyor. Bu yazılımlar ortaya çıkmadan önce, korsanların saldırılarını paraya çevirebilmeleri için büyük emek sarf etmeleri gerekiyordu. Çaldıkları kimlik ya da kredi kartı bilgilerini satmak için bir alıcı bulmak zorundaydılar. Bunun olup olamayacağı da şüpheliydi. Fidye yazılımları, kurbanların bilgisayarlarına olan bağımlılıklarını paraya çevirerek korsanlığı kârlı bir iş haline getirdi. Suç teoride de pratikte de çok basit olduğundan, dark web üzerinden bir fidye yazılım paketi alan herkes şantaj yapabilir hale geldi. Mayıs 2021'de Colonial Boru Hattı'na düzenlenen fidye yazılımı saldırısı sonucu, ABD'nin doğu yakasında çok ciddi akaryakıt sıkıntısı yaşanınca, Washington yönetimi fidye yazılımının önem seviyesini terörle eşitledi. FBI aralarında Fidye Yazılımı Av Timi'nin de bulunduğu özel araştırmacılarla iş birliğini artırdı. Ancak günümüzde saldırganlar da eskiye kıyasla daha becerikli. Kriptografilerini geliştirip hedeflerini daha kurnazca seçiyorlar. Her iki taraf da el yükseltirken saldırıların hedefi olan iş yerleri, okullar, hastaneler ve devlet kurumlarının Fidye Yazılımı Av Timi'ne duyduğu ihtiyaç da günden güne artıyor.
The Guardian'da yayımlanan "Ransomware hunters: the self-taught tech geniuses fighting cybercrime" başlıklı haberden derlenmiştir.