Safranbolu’da Ransomware Siber Saldırısı Oldu. Peki Ransomware Nedir?

Safranbolu’da Ransomware Siber Saldırısı Oldu. Peki Ransomware Nedir?
06.02.2021 18:57

Geçtiğimiz günlerde Safranbolu’da bir mali müşavirin ofisindeki sunucu bilgisayar, bilgisayar korsanlarının saldırısına uğradı. Sabah bilgisayarlarını açan personeller, muhasebesini tuttukları firmaların verilerine ulaşamadılar. Daha doğrusu ulaştılar fakat açamadılar. Ofiste bulunan sunucudaki tüm dosyalar 256 bit şifreleme kullanılarak şifrelenmişti ve bilgisayara da bir not bırakılmıştı. Notta, 500 dolar fidye talep ediliyordu. Ödemenin de kripto parayla yapılması isteniyordu.

Maalesef sunucudaki şifreli dosyalar kurtarılamadı ve mali müşavirin ofisinde bulunan sunucuya format atıldı. Neyse ki son bir ay hariç sunucudaki tüm verilerin yedeklerini almışlardı. Yedekler sunucuya format atıldıktan sonra tekrar kopyalandı ve yedeği bulunmayan son bir ayın muhasebe kayıtları da tekrar işlendi.  Eğer yedek alınmamış olsaydı işler iyice çıkmaza girecekti ve sonuç büyük bir hüsran olacaktı.

https://media.giphy.com/media/l46C6sdSa5DVSJnLG/source.gif

Ben de merak edip araştırdım ve kaynaklardan bir yazı derledim. Bu yazıda, bilgisayar, akıllı telefon gibi bilişim cihazlarına bulaşan ve fidye talep eden zararlı yazılımları inceleyeceğiz.

Truva atı efsanesini bilirsiniz. Truva kenti bir türlü savaşarak fethedilemez. Sonunda tahtadan bir at inşa edilir ve bu atın içi askerlerle doldurulur. At, bir hediyeymiş gibi Truvalılara sunulur ve kente girdikten sonra attan çıkan askerler Truva’nın alınmasını sağlar. Fidye yazılımları da böyledir.

Truva Atı

Gizlice bulaştıkları sistemlerde düzeltilemeyecek şekilde sistem erişimini durduran veya sistem içerisinde bulunan tüm dosyaları şifreleyerek sistemi eski haline getirmek için sistem sahibinden belli bir talepte bulunurlar. Bu zararlı yazılımlar “ransomware” olarak adlandırılıyor. Ransomware kelimesi “ransom” ve “software” kelimelerinden türetilmiş. Bildiğiniz üzere “ransom” kelimesinin Türkçe karşılığı “fidye” demek, software kelimesinin Türkçe karşılığı ise “yazılım” demektir. Yani anlayacağınız üzere de “Ransomware”, “fidye yazılımı” anlamına geliyor.

Ek bilgi olarak şunu da belirtelim; ransomware bir “malware” türüdür.  Malware  ise Malicious Software kelimelerinin kısaltmaları ile oluşturulmuş  ve Türkçe karşılığı da “zararlı yazılım” demek olan cihazlarınızın ayarlarını değiştiren, yazılımlarınızı ortadan kaldıran, sistem hatalarına neden olan, kullanım alışkanlıklarınızı inceleyen veya cihazınızı saldırılara karşı tamamen açık hale getiren kötü amaçlı yazılımlardır.

Fidye yazılımı bulaştığı sistemdeki birçok dosyayı (pdf,doc,docx,png,jpg,jpeg,bmp…) şifreleyerek okunamaz hale getiriyor ve uzantısını değiştiriyor; “.aaa”, “.micro”, “.encrypted”, “.ttt”, “.xyz”, “.zzz”, “.locky”, “.crypt”, “.cryptolocker”, “.vault”, ya da “.petya” gibi… Yani cihazınızı açtığınızda bu uzantıya sahip dosyalar gördüğünüzde fidye yazılımı sisteminize sızmış olabilir.

Fidye Yazılımları Sisteminize Nasıl Bulaşır?

Çoğu zaman sistem açıklarını kullanarak sisteme sızan bilgisayar korsanı sistemi inceledikten sonra potansiyel olarak gördüğü sisteme ransomware yazılımını bulaştırıyor. Sistemdeki dosyaları gizli bir şekilde şifrelemeye başlayan yazılım arka planda sessizce fark edilmeden çalışıyor ve genelde sunuculara bulaştırıldıklarından, tehlike fark edilemeden sistem, bilgisayar korsanının eline geçmiş oluyor.

Fidye yazılımının bulaşması için bir diğer seçenek de kimlik avı e-postaları. Kimlik avı e-postaları genellikle meşru bir kuruluştan veya mağdurun bildiği birindenmiş gibi yazılarak gönderiliyor ve kullanıcıyı bir bağlantıya tıklamaya veya bir ek dosya açmaya teşvik ediyor. Dikkatsizliğinize denk gelir de fidye yazılımı içeren e-postaya tıklarsanız sisteminize zararlı yazılımı davet ediyorsunuz.

Başka bir bulaşma yöntemi de, kullanıcının rızası olmadan veya genellikle bilgisi olmadan internetten otomatik olarak indirilen bir programdır. Yani bir siteye girdiğinizde otomatik olarak inen “pdf” veya diğer medya dosyaları görünümlü bir “exe” dosyası olursa dikkat edin.  Kötü amaçlı kod çalıştırıldıktan sonra bilgisayara fidye yazılımı bulaşmış olur.

Fidye yazılımlar sosyal medya üzerinden de bilgisayarınıza bulaşabiliyor. Bunların içerisine web tabanlı anlık mesajlaşma uygulamaları da dâhil. Hatta son zamanlarda savunmasız web sunucularındaki açıklar kullanılarak bu yazılımlar bulaştırılabiliyor.

Peki İlk Ransomware Ne Zaman Ortaya Çıkmış?

Tarihte ilk kez kayıtlara geçen sistemdeki dosyaları şifreleyerek fidye talep eden zararlı yazılım 1989 yılında PC Cyborg adıyla ortaya çıkmış. Cihaz üzerinde AutoExec.bat dosyasına müdahale ederek sistemde bulunan dosya isimlerinin tamamının ismini şifreleyerek sistemin kullanılmasını imkansız hale getirmiş ve kullanıcıdan 189 dolar talep etmiş.

Dosyaları şifrelemek yerine doğrudan sistem erişimini engelleyerek fidye isteme ise WinLock adlı zararlı yazılım ile 2010 yılında gerçekleşmiş. Kullanıcının ekranının tamamına gelen uyarı mesajı ile SMS yolu ile ödeme talep etmiş. SMS atılmasından sonra gelen kod ile ekran üzerindeki engelleyici uyarının kalkacağını vaat etmiş.

Şimdi de diğer fidye yazılımlarına göz atalım.

LOCKY

Locky, organize bir korsan grubu tarafından 2016’daki bir saldırıda yayınlanan bir fidye yazılımı.

Tasarımcılar, geliştiriciler, mühendisler ve test kullanıcıları tarafından sık kullanılan yüz altmıştan fazla dosya türünü şifreleme özelliği olan Locky, kurbanları kandırarak virüslü ekleri içeren sahte e-postalar aracılığıyla sistemlere bulaşıyor. Kullanıcı gönderilen dokümanı açtığında, anlamsız kelimelerle dolu bir tabloyla karşılaşıyor ve “veri kodlaması yanlışsa makroyu etkinleştir” şeklinde bir uyarı alıyor. Uyarıyı onayladığı takdirde ise dosyalar şifreleniyor.

Şifrelemeden sonra, kullanıcının masaüstünde görüntülenen mesajda  tor web tarayıcısını indirmeleri ve daha fazla bilgi için bir web sitesini ziyaret etmeleri isteniyor. Web sitesinde çıkan mesajda 0,5 ile 1 bitcoin arasında fidye talep ediliyor.

Şifrelenen dosya örneğiWANNACRY

WannaCry, 2017’de aralarında Türkiye’nin de bulunduğu 150 ülkeye yayılan bir fidye yazılımı saldırısıdır.

Windows’daki bir güvenlik açığından faydalanmak üzere tasarlanan bu yazılım, iddia edilenlere göre Amerika Birleşik Devletleri Ulusal Güvenlik Kurumu tarafından oluşturulmuş ve Shadow Brokers grubu tarafından sızdırılmış. WannaCry dünya genelinde 230.000 bilgisayarı etkilemiş.

Saldırı, İspanya’daki telekom şirketi Telefónica, enerji şirketi Iberdrola ve kamu hizmeti şirketi Gas Natural’ın da aralarında bulunduğu büyük kuruluşların yanı sıra İngiltere Ulusal Sağlık Servisi (NHS),FedEx ve Deutsche Bahn’i de etkilemiş. En az 99 ülkedeki diğer hedeflerin de aynı zamanda saldırıya uğradığı bildirilmiş. Rusya İçişleri Bakanlığı, Rusya Acil Durum Bakanlığı ve Rusya telekomünikasyon şirketi MegaFon da virüsün binden fazla bilgisayara enfekte olduğunu bildirmiş.

Bu saldırı İngiltere’deki sağlık merkezlerinin üçte birine zarar vermiş ve NHS’nin  ( National Health Service) tahmini 92 milyon sterlin kaybetmesine neden olmuş. Kullanıcıların sistemleri kilitlenmiş ve Bitcoin olarak fidye istenmiş.

Bu siber suç, dünya çapında tahmini olarak 4 milyar dolarlık mali kayba neden olmuş.

Karabük Sağlık Müdürlüğü sitesinden yayınlanan duyuru

BAD RABBIT

Bad Rabbit, güvenli olmayan web sitelerinin hedeflendiği ve saldırıyı gerçekleştirmek için kullanıldığı “rastgele” saldırı adı verilen bir yöntemle etrafa yayılan, 2017’de gerçekleştirilmiş bir fidye yazılımı saldırısıdır.

Rastgele fidye yazılımı saldırısı sırasında kullanıcı, bir korsan tarafından ele geçirildiğini bilmeden yasal olan bir web sitesini ziyaret eder. Kullanıcılar bu durumda, aslında kötü amaçlı yazılım olarak gizlenmiş bir şeyi indirmek için bir bağlantıya tıkladıklarında sistemlerine virüs bulaşır. Bu, “kötü amaçlı yazılım yükleyici” olarak bilinir.

Bad Rabbit, sistemlere yayılmak için kötü amaçlı yazılım yükleyici olarak sahte bir Adobe Flash yükleme isteği kullandı.

Hedeflerin çoğu Rusya’da bulunuyordu. Buna benzer ancak daha az sayıda saldırı diğer ülkelerde de görüldü. Ukrayna, Türkiye ve Almanya bu ülkeler arasındaydı.

RYUK

Ağustos 2018’de ortaya çıkan Ryuk, ağ sürücülerini ve kaynaklarını tanımlama ve şifreleme, shadow copy olarak da bilinen gölge kopyaları silme becerisine sahip bir fidye yazılımı türüdür. Bu, saldırganların daha sonra kullanıcılar için Windows Sistem Geri Yüklemesini devre dışı bırakabileceği ve harici yedekleme veya geri alma teknolojisi olmadan bir saldırıdan kurtarmayı imkansız hale getirebileceği anlamına geliyor.

Tipik bir Ryuk saldırısı, bir kullanıcı e-postasına eklenmiş bir Microsoft Office belgesini açtığında başlamış oluyor. Belgenin açılması, kötü amaçlı bir makronun Truva atını indirmeye çalışan bir PowerShell komutunu yürütmesine neden oluyor. Bu Truva Atı, ana yükünün casus yazılım olduğu Trickbot’u alan ve çalıştıran virüslü bir makineye ek kötü amaçlı yazılım indirme yeteneğine sahip. Bu, yönetici kimlik bilgilerini toplayarak saldırganların ağa bağlı kritik verilerine erişimine izin veriyor.  Bu nedenle, ağınız bir kez ihlal edildiğinde, saldırganlar ağı daha fazla keşfetmek ve sızmak için çabaya değip değmeyeceğine karar verebiliyorlar. Büyük bir meblağ talep edecek kadar sebepleri varsa, Ryuk fidye yazılımını yerleştireceklerdir.

Ağustos 2018 raporlarına göre Ryuk saldırısı nedeniyle ödenen fidye tutarı 640.000 ABD dolarının üzerindeymiş.

Birçok kötü amaçlı yazılım saldırısında olduğu gibi Ryuk, spam e-postalar ile kurbana yollanıyor. Bu e-postalar genellikle şüphe uyandırmayacak sahte bir adresten gönderiliyor.

TROLDESH

2015’te gerçekleşen Troldesh fidye yazılımı saldırısı, virüslü bağlantılar veya ekler içeren spam e-postalarla dünyaya yayılmış.

İlginç bir şekilde, Troldesh saldırganları kurbanlarla doğrudan e-posta üzerinden iletişime geçerek fidye talep etmiş. Hatta siber suçlular samimiyet kurdukları kurbanlarla indirim konusunda pazarlık bile yapmışlar.

JIGSAW

Jigsaw, Nisan 2016’da tasarlanmış ve oluşturulduktan bir hafta sonra yayınlanmış. Bu da Spam e-postalardaki kötü amaçlı ekler aracılığıyla yayılmak üzere tasarlanmış.  Jigsaw, gelen e-postadaki programı indirirse etkinleştiriliyor ve tüm kullanıcı dosyaları ve ana önyükleme kaydı şifreli hale geliyor. İstenilen fidye bir saat içinde ödenmezse, bir dosya siliniyor. Fidye ödemesi gerçekleşmeyen her saat için bunu takiben, silinen dosya miktarı her seferinde birkaç yüz dosyadan binlerce dosyaya katlanarak arttırılıyor.  Bilgisayarı yeniden başlatma veya işlemi sonlandırma girişimleri 1.000 dosyanın silinmesiyle sonuçlanıyor. Daha da güncellenmiş bir sürüm , kişisel bilgilerini çevrimiçi olarak ifşa ederek mağdurun ölümüne karşı tehditlerde bulunuyor .

Bu saldırı, Testere film serisindeki kuklanın bir resmini kullandığı için bu adı aldı. “I want to play a game. – Saw”

CRYPTOLOCKER

CryptoLocker, ilk olarak 2007’de görülen ve virüslü e-posta ekleriyle yayılmış bir fidye yazılımıdır. Bilgisayarınıza girdikten sonra fidye amacıyla kilitleyip tutacağı değerli dosyaları arıyordu.

Yaklaşık 500.000 bilgisayarı etkisi altına aldığı düşünülen bu saldırıda, emniyet teşkilatı ve güvenlik şirketleri büyük uğraşlar sonucunda Cryptolocker’ı yaymak için kullanılan dünya çapındaki ele geçirilmiş ev bilgisayarları ağına el koymayı başarmış.

Bu, suçluların haberi olmadan suç şebekesinin bir kısmını kontrol etmelerine ve gönderilen verileri elde etmelerine olanak tanımış. Bu süreçte daha sonra kurbanların suçlulara ödeme yapmadan verilerini kurtarmak ve kilidini açmak için bir anahtar alabilecekleri bir çevrimiçi portal geliştirilmiş.

PETYA

Petya, 2016’da ilk kez ortaya çıkan ve 2017’de GoldenEye olarak yeniden doğan bir fidye yazılımı saldırısıdır.

“Petya” adı, 1995 yılında James Bond filmi GoldenEye’e bir göndermedir ; filmde Petya , elektromanyetik darbe üretmek için alçak Dünya yörüngesinde patlatılan bir atom bombası olan “Goldeneye” taşıyan iki Sovyet silah uydusundan biridir.

Bu vahşi fidye yazılımı, belirli dosyaları şifrelemek yerine kurbanın tüm sabit sürücüsünü şifreliyormuş. Bunu, Ana Dosya Tablosunu (MFT) şifreleyip diskteki dosyalara erişimi imkansız hale getirerek yapıyormuş.

Petya, virüslü bir Dropbox bağlantısı içeren sahte bir iş başvurusu e-postası üzerinden insan kaynakları departmanlarına yayılmış.

27 Haziran 2017’de, Petya’nın yeni bir çeşidini kullanarak büyük bir küresel siber saldırı başlamış. Fransa, Almanya, İtalya, Polonya, Birleşik Krallık ve Amerika Birleşik Devletleri’nde Petya saldırısı tespit edilmiş. ESET, 28 Haziran 2017’de, tüm enfeksiyonun % 80’inin Ukrayna’da olduğunu ve Almanya’ya da % 9 ile ikinci en sert darbeyi vurduğunu tahmin etmiş. Rusya başkanı Vladimir Putin’in basın sekreteri, Dmitry Peskov , saldırının Rusya’da ciddi bir hasara yol açmadığını belirtmiş. Uzmanlar bunun Ukrayna’ya yönelik siyasi amaçlı bir saldırı olduğuna inanıyorlar.

Ransomware’in Hukuki Boyutu Nedir?

Türk Ceza Kanunun Onuncu Bölümünde (Bilişim Alanında Suçlar) yer alan 244 maddesinin birinci fıkrasında “ Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır.(TCK m. 244/1) “ ransomware zararlı yazılımının kurban cihazında gerçekleştirdiği durum ile örtüşmektedir.

Yine onuncu bölümde yer alan 244/2, “ Bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişi, altı aydan üç yıla kadar hapis cezası ile cezalandırılır.(TCK m. 244/2) “ ile ransomware zararlı yazılımının kurban cihaz üzerinde yaptığı eylem ile uyuşma göstermektedir.

“Yukarıdaki fıkralarda tanımlanan fiillerin işlenmesi suretiyle kişinin kendisinin veya başkasının yararına haksız bir çıkar sağlamasının başka bir suç oluşturmaması halinde, iki yıldan altı yıla kadar hapis ve beş bin güne kadar adlî para cezasına hükmolunur.(TCK m. 244/4) “ TCK 244/4 ise sistemin geri açılması için fidye talep etmesi durumunu kapsamaktadır.

Ransomware’den korunmak için ne gibi önlemler alınabilir?

İş yerinizdeki sunucuyu internete bağlamayın, kendi yerel ağınızda çalıştırın, dışarıdan birilerinin bağlanması gerekiyorsa mutlaka araya bir terminal sunucu ya da benzeri bir bilgisayar kurun, kullanıcılar ona bağlansın ve onun üzerinden çalışsınlar. Bu işten para kazandığınızı unutmayın ve işiniz ile ilgili yatırım planlarınızı yaparken sunucu tarafını ihmal etmeyin. Ve sunucunuza da sık sık harici cihazlara yedekleyin.

Bilgisayarlardaki ve akıllı telefon gibi cihazların işletim sistemleri mutlaka güncel tutulmalıdır. Mesela Microsoft Windows 7, 2019 Aralık itibariyle artık güvenlik güncellemesi yayınlamıyor ve siber saldırılara karşı zayıf durumda. Bilgisayar ve akıllı telefonlar ayrıca bir güvenlik duvarı yazılımı ile korunmalıdır. Cep telefonlarına uygulamalar “Google Play Store” ve “Apple App Store” gibi resmi kütüphanelerden yüklenmelidir. SMS mesajı üzerinden linkte verilen uygulamayı indir tarzında mesajlar ile sistemlere zararlı yazılımlar yüklenebilir. Bir uygulama yüklerken, uygulamanın telefonlarımızda hangi kaynaklara erişim sağlamak istediği sorulacaktır. Bu aşamada çok dikkatli olmak lazım. Mesela bir adımsayar uygulaması SMS mesajlarını okuma, telefon kontaklarına erişim ve arama yapabilme, kamera ve mikrofona erişim için izinler istiyorsa şüphelenmek lazım. Bilmediğimiz kaynaklardan gelen e-postalar kesinlikle açılmamalıdır.

Eğer sisteminize ransomware bulaştıysa yapılabilecek pek bir şey yok gibi fakat antivirüs firmalarının ortak olarak geliştirdiği bazı şifre çözücüleri şu sitede bulabilirsiniz: https://www.nomoreransom.org/tu/index.html

2019 Veeam Fidye Yazılımı Araştırmasına göre, 2021’in sonunda, fidye yazılımlarının verdiği hasarın küresel maliyetinin 20 milyar dolara ulaşacağı tahmin ediliyormuş.

Özellikle pandemiyle birlikte sadece şirketler dijital dönüşümünü artırmadı. Aynı zamanda 2019 Haziran’dan 2020 Temmuz’a kadar bulut sistemlerindeki siber saldırılarda yaşanan yüzde 250 oranındaki artış, siber suçluların da dijital dönüşüme hızlı bir şekilde ayak uydurduklarını gösteriyor.

Dolayısıyla şirketlerin, yalnızca bugünün veri yönetimi ihtiyaçlarına öncelik vermekle kalmayıp geleceğin bulut ve güvenlik çözümlerini de araştırarak- siber suçlulardan bir adım önde olan teknoloji şirketleriyle çalışmaları, her zamankinden daha önemli hale geliyor.

İsmail KAVUŞTURUCU
İsmail KAVUŞTURUCU
ikavusturucu@gmail.com
YORUMLAR

Henüz yorum yapılmamış. İlk yorumu yukarıdaki form aracılığıyla siz yapabilirsiniz.