Fidye Yazılımı; Nedir, Nasıl Bulaşır ve Nasıl Korunuruz?
0Fidye Yazılımı; Nedir, Nasıl Bulaşır ve Nasıl Korunuruz?
Bugün son yılların en sinir bozucu ve en tehlikeli zararlı yazılımlarından olan fidye yazılımlarından (Ransomware) bahsedelim.
2017 yılında dünya yepyeni bir siber saldırı yöntemi ile tanıştı. Fidye saldırısı diyebileceğimiz bu yöntem aslında çok da yeni sayılmazdı. 1987 yılından beri kullanılıyordu ama 12 Mayıs 2017 tarihinde gerçekleştirilen ve WannaCry adı verilen saldırı Avrupa ve Amerika’da ki birçok hastaneyi, FedEx, Nissan, Renault, Hitachi gibi büyük firmaları; Rus Telekom ve tren yolu şirketleri gibi çok çeşitli kurumları ve dolayısı ile bunlara bağlı sektörleri çalışamaz duruma getirdiğinde dünyada ‘siber saldırı’ ve ‘fidye’ kavramlarını duymayan kimse kalmamıştı.
Windows işletim sistemlerinde bulunan bir açığı kullanarak gerçekleştirilen saldırının ilk birkaç saati içerisinde 200 bin bilgisayar etkilenmiş ve çalışamaz duruma gelmişti. Zararın boyutu 10 milyar dolardı. Hemen birkaç hafta ardından NotPetya adı verilen başka bir saldırı gerçekleşti. Aynı Windows açığını kullanan saldırının bu seferki hedefi Ukrayna, Almanya, İngiltere, Rusya ve diğer birkaç ülkedeki bankalar, elektrik santralleri, enerji şirketleri ve diğer sektörlerdeki çeşitli şirketler oldu.
Saldırıda kullanılan ve EternalBlue adı verilen Windows açığı aslında Amerikan Ulusal Güvenlik Ajansı (NSA) tarafından daha önce keşfedilmiş fakat Microsoft bu konuda bilgilendirilmemişti. Saldırıdan bir ay önce NSA’nın araçlarını çalan Shadow Brokers hacker grubu tarafından duyuruldu ve Microsoft kısa süre içinde açığı kapatan yamalarını yayınladı.
Peki, madem açık kapatıldı, saldırının etkisi neden bu kadar fazla oldu? Yanıtı basit. Bilgisayar kullanıcılarının çoğu ister şahıs olsun ister şirket, işletim sistemi ve yazılımlarının güncellemelerini yüklemekten imtina ediyor.
Nedir bu fidye yazılımı?
Kısaca bilgisayar ve telefon gibi üzerinde veri saklanan cihazların saldırgan tarafından çok güçlü algoritmalar ile şifrelenmesi ve cihazın sahibinden şifreyi çözecek kod için fidye talep edilmesine fidye yazılımı saldırısı diyoruz. Talep edilen fidye hedef şirketin büyüklüğüne, verilerin değerine göre değişiklik gösteriyor.
Fidye yazılımlarının diğer zararlı yazılımlardan bazı farkları var. Verilere zarar vermek yerine onları (anahtar olmadan) erişilemeyecek şekilde şifreliyor, adlarını değiştiriyor. Güvenlik tespitlerinden kaçınmak için sofistike teknikler kullanıyor ve aynı ağda bulunan diğer cihazlara oldukça hızlı bir şekilde bulaşabiliyor.
Kimler hedef?
Değerli verileri bulunan okullar, hastaneler, polis teşkilatları, belediyeler ve devlet kurumları ilk hedefler. Ayrıca bilgisayar veya telefonlarındaki verileri neredeyse hiç yedeklemedikleri bilinen tüm bireysel kullanıcılar da fidye yazılımlarının potansiyel hedefleri arasında. Fidye saldırısına uğrayan işletmelerin yaklaşık yüzde 70’inin fidyeyi ödemek zorunda kaldığı biliniyor. Bu işletmelerin sadece yüzde 42’si verilerine tekrar erişebilmiş durumda.
Nasıl bulaşıyor?
Fidye yazılımları genellikle e-posta eklentisi olarak kullanıcıya ulaşır. Bazı durumlarda saldırganlar hedefleri hakkında önceden araştırma yaparak o firmada çalışan birilerinin isimlerini, e-posta adreslerini taklit ederler ve e-postanın içeriğini firmaya uygun bilgilerle oluştururlar. Bu gibi kandırma yöntemleri e-postayı alan kullanıcının şüphelenmeden eklentileri açmasını sağlar. Bir diğer yöntem sosyal medya ve çeşitli ortamlarda verilen kısa internet adresleridir. Kullanıcı adresin tamamını görmediği için ancak tıkladıktan ve ilgili siteyi açtıktan sonra fark edebilir. En yaygın yöntemlerden biri de dışarıya açık uzak masaüstü protokolünü kullanmaktır. Bazı çalışanlar firma dışından örneğin evlerinden de sistemlere erişebilmek için RDP adı verilen uzak masaüstü protokolünü dışarıya açarlar ve tahmin edilmesi çok da zor olmayan bir parola ile erişirler. Saldırganlar için bazı araçlar kullanarak dışarıya açık bu kapıları tespit etmek ve kullanılan parolayı deneyerek bulmak sadece dakikalar alacak şekilde kolay bir işlemdir.
Nasıl korunuruz?
Öncelikle fidye saldırılarının hem teknolojik hem de psikolojik yöntemler kullandığının farkında olalım. Sosyal mühendislik dediğimiz bu psikolojik yöntemler, hedefi n algıları ile oynayarak zararlı yazılımı sisteme almasını amaçlar.
Aşağıda başlıca önlemleri sıralıyorum. Her biri basit önlemler gibi görünse de kullanıcıların büyük bir çoğunluğunun hala bunları uygulamadığını lütfen unutmayın. Bu basit önlemleri önemsemeyen kullanıcılar ve yöneticiler nedeni ile WannaCry saldırısı yaklaşık 150 ülkede 200 binden fazla kullanıcının verilerine mal oldu ve yaklaşık 10 milyar Amerikan Doları zarara neden oldu.
- Tanımadığınız (hatta tanıdığınız) kişilerden gelen ve eklenti içeren epostaları açarken dikkatli olun. Makro içeren eklentileri açmayın.
- Web bağlantılarına tıklarken dikkatli olun. Tam olarak göremediğiniz kısa bağlantılara tıklamayın veya https://checkshorturl.com/ gibi bir servis ile önce kontrol edin. Daha iyisi bir güvenlik çözümü kullanın ki otomatik olarak kontrol edilsin.
- Mutlaka güvenilir bir uç nokta güvenlik çözümü (antivirüs) kullanın. İnsan gözünden kaçan e-posta eklentileri ve zararlı bağlantıların çoğu güvenlik yazılımından kaçmaz.
- İşyeri ağınıza ve sistemlerinize erişirken şirketinize özel VPN kullanın.
- RDP adı verilen uzak masaüstü protokolünü dışarıya açarken çok dikkatli olun.
- Kullandığınız tüm işletim sistemi ve yazılımlarınızı güncel tutun. Otomatik güncellemeleri kapatmayın ve geciktirmeden uygulayın.
- Bazı saldırganlar belirli sitelerin içine zararlı yazılımları gömebilirler. Bu durumda kullanıcının siteye erişmesi ile sistemi otomatik olarak taranır ve bir açık bulunduğunda kullanılarak zararlı yazılım arka planda yüklenir. Kullanıcının siteyi açmak dışında bir şey yapmasına gerek bile kalmaz. Bir güvenlik yazılımı kullanın.
- Korsan yazılım kullanmayın. Bu tür yazılımların kodları ile oynanmıştır ve içerisine ne tür zararlı yazılım ve kodlar eklendiğini kimse bilemez.
- USB bellek gibi cihazlarınızı tanımadığınız bilgisayar, televizyon, telefon gibi cihazlara takmayın. Zararlı yazılımların taşınmasına neden olursunuz.
-Parola güvenliğinize dikkat edin. Her hizmet ve site için farklı, karmaşık parolalar kullanın. Mümkün olan her yerde iki faktörlü doğrulama kullanın. İki faktörlü doğrulamayı firma içindeki sistemlerinize mutlaka entegre edin ve parola güvenliğinizi çalışanlara bırakmayın.
Can Erginkurban - can@eset.com.tr