Fidye Yazılımı (Ransomware) Nedir?

Fidye yazılımı, yaygın olarak "ransomware" olarak bilinen bir tür kötü amaçlı yazılımdır.   Bu yazılım, cihazdaki dosyaları şifreleyerek ya da kullanıcının sisteme erişimini engelleyerek çalışır. Sonrasında, şifrelenen dosyaların açılması veya erişimin geri kazanılması için kullanıcıdan genellikle kripto para birimleri aracılığıyla ödeme talep edilir.

İlk olarak 2005 yılında ortaya çıktığı düşünülen fidye yazılımı terimi, başlangıçta yalnızca dosya şifreleyen kötü amaçlı yazılımları ifade etmekteyken, zamanla ekranı kilitleyen fidye yazılımları (locker ransomware) ve şifreleme fidye yazılımları (crypto ransomware) benzeri türleri ortaya çıkarak terimin kapsamını zamanla genişledi.

Standart bir uygulama olarak, çoğu işveren adayın iş geçmişini ve pozisyon için uygunluğunu teyit etmek için önceki işverenler ve referans listesiyle iletişime geçer. Bununla birlikte, özellikle üst düzey liderlik rolleri için daha kapsamlı özgeçmiş kontrolleri hem kamu hem de özel sektörde yaygındır. Bu kontroller, adayın pozisyon için uygunluğunu değerlendirmenin yanı sıra, iş ilişkilerinin adil ve güvenli bir şekilde yürütülmesini sağlayarak şirketin itibarını ve kültürünü korur ve suistimal ve çıkar çatışmalarıyla ilgili potansiyel riskleri azaltır.  İşe alım öncesi özgeçmiş kontrolleri, adayın uygunluğunu değerlendirmek ve potansiyel risk faktörlerini belirlemek için doğru bilgi edinmede kritik bir rol oynar. Özgeçmiş kontrolündeki adımlar rolün niteliğine ve şirketin sektörüne bağlı olarak değişebilmekle birlikte, süreç genellikle şunları içerir:

Kuruluşlar Teknolojiyle Karlarını Artırıyor

Fidye yazılımlarının günümüzdeki formunun başlangıcı, 2013 yılına ve CryptoLocker adlı zararlı yazılıma dayanmaktadır. Bu dönemde, fidye yazılımı saldırılarının hedefleme yöntemleri, saldırganların gelirleri ve yayılma şekilleri farklılık gösterse de günümüzdeki nesil bu tarihten itibaren şekillenmiştir. IBM'e göre, fidye yazılımları şifreleme temelli fidye yazılımları ve cihaz erişimini kısıtlayan fidye yazılımları olmak üzere temel olarak 2 sınıfa ayrılabilir.

1. Kilitleme Fidye Yazılımları:

Bu tür yazılımlar, kullanıcıların cihazlarına erişimini tamamen engeller ve genellikle ekran kilitlenir. İlk kez 2009'da Rusya'da ortaya çıkan bu yazılımlar, 2010 yılı itibarıyla küresel bir tehdit haline geldi. Locker fidye yazılımları, kullanıcıların kötü amaçlı içerik barındıran web sitelerine erişim sağlamasıyla bulaşabilir. Bu siteler, çoğunlukla kötü amaçlı reklamlarla donatılmıştır ve bu reklamlar aracılığıyla zararlı kodlar cihaza yüklenir. Bilgisayarda etkinleşen locker yazılımı, bir açılır pencere aracılığıyla cihazın kilitlendiğini bildirir ve kilidi açmak için fidye ödenmesi gerektiğini belirtir. Ödeme yöntemi olarak hediye kartları veya MoneyPak gibi araçlar tercih edilir.

Mobil cihazlarda ise bu tür fidye yazılımları, genellikle bir uygulama görünümünde gizlenir. Kullanıcı, zararlı uygulamayı bir mağazadan indirip çalıştırdığında cihazın ekranı kilitlenir. Locker yazılımlarının başlıca özellikleri:

• Bulaşma Yolları: Sahte e-postalar, kötü amaçlı bağlantılar, güvenli olmayan indirmeler ve güncellemeler aracılığıyla cihazlara bulaşabilir.
• Etkileri: İşletim sistemine veya ana ekrana erişimi tamamen engelleyerek cihazı kullanılamaz hale getirir.
• Mesajlar ve Tehditler: Cihazın kilidinin açılması için belirli bir süre içinde ödeme yapılması gerektiğini ve aksi takdirde verilerin silineceğini belirten tehditler içerir.
• Sonuçlar: Ödeme yapılması halinde kilit açma kodu sağlanacağı vaat edilse de, bunun garantisi yoktur.

2. Şifreleme Fidye Yazılımları

Şifreleme (Kripto) fidye yazılımları, özellikle Bitcoin gibi kripto paraların sağladığı anonimlik ve kolay transfer imkânı nedeniyle oldukça yaygın hale gelmiştir. Bu yazılımlar, güçlü şifreleme yöntemleriyle kullanıcıların önemli dosyalarını kilitler ve şifre çözme anahtarı için fidye talep eder.

Kripto fidye yazılımları, özellikle yedeklenmemiş veya kritik öneme sahip dosyaları hedef alır. Bu tür yazılımlar, bir cihazdaki ağ üzerinden diğer cihazlara hızla yayılabilir ve fidye ödense bile şifre çözme anahtarı her zaman sağlanmaz.

• Bulaşma Yolları: Sahte e-postalar, kötü amaçlı ekler, güvensiz bağlantılar, harici cihazlar ve güvenli olmayan kaynaklardan indirilen dosyalar aracılığıyla yayılır.
• Etkileri: Dosyalar, AES ve RSA gibi güçlü algoritmalarla şifrelenir, bu da şifre çözmeyi neredeyse imkânsız hale getirir. Şifrelenen dosyaların isimleri veya uzantıları değişebilir.
• Mesajlar ve Tehditler: Kullanıcı, fidye ödeme talebini içeren bir mesajla karşılaşır.
• Sonuçlar: Ödeme yapılması durumunda teorik olarak şifre çözme anahtarı sağlanır; ancak bu her zaman garanti edilmez.

Kripto fidye yazılımları, güçlü şifreleme mekanizmaları ve saldırganların anonim kalma avantajı nedeniyle ciddi maddi kayıplara yol açabilir ve hem bireyler hem de kurumlar için büyük bir tehdit oluşturur.

Siber güvenliğin yoğun olarak çevrimiçi bir ortamda sürdürüldüğü günümüzde, bilgi güvenliği topluluğunun belge eksikliği, fidye yazılımı vakalarının artmasına zemin hazırlamaktadır.

• LockBit:

Fidye yazılımı (RaaS) sunan büyük siber suç gruplarından biri olan LockBit yazılımı kullanmak isteyen kötü niyetli aktörlerin, kurbanların verilerini şifrelemek ve fidye talep etmenin yanı sıra, ödemelerin yapılmadığı durumlarda bu bilgileri yayınlama tehdidiyle saldırılar gerçekleştirilmesine olanak tanımaktadır. Ocak 2020 ile Mayıs 2023 arasında LockBit, ABD'de yaklaşık 1,700 fidye yazılımı saldırısında kullanılmış ve bilgisayar korsanlarına toplamda 91 milyon dolar fidye ödenmiştir. Şubat 2024'te, güvenlik güçleri LockBit'in kullandığı web sitelerinin kontrolünü ele geçirmiştir.

• BlackCat

BlackCat, ALPHV ve Noberus adlarıyla da bilinen fidye yazılımı ailesi 2021’de ortaya çıkmıştır. RaaS modeline dayanan yazılım geliştiricilerin bağlı kuruluşlara kötü amaçlı yazılım sağlamaktadır. İlk erişim genellikle çalınmış kimlik bilgileri aracılığıyla sağlanmaktadır. Grup, kurbanları fidye ödemeye zorlamak amacıyla halka açık bir veri sızıntısı sitesi yürütmüştür.

BlackCat 2023 yılında Reddit, 2024 yılında ise Change Healthcare dahil olmak üzere dünya çapında birçok kuruluşu hedeflemiş, en aktif fidye yazılımı operasyonlarından biri olarak kabul edilmiştir. 2024 yılında ABD Dışişleri Bakanlığı, ALPHV/BlackCat çetesi liderlerini tespit etmek için 10 milyon dolar ödül sunmuştur. Mart 2024 tarihinde, BlackCat grubunun bir temsilcisinin 2024 Change Healthcare saldırısının ardından kapanacağını bildirmesi üzerine 2025 yılının başlarında yapılan bildirimlerin incelenmesi sonucunda grubun ortadan kaybolduğu gözlemlenmiştir

• WannaCry

WannaCry; verileri şifreleyerek ve Bitcoin kripto para biriminde fidye ödemeleri talep ederek Microsoft Windows işletim sistemini çalıştıran bilgisayarları hedef alan bir fidye yazılımı saldırısıdır. Saldırıdan bir ay önce The Shadow Brokers adlı bir grup tarafından sızdırılan ve Amerika Birleşik Devletleri Ulusal Güvenlik Ajansı (NSA) tarafından geliştirilen EternalBlue kullanılarak yayılmıştır. Saldırı sırasında siber güvenlik için elzem olan işletim sistemi güvenlik açığından yararlanılarak 150 ülkede 300.000’den fazla bilgisayarı etkilemiş ve dünya çapında 4 milyar dolara maddi kayba neden olmuştur.

Fidye yazılımı saldırılarına karşı şirketlerin kapsamlı bir olay müdahale planına sahip olmaları kritik öneme sahiptir. Ancak, pek çok şirket bu konuda yetersizdir ve teknoloji sağlayıcılarına veya BT ekiplerine aşırı güvenerek hazırlık eksikliği yaşar. Doğru bir müdahale planı, mali kayıpları en aza indirir, kritik rolleri tanımlar ve operasyonların hızlıca toparlanmasını sağlar. Ayrıca, düzenleyici gerekliliklere ve siber sigorta poliçelerine uyum sağlamak açısından da gereklidir. Bu plan, iş sürekliliğini sağlamanın ve etkin bir siber güvenlik stratejisi oluşturmanın temel bileşenlerinden biridir.   Etkili bir fidye yazılımı müdahale planı; risk analizi, tehdit algılama, sınıflandırma, sistem koruma, veri kurtarma ve raporlama gibi aşamaları kapsamalıdır. Plan, düzenli eğitimlerle ve olay sonrası değerlendirmelerle sürekli olarak güncellenmelidir.   Şirketler, bu tür saldırıların yaratabileceği mali kayıpları azaltmak için düzenli veri yedekleme gibi önlemler alarak fidye ödemekten kaçınmaya çalıştı. Ancak fidye yazılımları, son yıllarda gasp benzeri taktikleri de içerecek şekilde evrildi ve riskleri artırdı. Bu nedenle, düzenli veri yedeği tutan ya da fidyeyi ödeyen kurbanlar dahi güvende olamayabiliyor.

1.  Amaçları ve Kapsamı Belirleyin

Şirketler, fidye yazılımına karşı oluşturulan planlarının açık ve net hedeflere sahip olmasını sağlamalıdır. Plan, hangi sistemlerin ve verilerin risk altında olduğunu belirlemeli, saldırının etkisini değerlendiren ve yanıt önceliklerini belirleyen bir çerçeve sunmalıdır.

2. Olay Müdahale Ekibi Kurun

Fidye yazılımı saldırılarına karşı müdahale edecek bir ekip oluşturulmalıdır. Bu ekip; BT uzmanları, siber güvenlik personeli, hukuk danışmanları ve üst düzey yöneticilerden oluşmalıdır. Her ekip üyesinin görev ve sorumlulukları açıkça tanımlanmalıdır.

3. Tehditleri ve Riskleri Tespit Edin

Erken uyarı sistemleri ve güvenlik çözümleri, fidye yazılımlarını hızla tespit etmek için kritik öneme sahiptir. Anormal aktiviteleri ve kötü amaçlı yazılımları algılayabilecek sistemler uygulanmalıdır.    

4. Veri Kurtarma ve Geri Yükleme Sistemlerini Planlayın

Saldırı sonrası verilerin ve sistemlerin hızlıca kurtarılabilmesi için bir plan hazırlanmalıdır. Veriler düzenli olarak yedeklenmeli ve kurtarma süreçleri periyodik olarak test edilmelidir.

5. İletişim Protokolleri Oluşturun

Bir saldırı anında şirket içi ve dışı iletişim stratejileri belirlenmelidir. Çalışanlarla ve üçüncü taraflarla nasıl ve ne sıklıkta iletişim kurulacağı netleştirilmelidir. Yanıt sürecinde iletişim kanalları açık tutulmalıdır.

6. Hukuki Bilgilendirme Edinin

Fidye yazılımı saldırılarının yasal boyutları konusunda hukuk danışmanlarıyla çalışılmalı ve gerekli durumlarda kolluk kuvvetleriyle iş birliği yapılmalıdır. Saldırıya maruz kalan bazı kurumlar fidye ödemesini yapma tercihinde bulunabilmektedirler; fakat bu zararı ciddi derecede büyük olan hukuki ve etik sonuçlar doğurabileceğinden kaynaklı oldukça riskli bir seçenektir. Bu nedenle, saldırıyı gerçekleştirenlerle doğrudan iletişime geçmeden önce mutlaka hem teknik hem de hukuki uzmanlardan destek alınmalıdır. Böylece alınacak kararların, sektör özelinde geçerli olabilecek düzenlemeler ve bildirim yükümlülükleri dikkate alınmak suretiyle yasal sorumluluklar ve uzun vadeli etkiler açısından en sağlıklı şekilde değerlendirilmesi mümkün olacaktır.

7. Düzenli Belgeleme ve Raporlama Yapın, Kayıt Tutun

Olay sırasında alınan tüm adımlar detaylı şekilde belgelenmelidir. Bu belgeler, olay sonrası analizler ve düzenleyici uyumluluk için kullanılmalıdır. Plan düzenli olarak gözden geçirilmeli, çalışanlar eğitimlerle bilinçlendirilmelidir. Ayrıca, masa başı tatbikatlar ve simülasyonlarla planın etkinliği test edilmelidir.

Fidye yazılımları sürekli gelişerek daha büyük bir tehdit haline gelmektedir. Bu nedenle şirketlerin sadece müdahale planlarıyla sınırlı kalmayıp, potansiyel tehditleri gösterebilecek anormallikleri tespit etmeleri hayati öneme sahiptir. Tüm bu süreçlerin etkin ve amaca uygun şekilde yürütülmesi için gerek vaka sonrasında, gerekse vaka öncesinde siber güvenlik, adli bilişim ve hukuk alanında uzman danışmanlardan destek alınması kritik bir öneme sahiptir.