Ransomware/Fidye Yazılımı Nedir?

Ransomware/Fidye Yazılımı Nedir?

Ransomeware/Fidye yazılımı, Adındanda anlaşılacağı üzere saldırganların bilgisayarınızdaki dosyalara ve ağa erişim sağlayarak onları şifrelemesi ardından tekrar erişim sağlayabilmeniz için sizden genelde kripto para birimi hesaplarına yatırabileceğiniz “fidye veya ödemeler” talep ettiği kötü amaçlı bir yazılım türüdür. Genelde kurbanlara yapacağı ödemenin ardından bir şifre çözme anahtarı alacağı bilgisi verilir. Saldırganlar ödemenin yapılmaması halinde kurbanların verilerini sızdırmakla veya kalıcı olarak dosyalara erişimini engellemekle tehdit ederler.

Ransomware dünya çapında her yıl milyonlarca dolarlık zarar vererek hükümetlerin, finans, eğitim, sağlık gibi alanları da dahil birçok alanı etkileyen kötü amaçlı yazılım türüdür.

Ransomware kurumlara yönelik büyük saldırıların her ay manşetlerde yer alması ile kurumsal dünyada sık kullanılan bir kelime halini aldı. Peki kurumlar gerçekten ransomware saldırılarından gerçekten bu kadar etkileniyor mu? 

Yapılan araştırmalara göre fidye yazılımı kullanan saldırıların sayısı yalnızca 2021 yılında neredeyse iki katı kadar arttığı görülmektedir. Fidye yazılımı dünya çapında işletmeler için büyüyen bir sorundur. Aynı araştırmanın verilerine göre Covid-19 ile hibrit çalışma şekline geçilmesi ile çalışanların ve işverenlerin konu üzerinde daha çok bilgiye sahip olduğu görülmektedir. Peki nasıl bir çalışma prensibi var?

Ransomware saldırısı nasıl çalışır?

Ransomware yazılımlarının birçok farklı türü bulunmaktadır. Ancak hepsinin çalışma prensibi benzerlik göstermektedir.

1.Adım: Enfekte olma

Ransomware yazılımı kullanan saldırganlar kurbanlarının bilgisayarlarını ele geçirmek için çoğunlukla oltalama email’leri ve sosyal mühendislik tekniklerini kullanmaktadır. Çoğu zaman kurbanın zararlı email ile gönderilen linke tıklaması sonucu bilgisayar ransomware yazılımı ile tanışır. 

2.Adım: Şifreleme

Aygıt ve sistemin enfekte olmasının ardından, fidye yazılımı değerli dosyaları bulup şifrelemeye başlamaktadır. Bulaşan fidye yazılımının türüne göre, zararlı yazılım dahil olduğu şirketin veya kurumun bilgisayarlarına ve sistemlerine yayılma şansı bulmuş olacaktır.

3.Adım: Fidye Talebi

Veri bir kez şifrelendikten sonra, şifreyi çözmek ve dosyalara erişim sağlamak için bir anahtara ihtiyaç vardır. Bu anahtarı almak için, kurbanın verilen yönlendirmeleri takip etmesi için bir not bırakılır. Bu not ödemenin ne şekilde ve nereye yapılacağı bilgilerini kapsar çoğunlukla bitcoin gibi kripto para birimleri tercih edilir.

Ransomware Türleri

Yukarıda bahsedildiği üzere bütün fidye yazılımları birbirinin aynı olmadığı gibi davranış şekilleri de farklılık gösterebilmektedir. Bu ransomware türlerinden bazılarına bakacak olursak.

• Fidye Yazılımı Şifrelemesi: Bu türdeki fidye yazılımları enfekte olduğu sistemin sabit diskindeki verileri ve dosyaları şifreler, şifre çözme anahtarına ulaşmak için istenen fidyeyi ödemeden verilere ve dosyalara ulaşmak zordur. Çoğunlukla takip edilmesi zor yollarla ödeme talep ederler. Bitcoin, PaySafeCard gibi.
   
• Ekran Kilitleyiciler: Saldırganlar bilgisayara veya sisteme erişimi tamamen engellemektedir, dosyalarınız ve uygulamalarınıza hiç bir şekilde ulaşım sağlamanıza izin vermezler. Bir kilit ekranı karşılar sizi ve bu kilit ekranında çoğunlukla aciliyetini belirten ve kurbanın daha hızlı davranmasını sağlayan bir sayaç vardır.
   
• Scareware: Scareware daha çok kurbanın bilgisayarında bir virüs olduğunda ve bu virüsten kurtulması için indirmesi gereken yazılıma yönlendiren pop-upların çıktığı bir tür taktik olarak niteleyebiliriz.

Ransomware Örnekleri

Bazı ransomware örneklerini bilmeniz sizin bu varyantların çalışma prensibini anlamanız ve en iyi korunma yolunu belirlemeniz için öngörü sağlayacaktır.

*CryptoLocker - Bu fidye yazılımı hem etkilediği sistem hem de güçlü şifreleme algoritmaları kullanması açısından adını daha sık duyurmuştur. Bu grup botnetlerini bankacılıkla ilgili dolandırıcılık için kullandı

*NotPetya - Bu fidye yazılımı kendisini bir ağda yayma yeteneği ile duyurmuştur. Microsoft- Windows makinalarındaki SMB servislerindeki CVE-2017-0144 güvenlik açığını kullanarak EternalBlue istismarı ile yayılım göstermektedir.

*Ryuk - Daha fazla fidye getirisi olması sebebiyle büyük kuruluşları hedef alan, 2018 Ağustostan beri Ryuk ismi ile daha öncesinde wizard  spider adıyla anılan gelişmiş bir eCrime grubudur.

*REvil/Sodinokibi - Sodinokibi/REvil fidye yazılımı, genellikle hizmet olarak (RaaS) modeli altında çalışan tehdit aktörü Pinchy spider ve bağlı kuruluşları ile ilişkilendirilir.

*WannaCry - WannaCry sağlık kuruluşları ve kamu hizmetlerini hedef alan dosyaların paylaşılmasına izin veren ve böylece fidye yazılımın yayılmasını sağlayan, EternalBlue isimli Microsoft Windows istismarını kullanır.

*Conti - Conti ADVobfuscator gibi derleyici tabanlı gizleme teknikleri kullanır, fidye yazılımının kaynak kodu oluşturulduğunda kod gizlemeyi sağlar ve otomatik kötü amaçlı yazılım sistemlerini bozmak amacıyla düzenli olarak yapılandırılır ve yeniden yazılır.

*Maze - Maze fidye yazılımı dünya genelinde birden fazla sektörü ve kuruluşu hedef alır. Diğerlerine göre daha yenidir ve kurbanın verilen yönlendirmelere uymaması ve fidyeyi ödememesinin ardından verileri halka ifşa etmesi ile bilinir. 

*BlackCat - BlackCat fidye yazılımı adını daha çok duyurmuştur çünkü Rust dili ile yazılan ilk profesyonel ransomware yazılımıdır. Diğer işletim sistemlerine uyarlamasında kolaylık sağlamaktadır.

Ransomware gruplarının asıl hedefi kimlerdir?

Ransomware başlangıçta bireysel sistemleri ve kişisel bilgisayarları hedefliyordu. Çalışanlarının ve müşterilerinin bilgilerini korumak için fidyeleri ödemeye razı gelen kuruluşların fazlalığını fark ettiklerinde tam potansiye kavuşmuş oldular. Bugün bütün ransomware gruplarının hedefinde ticari ve diğer kuruluşlar, küçük ve orta büyüklükteki işletmelerde dahil olmak üzere, kendini bu tür saldırılara karşı koruyacak kaynaklara sahip olmayan kuruluşlar vardır.  

En çok etkilenen sektörler genellikle bankacılık, kamu hizmetleri, eğitim, devlet ve imalattır. Bunun yanında saldırganlar Amerika Birleşik Devletleri, Kanada, Avustralya gibi dünyanın varlıklı bölgelerine ve ülkelerine saldırmayı daha sık tercih etmektedir. 

Peki Fidye Ödenmeli mi?

Bir çok siber güvenlik uzmanı bir ransomware saldırısına yanıt olarak fidyeyi ödemenin doğru olmadığını vurguluyor. Fidye ödemenin garanti bir çözüm olmadığının birden fazla şifre olabileceğinin veya saldırganların vicdanına kalmış bir durum olarak bilgileri geri vermelerinin de garanti olmadığını savunmaktadır. Fidye yazılımı kurbanlarının yarısından azı sistemlerini geri yükleyebilmektedir. Bir diğer durum ise fidye ödemek bu iş modelini desteklemekte ve terör örgütleri, kara para aklayıcılar veya haydut ulus devletlerin cebine gireceğini savunmaktadırlar. 

Ransomware nasıl kaldırılır?

Bir fidye yazılımı saldırısı aldığınızda ne yapmanız gerektiğini bilmeniz büyük önem arz etmektedir. En iyi savunma proaktif yöntemlere dayanmaktadır. Aşağıdaki adımların uygulanması önemlidir.

1. Enfekte cihazları bulun: Ağa bağlı her cihazın hem sahada hem de saha dışında bağlantısı kesilmelidir. Wi-fi ve Bluetooth bağlantısının dahil tüm kablosuz bağlantıları da devre dışı bırakılması gerekir. Bu şekilde ağda dolaşması ve önemli verileri ele geçirmesinin önüne geçilmiş olur. Diğer cihazlara bulaşmadan yazılımın bulaştığı sistemleri bulup izole etmek önemlidir. Ağda dosya yeniden adlandırma veya dosya uzantılarını değiştirme şeklinde bir şüpheli etkinlik olup olmadığı  kontrol edilmelidir. Büyük bir olasılıkla insan hatası devreye girmiştir (bir çalışanın şüpheli bir eposta bağlantısına tıklaması gibi) bu nedenle çalışanlar bilgi kaynağı olacaktır. 
    
2. Güvenli modda yeniden başlatma: Fidye yazılımının türüne bağlı olarak, cihazı yeniden başlatmak ve güvenli modda yeniden başlatmak yayılmayı durdurabilir.  Ancak, şifrelenmiş dosyaların güvenli modda bile şifreli kalacağını ve veri yedekleme yoluyla geri yüklenmesi gerekeceğini unutmamak önemlidir.
    
3. Ransomware’e karşı koruma yazılımı kullan: Ağ bağlantısının kesilmesinin ardından kötü amaçlı yazılımdan koruma yazılımı kullanılarak fidye yazılımının kaldırılması gerekir. Cihazın şifresinin tam olarak çözülmesini beklemeden normal zamandaki gibi işinize devam ederseniz tespit edilen kötü amaçlı yazılımın yeniden ortaya çıkması ve kalan dosyalarınıza da erişmesi riskine girersiniz.
    
4. Ransomware programlarını tarayın: Sisteminizin temizlendiğine emin olduktan sonra sisteminizi taradığınızdan emin olun. Tek tek dosya uzantılarına bakmak suretiyle şüpheli bir dosya uzantısı değiştirilmiş mi diye bakın ve ileri seviye güvenlik duvarları kullanın Kapsamlı bir tarama sisteminizi geri yüklediğinizde ortaya çıkabilecek saldırıların önüne geçecektir.
    
5. Yedeklemelerinizi kontrol edin: Merkezi ağdan ayrı olarak tüm dijital verilerinizin yedeklerine sahip olmak, işlerin hızlı bir şekilde tekrar çalışır duruma getirilmesi ve bir ihlal durumunda kesinti süresinin en aza indirilmesi için çok önemlidir. Tüm cihazların şifresi çözülüp virüsten koruma yazılımı yüklendikten sonra, herhangi bir yedekleme dosyası üzerinde hızlı bir kontrol yapın gelişen ransomware saldırıları daha karmaşık ve dayanıklı olduğu için bu dosyaların da bozulmadığından emin olun. Ardından güvenliği ihlal edilmiş tüm dosyaları geri yükleyebilir için yedekleme verilerinize geri dönebilirsiniz.
    
6. Saldırıyı bildirin: Fidye yazılımı tipik olarak veri sızıntısı tehdidi içerdiğinden, herhangi bir saldırı mümkün olan en kısa sürede ilgili makamlara bildirilmelidir. Fidye yazılımı ve diğer kötü amaçlı yazılım türleri, sorumluların belirlenmesine ve gelecekteki saldırıların önlenmesine yardımcı olabilecek kolluk kuvvetlerine bildirilmelidir.

Bütün bunlar olmadan önce neler yapabilirsiniz?

• Tüm çalışanlarınızı Siber güvenlik ve en iyi uygulamaları konusunda eğitin.
• İşletim sisteminizi ve diğer yazılımlarınızı güncel ve yamalı tutun. 
• E-posta güvenliğini uygulayın ve geliştirin.
• Tehdit istihbaratını güvenlik stratejilerinize ekleyin.
• Fidye yazılımlarına karşı dayanıklı çevrimdışı yedeklemeler bulundurun.
• Sağlam bir kimlik koruma programı kullanın.