Blog

Fidye Yazılımları Nedir? Nasıl Korunulur?

İngilizce’de ransomware olarak karşımıza çıkan fidye yazılımları firmaların korkulu rüyası olmuş durumdadır. Ransomware grupları tarafından geliştirilen ve şirketlerin  binlerce dolar zarara uğramasına neden olan fidye yazılımları en tehlikeli zararlı yazılım çeşitleri arasında yer almaktadır…

Fidye Yazılımı Nedir?

Giriş kısmında da bahsettiğim üzere fidye yazılımı siber güvenlik camiasında “ransomware” olarak karşımıza çıkmaktadır. Genellikle birkaç kişinin bir araya gelip bir amaç doğrultusunda hareket etmesiyle oluşan ransomware grupları tarafından geliştirilen fidye yazılımlarının bir çoğnunun ana hedefinde para bulunmaktadır. Tehdit aktörleri geliştirdikleri zararlı yazılımlar ile kurum ve kuruluşları hedef alarak onların sistemine sızıp tüm dosyalarını şifrelemektedirler. Bu şifreleme işlemini gerçekleştiren yazılımlara ise bu yazıda bahsi geçen fide yazılımı adı verilmektedir.

Fidye Yazılımları Nasıl Çalışır?

Bir fidye yazılımı sisteminize bulaştıktan sonra tüm belgeleriniz, ses dosyalarınız, videolarınız ve fotoğraflarınız dahil olmak üzere neredeyse her dosyayı şifreleyerek kullanılamaz hale getirmektedir. Şifreleme işlemi tamamlandıktan sonra ise “ransom note” denilen saldırganların mesajını taşıyan not dosyası oluşturulmaktadır.  Bu dosya içeriğinde ise genellikle saldırganların tehdit mektubu yer alır. Saldırganlar bir BTC adresi vererek belirttikleri süre zarfı içerisinde bu adrese para göndermenizi aksi taktirde tüm dosyalarınızın tamamen erişilemez hale geleceğini ve bu verilerin dark webde yayınlanacağını ifade ederler. 

Yukarıdaki görselde ransomware grupları tarafından hazırlanan bir ransom notu bulunmaktadır. Görüleceği üzere saldırganlar son derece profesyonel bir şekilde kurbana korku salmaktadır…

Ransomware Saldırılarına Karşı Alınabilecek Önlemler – Nasıl Korunulur?

Ransomware saldırılarına karşı korunma yöntemlerinin bir çoğu son kullanıcıları kapsamaktadır. %100 güvenlik hiç bir zaman mümkün olmadığı için bir firmadaki BT ekibi sistemi ne kadar sıkılaştırırsa sıkılaştırsın saldırganlar bir şekilde sisteme sızmaya başarabilmektedir. Bu yüzden burada saldırganın içeriye girmesine neden olan en temel şey insan faktörü olarak karşımıza çıkmaktadır.

Ransomware saldırılarına karşı korunmak için gelen her e-posta içeriğindeki linklere tıklanmamalı, her dosya açılmamalıdır. Ransomware grupları tarafından en sık kullanılan saldırı tekniği oltalama saldırısıdır. Saldırganlar sahte bir e-posta hazırlayarak kurumlara bu e-postayı göndermekte ve sisteme sızmaktadırlar. E-posta içeriğinde bulunan ve macro içeren Office dosyası ile sisteme zararlı yazılımlarını indirmekte ve şifreleme işlemine başlamaktadırlar.

Oltalama saldırılarına karşı önlem almak için son kullanıcıların bilinçlendirilmesi gerekmektedir, bununla birlikte BT bünyesinde alınabilecek bazı önlemler bulunmaktadır:

  • E-posta sunucuları sahte domainlerden gelen mesajları kabul etmemelidir.
  • Düzenli aralıklarla SMTP Gateway sıkılaştırmaları yapılmalıdır.
  • Kurum personellerinin bilinçlendirilebilmesi için düzenli aralıklarla sosyal mühendislik testleri yapılmalıdır. 
  • SMTP sunucularının bir whitelist ve blacklist’i bulunmalıdır. Whitelist’te yer almayan ve ekli bir içerik barındıran e-posta sağlayıcılarından gelen mesajlar engellenmelidir.

Fidye Yazılımlarının Etkisi Nedir?

Fidye yazılımlarının ne kadar etkili olduğunu anlamak için son günlerde yaşanan ve tüm sektörü sallayan DarkSide grubu tarafından gerçekleştirilen Colonial Pipeline fidye yazılımı saldırısını incelemek gerekir. DarkSide tarafından gerçekleştirilen bu saldırı ile Colonial Doğalgaz Boru Hattı birkaç saat boyunca kullanılamaz hale gelmiş ve siber dünyadan fiziksel dünyaya bir saldırı gerçekleştirilmiştir. Bu durum siber güvenliğin ne kadar önemli olduğunu ve gerekli güvenlik önlemlerinin alınmaması durumunda nasıl sorunların yaşanabileceğini gözler önüne sermektedir.

En Aktif Ransomware Grupları Hangileridir?

2021 yılında adını sıklıkla duyuran ransomware grupları arasında DarkSide ve REvil gibi gruplar bulunmaktadır. Kaspersky tarafından yapılan araştırmaya göre 2021 yılının en tehlikeli 5 ransomware grubu şu şekilde karşımıza çıkıyor:

  • Maze (ChaCha)
  • Conti (IOCP)
  • REvil (Sodin/Sodinokibi)
  • Netwalker (Mailto)
  • DoppelPaymer 

Maze Ransomware Çetesi

2019 yılından beri etkinlik gösteren ve en fazla 2020 yılında göze çarpan Maze ransomware, verileri şifrelemeden önce ele geçirmesiyle dikkat çekmektedir.  Maze, 2020 yılının Eylül ayına kadar aktif bir şekilde saldırılar düzenlemiş ve kurbanlarının 3’de 1’inden fazlasının verilerini ifşa etmiştir…

Conti Ransomware Çetesi

2019 yılından beri aktif olarak siber suç dünyasında boy gösteren Conti kurbanlarıyla anlaşma durumunda güvenlik hizmeti verme teklifiyle dikkat çekmektedir. Grup tarafından yapılan açıklamaya göre belirtilen tutar ödendikten sonra Conti tarafından kurban için güvenlik hizmeti sağlanıyor ve gelecekte buna benzer bir saldırıya karşı nasıl önlem alınması gerektiği raporlanıyor.

REvil Ransomware Çetesi

2019 yılında Asya karşıtı saldırılarla gündeme gelen REvil’in fidye yazılımı, güvenlik önlemlerini CPU fonksiyonelitesinin kullanarak atlatmasıyla dikkatleri üzerine çekti. Özellikle mühendislik, finans, BT ve telekominikasyon sektörlerini hedef alan REvil Mart 2021’de Acer’den talep ettiği 50 milyon dolarlık fidye ile en yüksek fidye talebinde bulunan ransomware çetesi olarak hafızalara kazınmış durumdadır.

Netwalker Ransomware Çetesi

Enerji şirketleri, endüstriyel kurumlar ve büyük holdingler gibi hedefleri bulunan Netwalker 2020 yılında 25 milyon dolardan fazla para toplamayı başarmıştır. 

2021 yılında polis tarafından yapılan bir operasyon ile Netwalker durdurulmuş ve suçlular tespit edilmiştir.

Doppelmayer Ransomware Çetesi

Geliştiricilerinin BitMayer ve Dridex’i de geliştiren ekip olduğu düşünülen Doppelmayer fidye yazılımının hedefleri arasında elektronik, otomobil ve petrol sektörü de yer almaktadır.

Doppelmayer aktif bir şekilde saldırılarına devam etmektedir, son dönemlerde ise adı bir  Avrupalı bir araştırma şirketinin hacklenmesiyle birlikte anılmaktadır.

Fidye Yazılımları Nasıl Tespit Edilir?

İstatistikler incelendiğinde fidye yazılımlarının en yaygın yayılma türünün e-postalar üzerinden gerçekleştirilen oltalama saldırıları olduğu görülmektedir. Bu sebepten e-postalar aracılığıyla gönderilen dosyalar kullanılmadan önce taranmalı ve zararlı yazılım içerip içermedikleri tespit edilmelidir. Makro içeren ve saldırganın sunucusundan ransomware indiren Microsoft Office dökümanı sık karşılaşılan ransomware saldırı senaryolarından bir tanesidir.

Bununla birlikte sistemdeki kasmaların artması, GPU veya CPU kullanımının anlamsız artışı ve sistemin ısınmaya başlaması gibi faktörler de fidye yazılımlarının habercisi olabilir. Fidye yazılımı tüm sistemi şifrelerken sistem kaynaklarını kullanacağı için yazılımın çalışma sırasında bu kaynakların şüpheli kullanımı ransomware’in tespit edilmesine kullanılabilmektedir.

Şüpheli dosya analizi konusunda bilgi almak için içeriğimizi ziyaret edebilirsiniz.

Yukarıda belirtilen maddeler ek olarak fidye yazılımların tespit edilebilmesi için en zayıf halka olan insan faktörünün eğitilmesi gerekmektedir. BT ekipleri ne kadar sıkı güvenlik önlemleri alsa da her seferinde saldırganlar bir yolunu bulmakta ve insanların bilinçsiz davranışlarından faydalanarak sisteme sızabilmektedir.

Fidye Yazılım Türleri

Fidye yazılımları kendi içlerinde temelde 2 farklı kategoriye ayrılmaktadır; Locker ve Crypto.

  • Kilitleyici (Locker) Fidye Yazılımlar: Locker türündeki fidye yazılımları bulaştıkları sistemdeki çeşitli fonksiyonları geçici veya kalıcı olarak kullanıma kapatmaktadırlar. Örneğin bulaşan fidye yazılımının amacına göre kullanıcının sağ tık fonksiyonu kilitlenebilmekte veya tamamen klavye kullanımı sonlandırılabilmektedir.
  • Şifreleyici (Crypto) Fidye Yazılımlar: Şifreleyici fidye yazılımlar erişim sağladıkları sistemlerdeki dosyaları şifrelemekte ve kullanıma kapatmaktadırlar. Kilitleyici fidye yazılımlarından farklı olarak bu tür fidye yazılımları kullanıcının fare veya klavye gibi fonksiyonel işlerine karışmazken dosyalarını şifrelemekte ve tamamen erişilemez hale getirmektedir. 

Casus yazılımlar hakkında daha fazla bilgi almak için içeriğimizi ziyaret edebilirsiniz.

İlgili Makaleler

3 Yorum

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu