Bir fidye yazılımı meselesi

Fidyecilik çok yeni bir kavram olmamakla beraber, bir kişinin ele geçirilen değerli verilerine karşı yani fotoğraf, video, uygulama verisi ya da Excel & Word dosyası gibi para talep ederek gelir elde etmeyi amaçlamaktadır. Kimimiz için çocukluk fotoğrafları önemli olabilir iken kimimiz için doktora tez çalışması, çocuklarının bebeklik videoları ya da aylarca üzerinde çalıştığı proje çizimi önemli olabilir. Fidye yazılımı, siber suçluların insanları fidye ödemeye zorlamak için kullandıkları bir kötü amaçlı yazılım (malware) türüdür. Dolayısı ile bu atağa maruz kalmak demek, önemli şeylerin başkasının eline geçmesinin maliyetine katlanmak demektir.

Fidye yazılımları kimileri tarafından bir virüs gibi lanse edilse de bir virüs değildir. Virüslerin yapısı ve imzası bellidir. Antivirüs uygulamaları bu imza yapılarını bildiklerinden virüsleri önleyebilir ve zararsız hale getirebilir. Oysa fidye ataklar tamamen bir siber atak yöntemidir. Sosyal mühendislik yöntemleri vasıtası ile yapılan bu ataklar; kişilerin, kurumların ve kuruluşların değerli verilerini şifrelemeyi ve bu veriler vasıtası ile gelir elde etmeyi amaçlar.

Fidye ataklar, birçok farklı yöntemle hedefteki kişilere servis edilmektedir. Örnekler ile anlatmaya çalışalım: İlk fidye ataklar fatura görünümlü, e-posta içerisine gömülmüş dosyalar vasıtası ile sağlanmıştı. Elektrik, telefon, doğalgaz faturası ara yüzüne sahip bir e-posta ile alıcılara servis edilip, “Borcunuza ait fatura ektedir.” şeklinde sizi e-postaya eklenmiş bir dosyayı açmaya itiyordu. Açılan dosya ile zararlı aktif hale geçip bilgisayar üzerindeki hedef dosya tiplerini şifrelemeye başlıyor, şifreleme sonunda masaüstüne bir “txt” dosya bırakıp istenilen hesaba ödeme yapılmaz ise bilgilerini kaybedeceği uyarısı bırakılıyordu. Paranın transfer yöntemi ise bugünlerde sıklıkla konuşulan Bitcoin ile sağlanıyordu. Diğer bir yöntem ise yine benzer fatura görünümü içerse de artık dosya yerine bir link vasıtası ile sağlanmakta. Diğer bazı yöntemler ise; web gezintisi sırasında güvenli olmayan sitelerdeki bedava uygulama, bedava çekiliş hakkı, ilgi çekici video görselleri, oyun linkleri, macro eklenmesi, flash vb. örneklerle karşımıza çıkmakta. Unutulmayalım ki bu tip sitelerde bedava diye servis edilen her şey mutlaka kötü bir amaca hizmet eder. “Bedava peynir fare kapanında bulunur.” atasözü tam bu durum için söylenmiş gibi değil mi?

Fidye atak yöntemleri her geçen gün farklı ve daha zorlayıcı şekilde karşımıza çıkıyor. Özellikle kurumsal firmaların çoğu, bu atak tipinden korunmak için kullandıkları antivirüs markasına ait bir fidye yazılım korumasını da ediniyor. Yeni fidye yazılımlarının daha akıllı ve karmaşık yöntemler ile hazırlandığını önümüze gelen yeni vakalarda daha net görmeye başladık. İlk zamanlar e-posta içine eklenmiş bir dosya ya da link ile karşımıza çıkarken, şimdi daha karmaşık açıkları ve kişilerin zafiyetlerini kullanarak kendini gösterir oldu. Hedef odaklı ataklar yapan saldırganlar; hedef aldıkları firmadaki çalışanın tuttuğu takım, gittiği restoran, hobileri, sosyal medyada takip ettiği kişiler, üye olduğu hesaplar gibi birçok noktayı araştırıp fidye saldırısını bu verilere göre planlayabiliyor. Örneğin kişinin tuttuğu ya da üye olduğu kulüpten gelen bir içeriği gönderebiliyor. Bu içerik yoluyla daha önce beğendiği bir formayı kazandığına dair bir mesaj linkini ya da grafiğini tıklaması sağlanabiliyor. Böylece kişinin zafiyetinden faydalanarak, şirket içindeki tüm çalışanların cihazlarına hatta içerideki sunuculara kadar ulaşabiliyor ve kırılması imkansız tüm verileri şifreleyebiliyor. Bu şifre yöntemi ne yazık ki çok karmaşık algoritmalar ile hazırlandığından çözmek mümkün olamıyor. Eğer yedeğiniz yok ise karşınızda iki seçenek bulunuyor.

1) Saldırganın talep etmiş olduğu ücreti Bitcoin olarak takip edilemeyen bir hesaba yatırmak. Bu da her zaman verilerinizin geri gelmesini ve bir daha bu saldırıya maruz kalmayacağınızı göstermiyor.

2)  Tüm verilerinize veda etmek ve her şeye yeniden başlamak. �

Eğer verileriniz kıymetli ise saldırgan ile anlaşma yoluna gitmek elinizdeki en iyi seçenek maalesef. Saldırgan verilerinizi şifrelerken, bu şifreyi çözebilecek bir şifreyi kendinde tutuğundan dolayı verileriniz üzerindeki şifreyi çözmek onun için çocuk oyuncağı olacaktır.

Gördüğünüz üzere sonuçları çok acı olan bir süreç. Bunu yaşamamak adına birçok siber güvenlik üreticisinin ciddi çalışmalar gerçekleştirerek hazırladığı güvenlik yazılımları var. Bu yazılımlar gelen maili ya da tıklanan linki, dosyayı alıp önce kendi içinde analiz ediyor, daha sonra ise herhangi bir dosyaya bulaşma, şifreleme emaresi olup olmadığına bakıyor. Eğer dosya bu tip bir hareket yapıyor ise direkt karantinaya alıyor. Daha siz durumun farkında olmadan arka tarafta sizi zararlılardan koruyor.

Bu saldırı tipi ile hangi dosyalar şifreleniyor diye düşünebilirsiniz. Burada saldırganın hangi dosyaları sistemde bulmaya çalışmak istediğine odaklanmak lazım aslında. Grafik, video, ofis uygulamaları, çizim programları, CRM ve ERP uygulama dosyaları gibi zengin bir dosya tipi hedeflenebiliyor. Birçok fidye atağı olmasına rağmen günümüze kadar ses getiren, hızlı yayılan ve ciddi zarar veren başlıca atakları; Locky, WannaCry, Ryuk, Bad Rabbit, Troldesh, Petya, Goldeneye, GandCrab olarak sıralayabiliriz.

Bu ataklardan korunmanın yolu ilk önce bilinçlenmekten geçiyor.

Bilmediğimiz ya da şüphelendiğimiz e-postaları gönderenlerin e-posta adresini ve formatının doğruluğunu kontrol edelim.

Promosyon ya da hediye adı altında bilmediğimiz yerden gelen hiçbir maili açmayalım ve içerisindeki linkleri tıklamayalım.

Sertifikası olmayan sitelerde gezinmekten kaçınalım.

Bilmediğimiz bedava olarak lanse edilen uygulamaları kullanmayalım.

Önümüze çıkan her macroyu etkinleştirmeyelim.

Mutlaka bir fidye yazılımı önleyen çözüm kullanalım.

Bu konuda iki kuralı da hiçbir zaman atlamayalım.

Mutlaka belli dönemlerde yedek alınız ve bu yedeği mutlaka internete bağlı olmayan bir alanda tutunuz.

Birinci kuralı sakın atlamayınız.

Sağlıklı ve dolandırıcılığa maruz kalmayacağınız güzel günler dilerim.