Fidye yazılımı nedir?
Fidye yazılımı siber suçlular tarafından kullanılan bir kötü amaçlı yazılım (zararlı yazılım) türüdür. Bir bilgisayara fidye yazılımı bulaşması durumunda, fidye yazılımı sisteme erişimiengeller ya da sistem verilerinişifreler. Siber suçlular, verilerin bırakılması için kurbanlardan fidye parası talep eder. Fidye yazılımlarına karşı korunma sağlamak için dikkatli olunması ve güvenlik yazılımları kullanılması önerilir. Bu tür kötü amaçlı yazılım saldırılarına maruz kalan kişilerin genelde üç seçeneği vardır: fidyeyi ödemek, kötü amaçlı yazılımı kaldırmayı denemek ya da cihazı yeniden başlatmak. Sızdırma Truva atları tarafından sıklıkla kullanılan saldırı vektörleri arasında Uzak Masaüstü Protokolü, kimlik avı e-postaları ve yazılım zayıf noktaları sayılabilir. Bir fidye saldırısı hem bireyleri hem de şirketleri hedef alabilir.
Fidye yazılımlarının tanımlanması – temel bir sınıflandırma yapılması gerekir
Özellikle popüler olan iki fidye yazılımı türü vardır:
- Kilitleyici fidye yazılımı. Bu tür zararlı yazılımlar temel bilgisayar işlevlerini engeller. Örneğin, fare ve klavye kısmen devre dışı bırakılabilir ve aynı anda masaüstü erişiminiz engellenebilir. Bu, ödemeyi yapmak için fidye talebini içeren pencereyle etkileşime devam etmenizi sağlar. Bilgisayar bunun dışında bir iş için kullanılamaz. Ama iyi haberlerimiz de var: Kilitleyici kötü amaçlı yazılım çoğunlukla kritik dosyaları hedef almaz; genellikle sadece sizi kısıtlamak ister. Dolayısıyla verilerinizin tamamen yok edilmesi düşük bir olasılıktır.
- Şifreli fidye yazılımı. Şifreli fidye yazılımının amacı, temel bilgisayar işlemlerine müdahale etmeden belgeler, resimler ve videolar gibi önemli verilerinizişifrelemektir. Bu paniğe neden olur, çünkü kullanıcılar dosyalarını görebilir ancak onlara erişemez. Şifre geliştiricileri fidye taleplerine genellikle "Fidyeyi belirtilen tarihe kadar ödemezseniz tüm dosyalarınız silinecektir." gibi bir geri sayım eklerler. Bulutta veya harici fiziksel depolama cihazlarında yedekleme gerekliliğinin bilincinde olmayan kullanıcıların sayısı göz önüne alındığında, şifreli fidye yazılımlarının yıkıcı bir etkisi olabilir. Sonuç olarak pek çok kurban dosyalarını geri almak için fidyeyi öder.
Locky, Petya ve diğerleri.
Artık fidye yazılımının ne olduğunu ve iki ana türünü biliyorsunuz. Burada, fidye yazılımlarının oluşturduğu tehlikeleri daha iyi tanımanıza yardımcı olacak bazı yaygın örnekler vereceğiz:
Locky
Locky fidye yazılımı ilk olarak bir grup organize bilgisayar korsanı tarafından 2016 yılında düzenlenen bir saldırıda kullanılmıştır. Locky, virüslü eklere sahip sahte e-postalar aracılığıyla yayılmıştı ve 160'tan fazla dosya türünü şifrelemişti. Kullanıcılar e-posta aldatmacasına kanarak bilgisayarlarına fidye yazılımını yükler. Bu yayılma yöntemine kimlik avı denir ve bir sosyal mühendislik yöntemidir. Locky fidye yazılımı tasarımcılar, geliştiriciler, mühendisler ve test kullanıcıları tarafından sık kullanılan dosya türlerini hedefler.
WannaCry
WannaCry, 2017'de 150'den fazla ülkeye yayılan bir fidye yazılımı saldırısıydı. NSA tarafından oluşturulan ve Shadow Brokers korsan grubu tarafından sızdırılan bir Windows güvenlik açığından yararlanmak üzere tasarlanmıştı. WannaCry dünya genelinde 230.000 bilgisayarı etkiledi. Saldırı Birleşik Krallık'taki tüm devlet hastanelerinin üçte birini vurarak tahmini olarak 92 milyon poundluk bir hasara neden oldu. Kullanıcıların bilgisayarları kilitlendi ve onlardan Bitcoin ile ödenmesi gereken bir fidye talep edildi. Bu saldırı ile sistemlerde düzenli güncelleştirmelerin yapılmadığı ortaya çıktı. Bu büyük bir sorundu çünkü korsanlar saldırı sırasında, aslında yaması uzun süredir var olan bir işletim sistemi güvenlik açığından yararlanmıştı. WannaCry'ın dünya çapında neden olduğu maddi kayıp yaklaşık 4 milyar ABD doları oldu.
Bad Rabbit
Bad Rabbit, 2017'den başlayarak rastgele saldırılar adı verilen saldırılar yoluyla yayılan bir fidye yazılımı saldırısıdır. Saldırıları gerçekleştirmek için güvenli olmayan web siteleri kullanıldı. Bir rastgele fidye yazılımı saldırısında, bir kullanıcı korsanlar tarafından ele geçirildiğinin farkında olmadan gerçek bir web sitesini ziyaret eder. Çoğu rastgele saldırıda istenen tek şey kullanıcının bu şekilde ele geçirilmiş bir sayfayı ziyaret etmesidir. Ancak kullanıcı bunu yaptığında zararlı yazılımı sistemine yüklemiş olur. Buna zararlı yazılım yükleyicisi denir. Bad Rabbit, kullanıcılardan sahte bir Adobe Flash yükleme dosyasını çalıştırmasını istedi ve böylece bilgisayara kötü amaçlı yazılım yükledi.
Ryuk
Ryuk, Ağustos 2018'de yayılan ve Windows işletim sistemlerinin kurtarma işlevinidevre dışı bırakan bir şifreleme Truva atıdır. Şifrelenmiş verilerin, harici bir yedekleme olmadan geri yüklenmesini imkansız hale getirdi. Ryuk ağ sabit sürücülerini de şifreledi. Etkisi çok büyük oldu ve hedef alınan ABD kuruluşlarının çoğu talep edilen fidye tutarlarını ödedi. Toplam hasarın 640.000 $ üzerinde olduğu tahmin ediliyor.
Shade/Troldesh
Shade veya Troldesh fidye yazılımı saldırısı 2015 yılında gerçekleşti ve virüslü bağlantılar veya dosya ekleri içeren spam e-postalar yoluyla yayıldı. İlginç bir şekilde, Troldesh saldırganları kurbanlarıyla e-posta yoluyla doğrudan iletişim kurdu. Saldırganlar, "iyi ilişki" kurdukları kurbanlara indirim bile yaptı. Ancak bu tür bir davranışın istisna olduğu unutulmamalıdır.
Jigsaw
Jigsaw, 2016'da başlayan bir fidye yazılımı saldırısıdır. Saldırı, Testere adlı film serisindeki kuklanın yer aldığı bir fotoğrafı içeren bir görüntü kullanıldığı için bu ismi aldı. Fidyenin ödenmediği her saat, Jigsaw fidye yazılımı daha fazla dosyayı sildi. Bir korku filminden görüntü kullanılması, kullanıcılar için fazladan gerginlik sebebi oldu.
CryptoLocker
CryptoLocker, ilk olarak 2007'de görülen ve virüslü e-posta ekleriyle yayılmış bir fidye yazılımıdır. Fidye yazılımı, yüklendiği bilgisayarlardaki önemli verileri aradı ve şifreledi. Bu fidye yazılımı tahmini olarak 500.000 bilgisayarı etkiledi. Emniyet teşkilatları ve güvenlik şirketleri, nihayetinde CryptoLocker'ı yaymak için kullanılan ele geçirilmiş tüm dünyadaki ev bilgisayarlarının kontrolünü ele geçirmeyi başardı. Böylece emniyet teşkilatları ve şirketler, suçlular farkına varmadan ağ üzerinden gönderilen verilere müdahale edebildi. Nihayetinde, kurbanların verilerinin kilidini açmak için bir anahtar elde edebilecekleri çevrimiçi bir portala ulaşıldı. Bu sayede veriler, suçlulara ödeme yapılmadan kurtarılabildi.
Petya
Petya (ExPetr ile karıştırılmamalıdır) ilk olarak 2016 yılında ortaya çıkan ve daha sonra 2017 yılında GoldenEye adıyla tekrarlanan bir fiyde yazılımı saldırısıdır. Bu kötü amaçlı fidye yazılımı, sadece belirli dosyalar yerine kurbanın tüm sabit diskini şifreliyordu. Bunu, Ana Dosya Tablosunu (MFT) şifreleyip diskteki dosyalara erişlememesini sağlayarak yapıyordu. Petya fidye yazılımı, virüslü bir Dropbox bağlantısı içeren sahte bir uygulama aracılığıyla kurumsal İK departmanlarına yayıldı.
Petya'nın bir başka varyantı da öncülünden önemli bazı farkları olan Petya 2.0'dır. Ancak saldırının yapılma biçimi açısından her ikisi de cihazlar için eşit derecede tehlike teşkil eder.
GoldenEye
Petya, 2017'de GoldenEye adıyla tekrar ortaya çıktığında tüm dünyaya yayıldı. WannaCry'ın "ölümcül kardeşi" olarak bilinen GoldenEye, aralarında Rusya'nın önemli petrol üreticileri ve çeşitli bankalar olan 2.000'den fazla hedefi vurdu. Goldeneye, Çernobil nükleer santralinin personelinin Windows bilgisayarlarını kilitleyip onları radyasyon seviyesini manuel olarak kontrol etmeye mecbur bıraktığında, durum son derece tehlikeli bir hal aldı.
GandCrab
Gandcrab, kurbanlarını porno alışkanlıklarını ifşa etmekle tehdit eden ahhlaksız bir fidye yazılımıdır. Kurbanların web kameralarını ele geçirdiğini iddia ederek fidye talep etmiştir. Fidye parası ödemeyi kabul etmeyen kişiler, utanç verici görüntülerinin yayınlanmasıyla tehdit ediliyordu. 2018 yılındaki ortaya çıkışından sonra, GandCrab fidye yazılımı çeşitli sürümlerle gelişimini sürdürdü. Güvenlik sağlayıcıları ve polis teşkilatları, "No More Ransom" (Artık Fidye Ödemek Yok) girişimi kapsamında kurbanların hassas verilerini GandCrab'tan kurtarmalarını sağlayan bir şifre çözme aracı geliştirdiler.
B0r0nt0k
B0r0nt0k, özel olarak Windows ve Linux tabanlı sunuculara odaklanan bir kripto fidye yazılımıdır. Bu zararlı fidye yazılımı, bir Linux sunucusunundosyalarınışifreler ve onlara ".rontok" dosya uzantısını ekler. Kötü amaçlı yazılım sadece dosyalar için bir tehdit oluşturmakla kalmaz, aynı zamanda başlangıç ayarlarında değişiklikler yapar, işlevleri ve uygulamaları devre dışı bırakır ve kayıt defteri girdileri, dosyalar ve programlar ekler.
Dharma Brrr fidye yazılımı
Brrr, yani yeni Dharma fidye yazılımı, internete bağlı masaüstü servislerine saldıran korsanlar tarafından manuel olarak yüklenir. Fidye yazılımı korsan tarafından etkinleştirilir etkinleştirilmez, bulduğu dosyaları şifrelemeye başlar. Şifrelenmiş verilere ".id- [id].[email] .brrr" şeklinde bir dosya uzantısı verilir.
FAIR RANSOMWARE fidye yazılımı
FAIR RANSOMWARE şifrelenmiş yazılımları hedef alan bir fidye yazılımıdır. Güçlü bir algoritma kullanarak, kurbanın tüm özel belgelerini ve dosyalarını şifreler. Bu zararlı yazılım tarafından şifrelenen dosyalara dosya uzantısı olarak ".FAIR RANSOMWARE" eklenir.
MADO fidye yazılımı
MADO , şifreli fidye yazılımı türünden bir fidye yazılımıdır. Bu fidye yazılımı tarafından şifrelenen verilere ".mado" uzantısı verilir ve bu nedenle bu dosyalar artık açılamaz.
Fidye yazılımı saldırıları
Daha önce de belirtildiği gibi, fidye yazılımları hayatın her alanında hedeflerini bulur. Talep edilen fidye genellikle 100 $ ile 200 $ arasındadır. Ancak, bazı saldırılar çok daha fazlasını ister; özellikle de saldırgan, engellenen verilerin saldırıya uğrayan şirket için önemli derecede maddi kayba neden olacağının farkında ise. Böylece siber suçlular bu yöntemleri kullanarak büyük miktarlarda para kazanabilirler. Aşağıdaki iki örnekte de siber saldırı kurbanının kimliğinin kullanılan fidye yazılımının türünden daha önemli olduğu görülmektedir.
WordPress fidye yazılımı
WordPress fidye yazılımı, adından da anlaşılacağı üzere WordPress web sitesinin dosyalarını hedef alır. Fidye yazılımlarında tipik olduğu şekilde, kurbandan bir fidye parası talep edilir. WordPress sitesi ne kadar çok talep görürse, fidye yazılımı kullanan siber suçlular tarafından saldırıya uğrama olasılığı o kadar artar.
Wolverine vakası
Wolverine Solutions Group (bir sağlık sektörü tedarikçisi) 2018 yılında bir fidye yazılımı saldırısının hedefi oldu. Kötü amaçlı yazılım, şirket dosyalarının büyük bir kısmını şifreleyerek çalışanların bunlara erişememesine neden oldu. Neyse ki adli bilişim uzmanları, 3 Ekim'de şifrelemeyi çözerek dosyaları kurtardı. Ancak ne yazık ki bu saldırı sonucunda çok sayıda hastanın verileri ele geçirildi. İsimler, adresler, tıbbi veriler ve diğer kişisel bilgiler siber suçluların eline düşmüş olabilir.
Hizmet Olarak Fidye Yazılımı
Hizmet Olarak Fidye Yazılımı, teknik açıdan yetenekleri kısıtlı olan siber suçlulara fidye yazılımı saldırıları gerçekleştirme fırsatı sunar. Alıcılara sunulan kötü amaçlı yazılım, yazılımın programcıları için hem daha düşük risk hem de daha yüksek kazanç anlamına gelir.
Sonuç
Fidye yazılımı saldırıları çok farklı şekillerde karşımıza çıkabilir ve saldırının boyutları çok farklı olabilir. Saldırı vektörü, kullanılan fidye yazılımı türleri için önemli bir faktördür. Saldırının büyüklüğünü ve kapsamını tahmin etmek için hangi verilerin silineceğini veya yayınlanabileceğini her zaman dikkate almak gerekir. Fidye yazılımı türü ne olursa olsun, önceden verileri yedeklemek ve güvenlik yazılımları kullanmak, bir saldırının etkisini ciddi ölçüde azaltabilir.