Fidye Yazılımı Saldırısı Sırasında Neler Olur?

Fidye yazılımı kritik verilere zarar verir

Fidye yazılımı, kritik verilere zarar verdiği için işletmeler açısından yıkıcı sonuçlara neden olur. Saldırı sırasında, fidye yazılımı önemli dosyaları tarar ve bunları geri alınamayan güçlü şifreleme ile şifreleyerek bir kuruluşa diğer kötü amaçlı uygulamalara göre çok daha hızlı zarar verir.

Fidye yazılımı tehdidi nasıl başlar?

Fidye yazılımı saldırılarının büyük bölümü şüpheli bir e-posta ile başlar. E-posta genellikle, kullanıcının kötü amaçlı yazılımı indirdiği, saldırgan tarafından kontrol edilen bir web sitesine bağlantı içerir. Ayrıca, kullanıcı dosyayı açtıktan sonra fidye yazılımını indiren kodların yer aldığı kötü amaçlı bir ek içerebilir.

Saldırganlar genellikle Microsoft Office belgelerini ek olarak kullanır. Office yazılımı, saldırganların komut dosyalarını programlamak için kullandığı bir Visual Basic for Applications (VBA) arabirimine sahiptir. Office yazılımının daha yeni sürümleri, bir dosya açıldığında makro komut dosyalarını otomatik olarak çalıştıran özelliği devre dışı bırakır. Kötü amaçlı yazılım, kullanıcıdan komut dosyalarını çalıştırmasını ister ve birçok kullanıcı bunu yapar. Bu nedenle kötü amaçlar makrolar hala tehlikelidir.

Office makrosu, fidye yazılımını saldırganın sunucusundan indirir ve kötü amaçlı yazılım yerel cihazda çalıştırır. Fidye yazılımı, ağı ve yerel depolamayı kritik dosyalar bulmak için tarar ve bulduğu dosyaları ve klasörleri şifreler. Şifreleme, genellikle 128 veya 256 bit kullanan simetrik Gelişmiş Şifreleme Standardı (AES) ile yapılır. Süreci kaba kuvvet saldırılarına karşı dayanıklı hale getirir. Bazı fidye yazılımları ayrıca Rivest-Shamir-Adleman (RSA) gibi genel/özel anahtar şifreleme tekniğini kullanır.

Verileri kurtarma ve fidye yazılımını kaldırma

Fidye yazılımı geliştiricileri, kullanıcıların fidye ödemeden uygulamayı kaldırmasını engelleyen işlevsellikler ekler. Bazı bilgisayar korsanları, kullanıcıların Windows masaüstüne erişememeleri için ekran kilitleri kullanır. Dosyaları şifrelemek için kullanılan şifreleme kitaplıkları güvenli olduğundan, kötü amaçlı yazılımın kaldırılması verileri hala şifreli ve erişilemez durumda bırakır.

FBI, etkilenen işletmelere fidye ödememelerini tavsiye etmektedir. Bazı uzmanlar ise fidye ödemenin dosya şifresinin çözülmesiyle sonuçlandığını söylüyor. Bazen saldırganlar, fidye ödense bile şifre çözme anahtarını teslim etmeyebiliyor. Böylece etkilenen şirket sadece dosyalarını kaybetmekle kalmıyor aynı zamanda para da kaybetmiş oluyor. Fidye yazılımını kaldırmak mümkündür, ancak bir yedeğiniz yoksa fidye ödemeden dosyaları kurtarmanız pek olası değildir.

Çoğu kötü amaçlı yazılımdan koruma sağlayıcısı, fidye yazılımını kaldıran yamalar veya indirilebilir çözümler sunar. Kötü amaçlı yazılımı temizledikten sonra, dosyaları bir yedeklemeden geri yükleyebilirsiniz. Dilerseniz bilgisayarı fabrika ayarlarına da döndürebilirsiniz. İkinci durumda bilgisayarınız ilk satın aldığınız günkü duruma dönecektir. Bu durumda tüm üçüncü taraf yazılımları yeniden yüklemeniz gerekir.

İngiliz güvenlik şirketi Sophos Group, Ryuk'un saldırı ölüm zinciri olarak da adlandırılan saldırı akışını tespit etti. Aşağıdaki şemaya bakın.

Fidye yazılımlarına karşı koruma

Cihazları ve verileri fidye yazılımlarından birkaç farklı şekilde koruyabilirsiniz. Fidye yazılımı saldırıları genellikle kötü amaçlı bir e-posta iletisiyle başladığından, gelen iletileri şüpheli bağlantılar veya eklere karşı tarayan kötü amaçlı yazılımlara karşı koruma ile başlayın. Herhangi bir kötü amaçlı yazılım bulunduğunda ileti karantinaya alınır ve kullanıcının gelen kutusuna ulaşması engellenir.

Ağ üzerinde içerik filtreleme de oldukaç etkili bir yöntemdir. Kullanıcıların saldırganlar tarafından kullanılan web sitelerine erişmelerini önler. E-posta filtreleriyle birlikte içerik filtreleme, fidye yazılımlarının ve çoğu kötü amaçlı yazılımın dahili ağınıza erişmesini engellemenin etkili bir yoludur.

Kötü amaçlı yazılımlara karşı koruma, akıllı telefonlar dahil ağ üzerindeki tüm cihazlarda çalışmalıdır. Kötü amaçlı yazılımdan koruma, fidye yazılımının dosyaları şifrelemesini durdurur ve yükü göndermeden önce sistemden kaldırır. İşletmenin kendi cihazını getir (BYOD) politikası varsa, kullanıcı cihazlarında onaylı bir kötü amaçlı yazılımdan koruma uygulamasının çalıştırılması büyük önem taşır.

Kullanıcıları eğitmek de fidye yazılımı saldırılarına karşı korumada önemli bir yöntemdir. Fidye yazılımları genellikle kimlik avı ve sosyal mühendislikle başladığından, saldırıları tespit etmek üzere eğitilen kullanıcılar, kötü amaçlı yazılımlara karşı koruma önlemlerine büyük katkıda bulunur. Birleştirilmiş, eğitim ve kötü amaçlı yazılımdan koruma sistemleri, siber güvenlik riskini büyük ölçüde azaltır. Kötü amaçlı yazılımdan koruma sistemleri başarısız olursa, saldırıyı tanımlamak üzere eğitilen kullanıcılar kandırılmaz ve kötü amaçlı yürütülebilir dosyalar çalıştırılmaz.

Fidye yazılımı örnekleri

Kötü amaçlı yazılımın küresel tehdidi genel olarak ortadan kalkmış olsa da, çeşitli fidye yazılımı türleri hala işletmeleri etkilemeye devam ediyor. Etkili korumaya sahip olmayan bireylerden veya işletmelerden zorla para almak için varlıklarını koruyor.

Küresel bir etki yaratan bilinen ilk fidye yazılımı uygulamalarından biri CryptoLocker yazılımıydı. CryptoLocker, Windows bilgisayarları hedef aldı ve 2014'te oldukça yaygın bir hale geldi. Genellikle şüpheli bir e-posta ve ekiyle başlayarak yayılıyordu. Sisteme bulaşan yazılım, önemli dosyaları asimetrik (RSA) genelözel anahtar şifreleme yöntemiyle şifreliyordu.

Sosyal mühendislikle yayılan örnek olarak Locky’yi verebiliriz. İlk defa 2016 yılında görülen Locky, e-postaya ekli şüpheli bir Word dokümanıyla bulaşıyordu. Kullanıcı dosyayı açtığında içerik karmaşıklaşıyor ve makroların açılmasını isteyen bir mesaj açılıyordu. Kullanıcı makroları açıp dosyayı tekrar açtığında Locky çalışmaya başlıyordu.

Kullanıcıların gönüllü olarak indirdiği kötü amaçlı yazılımlara örnek olarak ise Bad Rabbit’i verebiliriz. Bad Rabbit, kendini Adobe Flash güncellemesi gibi göstererek yayılıyordu. Kötü amaçlı yazılım çalıştırıldığında dosyaları şifreliyor ve sistemi yeniden başlatıyordu. Sistemin açılmasını önleyen Bad Rabbit, kullanıcılara şifreli dosyaların şifresinin çözülmesi için fidye ödemeleri gerektiğini belirten bir mesaj gösteriyordu.

Bir fidye yazılımı mesajının ekran görüntüsü

Fidye yazılımlarını önleme

Bu örnekler, kuruluşların başına bela olan yalnızca fidye yazılımlarının sadece birkaçı.. Fidye yazılımı geliştiricileri, fidye için dosyaları rehin tutmanın yeni yollarını bulmaya devam ediyor. Fidye yazılımının nasıl çalıştığını anlarsanız, doğru savunmayı uygulayabilirsiniz. Etkili bir kötü amaçlı yazılımdan koruma çözümü, kullanıcıları eğitme ve kötü amaçlı mesajları engelleyen e-posta filtreleriyle fidye yazılımlarını önleyebilirsiniz.

İlgili Araştırmalar

İlgili Makaleler