Yazı: Berk İybar
Son dönemde bilgisayar kullanıcılarının kabusu haline gelen fidye yazılımları, şiddetlenerek artırmaya devam ediyor. Genellikle virüs yazılımlarla karıştırılan fidye yazılımın tanımını yaparak yazımıza başlayalım. Fidye yazılım, içine sızdığı sistemde belli bir ya da birkaç dosyayı şifreli hale getiren bir tür siber tehdittir. Kişi, dosyasına ulaşmak istediğinde bir şifre ile karşılaştığı için erişim sağlayamaz. Bu dosya özel bir fotoğraf ya da dokuman gibi kişisel ya da şirket veritabanı gibi kritik bilgiler içerebilir. Dosyanın değerine göre, yazılımı hazırlayan kişi şifre karşılığında bir talepte bulunur. Son yıllarda saldırganların kripto para üzerinden ödeme talep ettiğini görüyoruz.
Fidyeyi ödemek mi şifreyi kırmak mı?
Çoğu zaman yüksek bir ödeme karşılığında, saldırgan dosyayı serbest bırakırken bazen de ortadan kaybolur. Yani aslında tamamen saldırganın insafına kalıyorsunuz. Fidye yazılımlarda ödeme yapmak dışında şifreyi çözmeye çalışmak da bir yöntemdir. Tabii bu konuda siber güvenlik şirketleri iki farklı tarz benimserler. Birinci yöntem kontrollü bir şekilde teslim olarak saldırgana ödeme yapmayı kabul eder. Bu yolu tercih eden uzmanlar, genellikle siber teröristlere güvenmezler. İkinci yöntem de şifrelemeyi kırmaya çalışmaktır. Bu yol teoride daha cazip gözükse de yüksek güvenlikli bir şifreyi kırmak zaman alabilir ve geçen her süre dosyanın karanlık web gibi ortamlarda el altından satışa açılmasıyla sonuçlanabilir. Zira siber saldırganlar genellikle mağdur tarafa bir süre verir ve sürenin sonunda dosyanın başka kişilere satılacağı tehdidinde bulunur.
Fidye yazılımları dosyayı nasıl ele geçirir?
Saldırganlar çok farklı tekniklerle bilgisayara ve oradan da dosyalara sızabilirler. Ancak en yaygın yöntemlerden biri phishing olarak tabir edilen oltalamadır. Çoğunlukla kişiye özel olarak hazırlanan bir e-posta üzerinde kişinin siber izleri doğrultusunda ona cazip gelecek bir başlık ve metin hazırlanır. Örneğin, denize yakın bir bölgede villa kiralamak istiyorsunuz. Arama sonuçlarınıza göre belirlenen kriterler doğrultusunda adeta hayalinizdeki özelliklere sahip rüya gibi bir e-posta bir anda gelen kutunuzda belirebilir. E-postanın içerisinde bir de dosya yüklüdür. Bazen bir fotoğraf gibi gizlenen dosyaya tıkladığınızda size çeşitli promosyonlar sunarak fark ettirmeden yönetici özelliklerini karşı tarafa devretmiş olursunuz.
Çoğu zaman çok bariz olan bu saldırı tekniğinden daha sinsi yazılımlar da mevcuttur. Örneğin, NotPetya sizi muhatap bile almadan direkt olarak işletim sisteminin açıklarını kullanır.
Saldırgan, bu yöntemlerle içeri sızarak derhal değerli olması muhtemel dosyaları şifrelemeye başlar. Kişisel ve kurumsal verileri hedef alan saldırgan sadece kendisinin bilebileceği çok haneli bir sayıdan oluşan şifre ile dosyaları kilitler. Bu noktadan sonra da saldırgan, kullanıcı ile iletişime geçerek talebinde bulunur.
Son dönemde tam da bu aşamada çok kullanılmaya başlanan bir yöntem ise saldırganın kendini bir güvenlik görevlisi, FBI ya da CIA gibi tanıtması şeklinde gelişebilir. Bilgisayarda pedofili gibi konularda dosya tespit edildiği için inceleme altına alındığı ancak bir ödeme yapıldığı takdirde sürecin hızlanacağı iddiasında bulunup kullanıcıyı panik haline sokmak hedeflenir. Benzer bir durum ülkemizde de telefon üzerinden sıklıkla yaşanıyor. Savcı ya da polis olduğunu söyleyen kişi arkaya telsiz konuşma efektleri koyarak inandırıcı bir şekilde sizden para talep edebiliyor.
Saldırganların hedef kitlesi kimdir?
Peki, kimler tehdit altında? Aslında zamanlamaya bağlı olarak saldırganlar neredeyse hiçbir kişi ve kurum ayrımına varmıyor. Zamanlamadan kasıt ise elbette daha fazla açığın ortaya çıkacağı dönemler. Örnek vermek gerekirse pandemi döneminde uzaktan eğitimi fırsat bilet siber teröristler, üniversitelerin adeta canına okudu. Dünya üzerinde birçok okul, fidye yazılımlar nedeniyle eğitime ara vermek zorunda kaldı. Tabii ki saldırganların önceliği, fazla öğrencinin bulunduğu çok kampüslü üniversiteler oldu.
Hastane gibi sağlık kuruluşları da her zaman için tehdide maruz kalan grup arasında gösterilebilir. Burada da saldırganlar, hasta verilerinin ihlalinin skandal sonuçlar doğurması ihtimalini göz önüne almak yerine hastane yönetiminin ödemeyi kabul edeceği fikri bulunuyor. Benzer şekilde hükumetle ilgili birimler de sıklıkla fidye yazılımlara maruz kalıyor. Burada da yetkililerin ülke imajını zedelemek yerine ödeme yapıp durumdan kurtulmaları bekleniyor.
Fidye yazılımlardan kendimi ve sistemimi nasıl korurum?
Başınıza türlü çoraplar örmesi muhtemel fidye yazılımlarına karşı önlemlerinizi almayı ihmal etmeyin. Birkaç maddede bu önlemleri sıralayalım.
- Öncelikle her zaman için işletim sisteminizi güncel tutun ve güvenlik başta olmak üzere her türlü yamasını yapın.
- Kesin olarak kaynağından emin olmadığınız yazılımlara yönetici izni vermeyin.
- Mutlaka bir antivirüs yazılımı kullanın. Yazılımın zararlı programları da engellediğinden emin olun.
- Dosyalarınızın mutlaka yedeğini alın. Eğer güncel bir yedeğiniz varsa, fidye yazılıma maruz kalsanız bile sisteminizi yeniden kurup dosyalarınıza kavuşabilirsiniz.
Şifrelenmiş dosyaları nasıl kurtarabilirim?
Eğer çok profesyonel bir saldırıya maruz kaldıysanız tek tercihiniz bir siber güvenlik şirketine danışmaktır. Ancak küçük ölçekli bir saldırıya maruz kaldıysanız Windows işletim sistemi için aşağıdaki adımları uygulamayı deneyebilirsiniz.
- Bilgisayarınızı güvenli modda başlatın.
- Antimalware kategorisinden güvendiğiniz bir yazılımı yükleyin.
- Sisteminizi başka bir tarihteki sürümünden açmayı deneyin.
Fidye yazılımlar ne kadar zarar veriyor?
İlk fidye yazılımının 1989 yılında Becker’s isimli bir hastaneye yapıldığını biliyoruz. Açıkçası o günden bugüne fidye yazılım ciddi bir endüstri haline geldi. Son 10 yıl içerisinde ciddi bir sıçrama yaşayan fidye yazılımlar nedeniyle yılda 190 milyona yakın olay yaşanıyor. 2017 yılında 5 milyar dolarlık kayıp yaşandı. Bu rakam, 2015 yılının tam 15 katı olduğu için de ayrı bir anlam taşıyor. Zira her geçen sene maddi manevi kayıplar artıyor.
2018 yılında ise SamSam isimli bir yazılımdan kurtulma için, bir kurum1 milyon dolar fidye ödemek zorunda kaldı. Yalnız şöyle bir gerçek var ki 2017 yılından günümüze, fidye yazılımlarda bir düşüş gözlemleniyor. Bunda kullanıcıların bilgilenmesi ve güvenlik yazılımlarının bu konuya yoğun mesai harcamalarının etkili olduğunu görüyoruz. Yine de tehdidin sona erdiğini düşünmek aldatıcı olur. Zira saldırganlar genele saldırmak yerine daha nokta atışı bir strateji benimsiyorlar. Örneğin TeslaCrypt isimli yazılım oyuncuları hedef alıyor ve bilgisayar oyunlarındaki programların içerisine sızıyor. Aynı şekilde SimpleLocker isimli yazılım da mobil cihazları hedef alıyor.