Yaşar Ateş

System and Security Administration Manager

Fidye Yazılımı Saldırıları (Ransomware) Nedir, Nasıl Koruma Sağlanır?

Siber saldırılar, kişilerin ve kurumların verileri için ciddi bir risk faktörüdür. Bu atak türleri arasında fidye yazılımları da yer alır. Fidye yazılımı saldırısı, bireylere veya organizasyonlara ait dosyaları ya da sistemleri şifreleyerek erişilemez hâle getirir. Ransomware adıyla da bilinen bu atak tipi, son derece yaygın olan bir siber güvenlik saldırısıdır. Öyle ki Statista tarafından yayımlanan veriler, 2023 yılı itibarıyla dünya çapındaki şirketlerin %72’sinden fazlasının bu ataktan etkilendiğini gösterir. Yazının devamında fidye yazılımının ne olduğunu, hangi riskleri taşıdığını ve nasıl önlenebileceğini ele aldık. 

Verilerin Kilitlenmesi: Fidye Yazılımı Nedir?

Ransomware, hedefin bilgilerini fidye olarak tutmak için özel şifreleme yöntemlerinin kullanıldığı kötü amaçlı yazılımlardır. Fidye yazılımı saldırısında bir kullanıcının veya kuruluşun verileri; dosyalara, veri tabanlarına ya da uygulamalara erişilemeyecek şekilde şifrelenir. Daha sonra saldırıya uğrayandan söz konusu unsurlara yeniden erişim sağlayabilmesi için fidye istenir. Siber saldırganlar, ödenen fidye karşılığında verilerin sahibine bir şifre çözme anahtarı vereceğini iddia eder. Bu anahtar doğru çıktığı takdirde şifrelenerek kilitlenmiş verilere tekrar ulaşılır. 

Fidye Yazılımlarının Çalışma Mantığı Nasıldır?

Fidye yazılımı, genellikle bir ağa yayılarak dosya sunucularını hedef alacak şekilde tasarlanır. Bu nedenle kişiye ya da kuruluşa ait veri tabanını hızlıca etkiler. Fidye yazılımları, ilgili sistemlere bulaştıktan sonra dosyaları şifreleyerek kullanılamaz duruma getirir. Şifreleme işleminin ardından siber saldırganlar, hedefe "ransom note" adı verilen bir not dosyası gönderir. Bu not dosyasında verilerin sahibine fidyenin gönderileceği adres ve yöntem gibi bilgileri aktaran mesajlar yer alır. 

Siber saldırganlar, şifrelenmiş dosyaların çözülmesi için kripto para ve banka havalesi gibi yöntemler üzerinden ödeme yapılmasını talep eder. Aksi takdirde verilere erişimin tamamen engelleneceğini ve bunların diğer kötü niyetli kullanıcılarla paylaşacağını iddia eder. Bu tür ataklarda kullanıcıların endişe ve panik duygusuyla fidye talebini gerçekleştirmesi hedeflenir. Şifreler genellikle bir dosya için geçerlidir ve kullanıcılardan her biri için ayrı ayrı fidye tutarlarının ödenmesi istenir.

Kullanıcı Verilerini Tehlikeye Atan Fidye Virüsü Türleri Nelerdir?

Fidye yazılımı saldırısına karşı veri güvenliğinizi korumak için bu yöntemde kullanılan virüs türlerini öğrenmeniz faydalı olabilir. Fidye virüsleri, locker (kilitleyici) ve crypto (şifreleyici) olmak üzere iki temel gruba ayrılır. Aşağıda bu kategorilere giren fidye yazılımı çeşitlerine ait detayları görebilirsiniz.

  • Locky: Locky, faturaya benzeyen bir e-posta iletisi olarak spam yoluyla yayılan fidye yazılımıdır. E-posta görüntülendiğinde hedef kullanıcıya makroları* etkinleştirme talimatı verilir. Bu işlemin ardından fidye yazılımında hedeflenen dosyalar şifrelenmeye başlar ve verilere erişim için bir fidye talep edilir.
  • Cerber: Cerber yazılımında ayrıntılı bir kimlik avı kampanyası üzerinden bulut tabanlı Office 365 kullanıcıları hedeflenir.
  • Jigsaw: Jigsaw, fidye ödenene kadar sistematik olarak daha önce şifrelenen dosyaları silmeye yönelik tehditleri içeren bir ransomware yöntemidir. Bu fidye virüsünde 72 saat dolduğu takdirde şifrelenmiş tüm dosyalar silinir.
  • Bad Rabbit: Bad Rabbit, güvenliği ihlal edilmiş internet sitelerinde yer alan sahte bir Adobe Flash güncellemesiyle yayılır. Fidye yazılımı bir cihaza bulaştığında kullanıcılar, belirlenen miktarda bitcoin talep edilen bir ödeme sayfasına yönlendirilir.

Sayılanlara ek olarak Crysis, GoldenEye, KeRanger, CryLocker, WannaCry ve TeslaCrypt gibi fidye virüsü türleri de bulunur. Fidye yazılımları, RaaS (Ransomware as a Service) kapsamında yasal olmayan bir sektör hâline gelmiştir. Bu saldırıyı bir hizmet olarak sunan siber saldırganlar, kötü amaçlı yazılımı oluşturup dağıtarak fidyeden elde edilen gelirin bir yüzdesini alır.

Ransomware Virüsünün İşletmeler için Oluşturduğu Tehditler Nelerdir?

Ransomware ataklarında temel amaç, hedeflerden fidye alarak kazanç sağlamaktır. Bazı ransomware türleri, özel bilgilerin internette yayılacağını öne sürerek hedefin itibarını zedelemeyi de amaçlar. Bu tür saldırıların işletmeler için oluşturduğu tehditler ise şunlardır:

  • Şirket için önemli olan müşteri bilgilerinin, finansal verilerin, iş planlarının ve diğer hassas detayların kaybedilmesine yol açabilir.
  • Firmanın normal faaliyetlerine devam etmesini zorlaştırarak maddi kayba uğramasına neden olabilir.
  • Veri güvenliği ihlalleri ve müşteri bilgilerinin kaybı, şirketi hukuki sorunlarla karşı karşıya bırakabilir.

Fidye yazılımı saldırısında verilere tekrar erişmek için yüklü miktarda ödeme yapmak gerekebilir. Bu durum, firmalar için önemli finansal yükümlülükleri beraberinde getirir. Fakat fidye ödendiğinde dahi verilerin tamamen kurtarılabileceği kesin değildir. Yani ransomware nedeniyle hem kaynaklarınızı kötü niyetli kullanıcılara kaptırma hem de verilerinizi tamamen kaybetme gibi sorunlar yaşayabilirsiniz.

Çeşitli Sistemlere Fidye Yazılımı Nasıl Bulaşır?

Siber güvenlik açıklarından faydalanan saldırganlar; malspam, malvertising ve RDP oturumları (İnternete açık Uzak Masaüstü Protokolü) gibi yöntemler üzerinden fidye yazılımı atakları gerçekleştirir. Malspam fidye yazılımı saldırısında hedeflere metninde ya da ekinde virüsün olduğu e-postalar gönderilir. Malvertising tekniğinde zararlı yazılım içeren bir iFrame** üzerinden kullanıcının verilerine ulaşılır. RDP oturumlarında ise çoğunlukla 389 numaralı port noktası hedeflenir ve ilgili cihazlara uzaktan erişim sağlanır.

Bu noktada fidye saldırısına uğradığınızı gösteren bazı işaretlere değinmekte fayda vardır. Söz konusu ataklarda şifrelenen dosyalarda “.encrypted” veya “.locky” gibi uzantılar yer alabilir. Ayrıca bu dosyalara ya da sistemlere erişiminiz de kısıtlanır. Fidye yazılımı saldırısında genellikle ekranda bir ödeme talebi mesajı görünür. Bahsi geçen unsurlarla karşılaştığınızda paniğe kapılmamanız ve saldırganların fidye isteğini yerine getirmemeniz önemlidir. Zira yaptığınız ödeme, yalnızca bir şifreli dosyanın açılmasına ve büyük maddi kayıplar yaşamanıza neden olabilir.

Ransomware Saldırılarına Karşı Alınabilecek Tedbirler Nelerdir?

Fidye yazılımı koruması için atılacak birden fazla adım bulunur. Bunlardan ilki, güvenli olmayan bağlantılardan uzak durmaktır. Ayrıca kişisel bilgilerinizi ve işletmenize ait verileri güvende tutacak önlemlere de başvurabilirsiniz. Örneğin antivirüs programı kullanmak, fidye virüslerinden korunmanıza yardımcı olacaktır. Sayılanların yanında kaynağı bilinmeyen unsurlardan kaçınmak, acil durum planları oluşturmak, siber güvenlik konusunda bilinçlenmek, uygulamaları ve işletim sistemlerini sürekli güncellemek gibi tedbirler de alabilirsiniz.

Güvenli Olmayan Bağlantılardan Uzak Durun

Ransomware saldırıları, genellikle phishing gibi kimlik avı yöntemleriyle gerçekleştirilir. Bu doğrultuda hedef kullanıcılara, fidye virüsü içeren e-postalar gönderilir. İlgili e-postalarda bulunan bağlantılara tıklandığında ve talimatlar yerine getirildiğinde dosyalara ya da sistemlere erişim kısıtlanır. Bu nedenle aldığınız iletilerdeki şüpheli bağlantılara tıklamamanız son derece önemlidir. Aynı zamanda güvenli e-posta ağ geçidi teknolojilerinden de destek alabilir ve böylece fidye yazılımların cihazlarınıza ulaşmadan filtrelenmesini sağlayabilirsiniz.

Kişisel Bilgilerinizi Gizli Tutun

Fidye yazılımına karşı koruma tedbiri almak için kişisel bilgilerinizi gizli tutabilirsiniz. Kişisel bilgilerinizi muhafaza etmek için güçlü şifreler kullanmalı, çevrim içi paylaşımlarınızı sınırlamalı ve online dünyada dikkatli davranmalısınız. Örneğin iki faktörlü kimlik doğrulama (2FA) kullanarak sosyal medya ya da e-posta hesaplarınıza ek bir güvenlik katmanı ekleyebilirsiniz. 

Kaynağı Bilinmeyen USB Bellekleri ve E-postaları Açmayın

USB bellek ve e-posta kullanımında tedbirli olmak, siber tehditlere karşı korunmanın temel adımlarından biridir. USB bellekler, içerdikleri zararlı yazılımlar aracılığıyla bilgisayar sistemlerine bulaşabilir ve veri kaybına yol açabilir. Benzer şekilde şüpheli e-postalardaki bağlantıları açmak da kimlik avı saldırılarına ve sistemlere zararlı yazılımların yayılmasına neden olabilir. Bu nedenle kullanıcılar, bilinmeyen kaynaklardan gelen USB belleklere ve e-postalara karşı dikkatli davranmalıdır.

Uygulamaları ve İşletim Sistemini Güncel Tutun

Fidye yazılımı saldırısından korunmak için cihazlarınızdaki uygulamaları ve işletim sistemlerini güncel tutmanız gerekir. Güncellemeler, sistemlerde keşfedilen güvenlik açıklarını kapatır. Böylelikle saldırganların bu zayıf noktalardan yararlanmasını engeller. Bu sırada etkinleştirilen kritik güvenlik yamaları, bilgisayar sistemlerini güçlendirmenin etkili bir yoludur. Ayrıca otomatik güncelleme ayarlarını kullanmak da siber saldırılara karşı daha korumalı bir sistem oluşturur.

İşletmelerde Acil Durum Planı Uygulaması

Ransomware saldırılarından kaynaklanan potansiyel veri kaybı ve iş kesintileri göz önüne alındığında şirketin bir acil durum planı oluşturmasının önemi ortaya çıkar. Fidye yazılımının çözümü için veri yedekleme ve kurtarma süreçlerinden destek alabilirsiniz. Örneğin dosya yedekleme, saldırı durumunda hızlı ve etkili bir yanıt stratejisi izlemenizi sağlar. Kurumunuz fidye yazılım saldırısından etkilenmiş olabilir ve dosyalarınız şifrelenebilir. Bu gibi durumlarda dosyalarınızı kurtarmanın tek ve güvenli yolu, saldırıdan önce yedeklenen son tarihli verilerinizden geri yükleme yapmaktır. Böylece dosyalarının en son versiyonuna ulaşabilirsiniz.

Çalışanların ve Kullanıcıların Bilinçlendirilmesi

Fidye yazılımı saldırısına karşı çalışanları ve kullanıcıları bilinçlendirmek gerekir. Bu bağlamda güvenlik önlemlerine ve uygulamalarına yönelik şirket içi eğitimler verilebilir. Öte yandan, antivirüs yazılımlarının kullanılması ve bu araçlardaki anti-ransomware özelliklerinin aktifleştirilmesi de oldukça önemlidir. Ayrıca; sandbox teknolojileri, EDR (Endpoint Detection and Response) ya da XDR (Extended Detection and Response) gibi güvenlik çözümleri aracılığıyla potansiyel tehditler belirlenir ve yazılım daha uç noktaya gitmeden engellenir.

Fidye Yazılımı Saldırıları Nasıl Tespit Edilir?

Ransomware ataklarını önceden tespit ederek fidye yazılımı temizlemenin getirdiği operasyonel ve finansal yükten kurtulabilirsiniz. Başlıca fidye virüsü çözümü, bu zararlı unsurları belirleyen bir güvenlik yazılımına sahip olmaktır. Bu yazılımların gerçekleştirdiği taramalar, sisteminizdeki davetsiz misafirleri bulmanıza yardım eder. Antivirüs programları, fidye yazılımı tespitinde temel olarak imza tabanlı, davranışa dayalı ve siber aldatma yöntemlerini kullanır. Ardından ilgili virüsleri bularak fidye yazılım temizleme sürecine başlar.

Ransomware Virüsü Nasıl Temizlenir?

Güvenlik yazılımları, fidye yazılımından kurtulmanıza yardımcı olur. Fakat fidye yazılım temizleme sürecinde zaman zaman yetersiz kalabilir. Bu durumda cihazı ağdan ayırmak ve internet bağlantısını kesmek gibi adımlar atmanız gerekir. Ayrıca bilgisayarınızı, bir önceki işletim sistemine geri yükleyebilirsiniz. Tüm bu fidye yazılımı dosya kurtarma aşamaları, iş sürekliliğinizi ve kaynak yönetiminizi aksatabilir. Bu nedenle fidye virüsünden kurtulma gibi işlemlerle uğraşmamak için siber saldırılarından korunmaya yönelik önlemler alabilirsiniz.

Siber Saldırılardan Korunarak Verilerinizi Güven Altına Alın

Profesyoneller tarafından yapılan sızma testleri, sistemlerinizdeki güvenlik açıklarını tespit ederek sizi fidye virüsü temizleme gibi zorlu süreçlerden kurtarır. TSE onaylı sızma testi firması inventiv, Securvent hizmetiyle kurumuzun bilişim altyapısına yönelik siber atakları önlemenizi mümkün kılar. Penetrasyon testleri sayesinde sistemlerinizin dayanıklılığını, gelecekte oluşabilecek fidye yazılım saldırılarına karşı ölçer. Ardından proaktif çözümler sunarak bilişim altyapınızı destekler. Dilerseniz inventiv’in danışmanlık ve eğitim hizmetleri aracılığıyla çalışanlarınızın siber güvenlik alanındaki farkındalığını da artırabilirsiniz.

Notlar:

*Yinelenen görevleri otomatikleştirmek için kullanılan bir komut dizisi

**bir web sayfasının içerisine başka bir sayfaların içeriklerini ya da sayfanın tamamını yerleştirme