Fidye yazılımı, (ransomware), saldırıya maruz kalan kurbanın verilerini şifreleyerek, saldırganın şifrelenmiş veriler için fidye veya bir ödeme talep ettiği zararlı bir yazılım türüdür.
Tipik olarak saldırıya maruz kalan kişinin dosyalarına erişebilmesi için şifreyi açacak bir anahtarı ödeme yaptıktan sonra alabilmektedir. Eğer bu ödeme yapılmazsa, tehdit aktörü ilgili dosyaları veri sızıntısı yayımlanan sitelere (DLS) yükler ya da kalıcı olarak dosyalara erişimi önler.
Ransomware Nedir (Fidye Yazılımları) Nasıl Çalışır?
Genel anlamda fidye yazılımları aşağıdaki adımları izlemektedir:
Adım 1: Enfeksiyon
Fidye yazılımı işletenler genelde oltalama e-postaları ve sosyal mühendislik kullanır. Çoğu durumda kurban e-posta içindeki zararlı bir bağlantıya tıklayarak fidye yazılımı türevlerini cihazlarına bulaştırır.
Adım 2: Şifreleme
Cihaz ya da sisteme fidye yazılımı bulaştıktan sonra, değerli dosyaları arar ve şifreler. Fidye yazılımı, türevine bağlı olarak işletme içinde bulunan diğer cihaz ve sistemlere sıçramak için fırsat arayacaktır.
Adım 3: Fidye Talebi
Veri şifrelendikten sonra dosyalara ulaşmak için bir anahtara ihtiyaç duyulmaktadır. Bu anahtarı alabilmek saldırının mağduru aşağıdaki görselde olduğu gibi bir fidye notu üzerinde bulunan talimatları yerine getirmek ve ödemeyi genelde Bitcoin olarak yapmak zorunda bırakılır.
Fidye Yazılım Çeşitleri
- Şifreleme Yapan Fidye Yazılımları: Bu tip fidye yazılımında sistem diski üzerinde bulunan dosyalar sistematik olarak şifrelenmektedir. Ayrıca fidye ödemeden anahtar alınmadığı sürece şifreyi bulmak neredeyse imkansızdır. Ödemeler genel olarak BitCoin, MoneyPak, PaySafeCard, Ukash veya debit kart olarak talep edilir.
- Ekran Kilitleyiciler: Kilitleyiciler, sistem ve bilgisayarlarınızı tamamen kilitlemektedir. Bu yöntem ile verileriniz ulaşılamaz hale gelmektedir. Bu sebeple dosya ve uygulamalarınız erişilemez hale gelir. Kilit ekranında fidye talebi notunun yanında geri sayım sayacı ile aciliyet durumu belirtilerek kurbanı ivedilikle harekete geçirir.
- Korkutma Uygulamaları (Scareware): Bu tip yazılımlar, kurbanları virüslere karşı korumasız olduklarına ikna ederek sahte bir uygulama indirmelerini sağlar.
Fidye Yazılımı Örnekleri
Fidye Yazılımı Saldırılarının Ana Hedefleri Kimlerdir?
Fidye yazılımı aslında son kullanıcıların bilgisayarlarını hedef alacak şekilde tasarlanmıştır. Bu yapıda çalışması ve verileri şifreleyebilen bir yazılım olarak tanıtılmıştır. Buna rağmen saldırganlar bu aracın potansiyelini fark edip verilerini geri kazanma adına bedel ödemeye hazır olan işletmeleri hedef almıştır. Günümüzde birçok fidye yazılımı saldırısı, bu tip saldırılara karşı kendisini korumayan işletme ve kurumlara yönelik gerçekleşmektedir.
Bu tip saldırılardan en çok etkilenen endüstriler bankacılık, kamu kurumları, eğitim, devlet ve üreticilerdir. Saldırganlar aynı zamanda refah düzeyi daha yüksek olan ABD, Kanada ve Avustralya gibi ülkeleri hedef almaktadır.
Bunun iki sebebi bulunmaktadır. Birincisi bu bölgelerde bulunan yüksek kazançlı işletmelerden daha fazla para talep etmektir. İkincisi ise bu bölgelerde bilgisayar sahibi olan kişi sayısının daha fazla olmasıdır. Bu da saldırı yüzeyini daha geniş kılmaktadır.
Fidyeyi Ödemeli Misiniz?
FBI, bu tip saldırılar sonunda herhangi bir ödeme yapılmamasını önermektedir. FBI, ödeme yapmanın bu gibi saldırıların daha fazla yapılmasına ön ayak olmasının dışında, bu ödemelerin terör örgütlerine, kara para aklayıcılarına ve haydutluk yapan devletlere aktarılması ihtimalinin bulunduğunu belirtmektedir. Dahası, birtakım işletmeler fidye ödediklerini kamuya açıklarken, saldırganlar bu veriyi dark web üzerinden paylaşarak diğer saldırganların, bu işletmeyi yeniden hedef almaları için cesaretlendirmektedir.
Fidye ödemek, verilerin daha hızlı bir şekilde veya garantili bir şekilde geri kazanılması konusunda her zaman yardımcı olmayabilmektedir. Fidye saldırısı sonucunda; birden fazla anahtar, kötü bir şifre ve kaldırma aracı oluşabilir. Anahtar, kurbanın işletim sistemiyle uyumsuz olabilmektedir. Çift şifreleme sonucunda anahtar sadece tek katmanda çalışabilir. Ya da verinin bozulması söz konusu olabilir. Fidye yazılımına maruz kalan kurbanların ancak yarısından daha azı verilerini sağlıklı bir şekilde geri elde edebilmektedir.
Fidye Saldırı Sonrası İstenen Bedel Ne Kadardır?
Son yıllarda fidye yazılımı, siber suçluların en çok kar getiren saldırı taktiklerinden biridir. CrowdStrike’ın yıllık Global Security Attitude Survey çalışmasına göre ortalama fidye ödemesi 1,79 milyon dolardır.
Fidye Yazılımlarından Korunmak ve Bu Yazılımları Önlemek için İpuçları
Fidye yazılımı etkinleştikten sonra ilgili veriyi geri kazanma ve cihazı temizleme daha zor olacaktır. Bu yüzden en iyi fidye yazılımı koruması proaktif bir önleme sistemine dayanmalıdır.
CrowdStrike’ın fidye yazılımı koruma çözümleri sizi proaktif olarak korumaktadır. İşletmenizin ölçeği ve ihtiyaçlarına göre herhangi bir koruma paketini buradan iletişime geçerek satın alabilirsiniz.
Ayrıca fidye yazılımları sürekli olarak evrimleşmekte ve birçok işletmeyi fidye yazılımlarına karşı korunma konusunda zorluklar çıkarmaktadır. Yapılan şirket içi uygulamaların güvenliğine katkı sağlamak için aşağıdakilerin yapılması gerekmektedir:
- Tüm çalışanların siber güvenlik örnek uygulamalarıyla eğitilmesi
- İşletim sistemi ve diğer yazılımların güncel olmasına özen gösterilmesi
- E-posta güvenliğini oluşturması ve geliştirmesi
- Güvenlik stratejilerinizin tehdit istihbaratı ile entegre etmesi
- Fidye yazılımından etkilenmeyecek çevrimdışı yedekleme sistemleri geliştirmesi
- Güçlü kimlik koruma programlarının entegre edilmesi
Fidye Yazılımı Temizleme Adımları
Bir fidye yazılım sisteminize bir cihaz üzerinden giriş yaptığı takdirde karmaşa yaratır ve iş akışını olumsuz yönde etkiler. Hassas verinin, finansal durumun ve işletme saygınlığının risk altında olduğu bu durumda, ne yapılması gerektiğini bilmeniz önem arz etmektedir.
Eğer bir fidye yazılımı ile karşılaşırsanız atmanız gereken adımlar aşağıdaki gibidir;
- Enfekte Olan Cihazları Tespit Edin
Lokalden ve uzaktan bilgisayar ağına bağlı olan cihazların bağlantıları kesilmelidir. Eğer gerekirse Wi-Fi ve Bluetooth dahil tüm kablosuz bağlantılar, bilgisayar ağında fidye yazılımının bulaşarak hassas veriyi şifrelemesini önlemek için kesilmelidir.
Eğer fidye yazılımı bir cihaza bulaşırsa, bilgisayar ağınızda daha fazla sıçrama yapmasını önlemek için enfekte olan cihazları acilen tanımlamak ve izole etmek gerekmektedir.
İlk olarak bilgisayar ağı üzerinde dosya yeniden adlandırma veya dosya uzantısı değiştirme gibi şüpheli bir aktivite olup olmadığına bakmalısınız. Muhtemelen bir çalışanın bir oltalama e-postası içinde bulunan şüpheli bir bağlantıya tıklaması sonucunda oluşan insan hatası, gelmesi muhtemel olan fidye yazılımı saldırısının kök nedenleri arasındadır. Bu yüzden kullanıcının bilgisayarlarını güzel bir bilgi kaynağı olarak kullanılabilmektedir. Enfekte olan cihazların tespit edilmesi için kullanıcılara herhangi şüpheli bir e-posta alıp almadıklarını sormanız faydalı olacaktır.
- Cihazı Güvenli Kipte Açın
Fidye yazılımının türüne göre cihazı yeniden başlatıp güvenli kipte açmak, fidye yazılımının yayılmasını önleyebilir. Her ne kadar “REvil”, “Snatch” gibi truva atları güvenli kipte çalışabilse de tüm fidye yazılımları bu şekilde çalışmamaktadır. Bu iki tip fidye yazılımı dışında kalan saldırılarda güvenli kipte cihazı açmak, size zararlı yazılıma karşı uygulamaları yükleyebilmenize yetecek kadar zaman sağlayacaktır. Fakat fidye yazılımı ile şifrelenmiş dosyalar, güvenli kipte açsanız dahi şifreli olarak kalmaya devam edecektir. Bu yüzden verilerinizin yedeklerini geri getirmek durumundasınızdır.
- Fidye Yazılımı Karşıtı Uygulamalar Yükleyin
Enfekte olduğu tespit edilen ve bilgisayar ağından izole edilen cihazda fidye yazılımı karşıtı uygulama ile fidye yazılımının sistemden temizlenmesi gerekmektedir. Şayet işlemlerinize fidye yazılımı saldırısına uğramamış gibi devam ederseniz, tespit edilemeyen bir zararlı yazılım üzerinden yanal hareketlerle yayılması ve daha çok sayıda dosyanın şifrelenmesi ile karşı karşıya kalırsınız.
- Fidye Yazılımları İçin Tarama Yapın
Cihazlarınızın fidye yazılımı veya solucan yazılımlardan temizlenmiş olduğunu düşünüyorsanız dahi hem el ile herhangi şüpheli bir dosya uzantısı değişimi işlemi olup olmadığını kontrol edip, diğer yandan da yeni nesil güvenlik duvarları kullanmanız fayda sağlayacaktır. Kapsamlı bir tarama ile gizlenmiş truva atlarını ortaya çıkararak, ileride olması muhtemel saldırıların da önüne geçmiş olursunuz.
- Veri Yedeklerinize Bakın
Günümüzde ortada bulunan siber güvenlik risklerine karşı merkezileştirilmiş bir bilgisayar ağı dışında da yedeklerinizi bulundurmak, herhangi bir ihlal durumunda hızlı bir şekilde kaldığınız yerden devam edebilmeniz açısından elzemdir. Dosyalarınızın şifresinin devreden çıkarılması ve antivirüs yazılımınızın kurulmasından sonra ihlale konu olan dosyalarınızın yerine şifrelenmemiş olanların konulması gerekmektedir.
Fakat bunu yapmadan önce yedek dosyalarınızda bir denetleme yapmanız önerilmektedir. Modern fidye yazılımlarının karmaşıklığı ve esnekliği, bu dosyaların bozulmasına yol açabilmektedir. Böyle bir durumda birinci adıma tekrardan dönmek zorunda kalabilirsiniz.
- Saldırıyı Bildirin
Sızıntı ve/veya ihlalden sonraki öncelik fidye yazılımının yayılmasını önlemek ve saldırı öncesi duruma geri dönmek olsa da saldırının daha fazla etkiye sahip olup olmadığını incelemek de mutlaka yapılması gereken işlemlerden biridir. Sızıntıya konu olan veri sadece işi değil, çalışan ve müşterileri de etkilemektedir. Fidye yazılımları tipik olarak veri sızıntısı gibi durumları içerse de her türlü saldırının ilgili olan yetkililere bildirimi mutlaka gerekmektedir.
KVKK’ya göre bu tip bir veri sızıntısının mutlaka bildirilmesi gerekmektedir. Bildirilmemesi ve durumun ortaya çıkması halinde, bildirildiği durumdan daha fazla ceza verilmesi öngörmektedir.
Fidye yazılımı ve zararlı yazılımların diğer formları kanun yürütücü otoritelere mutlaka bildirilmelidir. Yetkililer kimin bu saldırıdan sorumlu olduğunu ortaya çıkararak, ilerde gerçekleşmesi muhtemel olan saldırıları önlemeye yardımcı olacaklardır.
Fidye Yazılımına Karşı Çözümler – CrowdStrike’ın Konuya Yaklaşımı
Daha önceden de belirtildiği gibi, fidye yazılım saldırısı bir işletmenin operasyonlarına ve veri gizliliğine zarar veren bir durumdur. Fidye yazılımlarına karşı proaktif bir yaklaşımda bulunulması yapılması gereken en önemli konulardan biridir. CrowdStrike’ın fidye yazılımı koruma çözümleri sizi proaktif olarak korumaktadır. İşletmenizin ölçeği ve ihtiyaçlarına göre herhangi bir koruma paketini satın alabilirsiniz. Ayrıca işletmenizin saldırıya maruz kalması durumunda aldığınız çözümlerimizle daha iyi koruyabilirsiniz.