Fintech Araştırması

    Fidye Yazılımı (Ransomware) Nedir?

    Fidye yazılımı, yaygın olarak "ransomware" olarak bilinen bir tür kötü amaçlı yazılımdır. Bu yazılım, cihazdaki dosyaları şifreleyerek ya da kullanıcının sisteme erişimini engelleyerek çalışır. Sonrasında, şifrelenen dosyaların açılması veya erişimin geri kazanılması için kullanıcıdan genellikle kripto para birimleri aracılığıyla ödeme talep edilir.


    İlk olarak 2005 yılında ortaya çıktığı düşünülen fidye yazılımı terimi, başlangıçta yalnızca dosya şifreleyen kötü amaçlı yazılımları ifade etmekteyken, zamanla ekranı kilitleyen fidye yazılımları (locker ransomware) ve şifreleme fidye yazılımları (crypto ransomware) benzeri türleri ortaya çıkarak terimin kapsamını zamanla genişledi.

    Kuruluşlar Teknolojiyle Karlarını Artırıyor

    Fidye yazılımlarının günümüzdeki formunun başlangıcı, 2013 yılına ve CryptoLocker adlı zararlı yazılıma dayanmaktadır. Bu dönemde, fidye yazılımı saldırılarının hedefleme yöntemleri, saldırganların gelirleri ve yayılma şekilleri farklılık gösterse de günümüzdeki nesil bu tarihten itibaren şekillenmiştir.


    IBM'e göre, fidye yazılımları şifreleme temelli fidye yazılımları ve cihaz erişimini kısıtlayan fidye yazılımları olmak üzere temel olarak 2 sınıfa ayrılabilir.

    1. Kilitleme Fidye Yazılımları

    Bu tür yazılımlar, kullanıcıların cihazlarına erişimini tamamen engeller ve genellikle ekran kilitlenir. İlk kez 2009'da Rusya'da ortaya çıkan bu yazılımlar, 2010 yılı itibarıyla küresel bir tehdit haline geldi. Locker fidye yazılımları, kullanıcıların kötü amaçlı içerik barındıran web sitelerine erişim sağlamasıyla bulaşabilir. Bu siteler, çoğunlukla kötü amaçlı reklamlarla donatılmıştır ve bu reklamlar aracılığıyla zararlı kodlar cihaza yüklenir.


    Bilgisayarda etkinleşen locker yazılımı, bir açılır pencere aracılığıyla cihazın kilitlendiğini bildirir ve kilidi açmak için fidye ödenmesi gerektiğini belirtir. Ödeme yöntemi olarak hediye kartları veya MoneyPak gibi araçlar tercih edilir.


    Mobil cihazlarda ise bu tür fidye yazılımları, genellikle bir uygulama görünümünde gizlenir. Kullanıcı, zararlı uygulamayı bir mağazadan indirip çalıştırdığında cihazın ekranı kilitlenir. Locker yazılımlarının başlıca özellikleri:


Fidye Yazılımı Bilgilendirme
  • Bulaşma Yolları: Sahte e-postalar, kötü amaçlı bağlantılar, güvenli olmayan indirmeler ve güncellemeler aracılığıyla cihazlara bulaşabilir.
  • Etkileri: İşletim sistemine veya ana ekrana erişimi tamamen engelleyerek cihazı kullanılamaz hale getirir.
  • Mesajlar ve Tehditler: Cihazın kilidinin açılması için belirli bir süre içinde ödeme yapılması gerektiğini ve aksi takdirde verilerin silineceğini belirten tehditler içerir.
  • Sonuçlar: Ödeme yapılması halinde kilit açma kodu sağlanacağı vaat edilse de, bunun garantisi yoktur.

    2. Şifreleme Fidye Yazılımları

    Şifreleme (Kripto) fidye yazılımları, özellikle Bitcoin gibi kripto paraların sağladığı anonimlik ve kolay transfer imkânı nedeniyle oldukça yaygın hale gelmiştir. Bu yazılımlar, güçlü şifreleme yöntemleriyle kullanıcıların önemli dosyalarını kilitler ve şifre çözme anahtarı için fidye talep eder.


    Kripto fidye yazılımları, özellikle yedeklenmemiş veya kritik öneme sahip dosyaları hedef alır. Bu tür yazılımlar, bir cihazdaki ağ üzerinden diğer cihazlara hızla yayılabilir ve fidye ödense bile şifre çözme anahtarı her zaman sağlanmaz.

Fidye Yazılımı Bilgilendirme
  • Bulaşma Yolları:Sahte e-postalar, kötü amaçlı ekler, güvensiz bağlantılar, harici cihazlar ve güvenli olmayan kaynaklardan indirilen dosyalar aracılığıyla yayılır.
  • Etkileri:Dosyalar, AES ve RSA gibi güçlü algoritmalarla şifrelenir, bu da şifre çözmeyi neredeyse imkânsız hale getirir. Şifrelenen dosyaların isimleri veya uzantıları değişebilir.
  • Mesajlar ve Tehditler: Kullanıcı, fidye ödeme talebini içeren bir mesajla karşılaşır.
  • Sonuçlar: Ödeme yapılması durumunda teorik olarak şifre çözme anahtarı sağlanır; ancak bu her zaman garanti edilmez.

    Kripto fidye yazılımları, güçlü şifreleme mekanizmaları ve saldırganların anonim kalma avantajı nedeniyle ciddi maddi kayıplara yol açabilir ve hem bireyler hem de kurumlar için büyük bir tehdit oluşturur.

    Fidye Yazılımı Saldırıları Örnekleri

    Siber güvenliğin yoğun olarak çevrimiçi bir ortamda sürdürüldüğü günümüzde, bilgi güvenliği topluluğunun belge eksikliği, fidye yazılımı vakalarının artmasına zemin hazırlamaktadır.

    LockBit

    Fidye yazılımı (RaaS) sunan büyük siber suç gruplarından biri olan LockBit yazılımı kullanmak isteyen kötü niyetli aktörlerin, kurbanların verilerini şifrelemek ve fidye talep etmenin yanı sıra, ödemelerin yapılmadığı durumlarda bu bilgileri yayınlama tehdidiyle saldırılar gerçekleştirilmesine olanak tanımaktadır. Ocak 2020 ile Mayıs 2023 arasında LockBit, ABD'de yaklaşık 1,700 fidye yazılımı saldırısında kullanılmış ve bilgisayar korsanlarına toplamda 91 milyon dolar fidye ödenmiştir. Şubat 2024'te, güvenlik güçleri LockBit'in kullandığı web sitelerinin kontrolünü ele geçirmiştir.

    BlackCat

    BlackCat, ALPHV ve Noberus adlarıyla da bilinen fidye yazılımı ailesi 2021’de ortaya çıkmıştır. RaaS modeline dayanan yazılım geliştiricilerin bağlı kuruluşlara kötü amaçlı yazılım sağlamaktadır. İlk erişim genellikle çalınmış kimlik bilgileri aracılığıyla sağlanmaktadır. Grup, kurbanları fidye ödemeye zorlamak amacıyla halka açık bir veri sızıntısı sitesi yürütmüştür.


    BlackCat 2023 yılında Reddit, 2024 yılında ise Change Healthcare dahil olmak üzere dünya çapında birçok kuruluşu hedeflemiş, en aktif fidye yazılımı operasyonlarından biri olarak kabul edilmiştir. 2024 yılında ABD Dışişleri Bakanlığı, ALPHV/BlackCat çetesi liderlerini tespit etmek için 10 milyon dolar ödül sunmuştur. Mart 2024 tarihinde, BlackCat grubunun bir temsilcisinin 2024 Change Healthcare saldırısının ardından kapanacağını bildirmesi üzerine 2025 yılının başlarında yapılan bildirimlerin incelenmesi sonucunda grubun ortadan kaybolduğu gözlemlenmiştir

    WannaCry

    WannaCry; verileri şifreleyerek ve Bitcoin kripto para biriminde fidye ödemeleri talep ederek Microsoft Windows işletim sistemini çalıştıran bilgisayarları hedef alan bir fidye yazılımı saldırısıdır. Saldırıdan bir ay önce The Shadow Brokers adlı bir grup tarafından sızdırılan ve Amerika Birleşik Devletleri Ulusal Güvenlik Ajansı (NSA) tarafından geliştirilen EternalBlue kullanılarak yayılmıştır. Saldırı sırasında siber güvenlik için elzem olan işletim sistemi güvenlik açığından yararlanılarak 150 ülkede 300.000’den fazla bilgisayarı etkilemiş ve dünya çapında 4 milyar dolara maddi kayba neden olmuştur.

    Fidye Yazılımı Saldırılarına ve Risklerine Karşı Yanıt Verme

    Fidye yazılımı saldırılarına karşı şirketlerin kapsamlı bir olay müdahale planına sahip olmaları kritik öneme sahiptir. Ancak, pek çok şirket bu konuda yetersizdir ve teknoloji sağlayıcılarına veya BT ekiplerine aşırı güvenerek hazırlık eksikliği yaşar. Doğru bir müdahale planı, mali kayıpları en aza indirir, kritik rolleri tanımlar ve operasyonların hızlıca toparlanmasını sağlar. Ayrıca, düzenleyici gerekliliklere ve siber sigorta poliçelerine uyum sağlamak açısından da gereklidir. Bu plan, iş sürekliliğini sağlamanın ve etkin bir siber güvenlik stratejisi oluşturmanın temel bileşenlerinden biridir.


    Etkili bir fidye yazılımı müdahale planı; risk analizi, tehdit algılama, sınıflandırma, sistem koruma, veri kurtarma ve raporlama gibi aşamaları kapsamalıdır. Plan, düzenli eğitimlerle ve olay sonrası değerlendirmelerle sürekli olarak güncellenmelidir.


    Şirketler, bu tür saldırıların yaratabileceği mali kayıpları azaltmak için düzenli veri yedekleme gibi önlemler alarak fidye ödemekten kaçınmaya çalıştı. Ancak fidye yazılımları, son yıllarda gasp benzeri taktikleri de içerecek şekilde evrildi ve riskleri artırdı. Bu nedenle, düzenli veri yedeği tutan ya da fidyeyi ödeyen kurbanlar dahi güvende olamayabiliyor.


    1. Amaçları ve Kapsamı Belirleyin

    Şirketler, fidye yazılımına karşı oluşturulan planlarının açık ve net hedeflere sahip olmasını sağlamalıdır. Plan, hangi sistemlerin ve verilerin risk altında olduğunu belirlemeli, saldırının etkisini değerlendiren ve yanıt önceliklerini belirleyen bir çerçeve sunmalıdır.

    2. Olay Müdahale Ekibi Kurun

    Fidye yazılımı saldırılarına karşı müdahale edecek bir ekip oluşturulmalıdır. Bu ekip; BT uzmanları, siber güvenlik personeli, hukuk danışmanları ve üst düzey yöneticilerden oluşmalıdır. Her ekip üyesinin görev ve sorumlulukları açıkça tanımlanmalıdır.

    3. Tehditleri ve Riskleri Tespit Edin

    Erken uyarı sistemleri ve güvenlik çözümleri, fidye yazılımlarını hızla tespit etmek için kritik öneme sahiptir. Anormal aktiviteleri ve kötü amaçlı yazılımları algılayabilecek sistemler uygulanmalıdır.

    4. Veri Kurtarma ve Geri Yükleme Sistemlerini Planlayın

    Saldırı sonrası verilerin ve sistemlerin hızlıca kurtarılabilmesi için bir plan hazırlanmalıdır. Veriler düzenli olarak yedeklenmeli ve kurtarma süreçleri periyodik olarak test edilmelidir.

    5. İletişim Protokolleri Oluşturun

    Bir saldırı anında şirket içi ve dışı iletişim stratejileri belirlenmelidir. Çalışanlarla ve üçüncü taraflarla nasıl ve ne sıklıkta iletişim kurulacağı netleştirilmelidir. Yanıt sürecinde iletişim kanalları açık tutulmalıdır.

    6. Hukuki Bilgilendirme Edinin

    Fidye yazılımı saldırılarının yasal boyutları konusunda hukuk danışmanlarıyla çalışılmalı ve gerekli durumlarda kolluk kuvvetleriyle iş birliği yapılmalıdır. Saldırıya maruz kalan bazı kurumlar fidye ödemesini yapma tercihinde bulunabilmektedirler; fakat bu zararı ciddi derecede büyük olan hukuki ve etik sonuçlar doğurabileceğinden kaynaklı oldukça riskli bir seçenektir. Bu nedenle, saldırıyı gerçekleştirenlerle doğrudan iletişime geçmeden önce mutlaka hem teknik hem de hukuki uzmanlardan destek alınmalıdır. Böylece alınacak kararların, sektör özelinde geçerli olabilecek düzenlemeler ve bildirim yükümlülükleri dikkate alınmak suretiyle yasal sorumluluklar ve uzun vadeli etkiler açısından en sağlıklı şekilde değerlendirilmesi mümkün olacaktır.

    7. Düzenli Belgeleme ve Raporlama Yapın, Kayıt Tutun

    Olay sırasında alınan tüm adımlar detaylı şekilde belgelenmelidir. Bu belgeler, olay sonrası analizler ve düzenleyici uyumluluk için kullanılmalıdır. Plan düzenli olarak gözden geçirilmeli, çalışanlar eğitimlerle bilinçlendirilmelidir. Ayrıca, masa başı tatbikatlar ve simülasyonlarla planın etkinliği test edilmelidir.


    Fidye yazılımları sürekli gelişerek daha büyük bir tehdit haline gelmektedir. Bu nedenle şirketlerin sadece müdahale planlarıyla sınırlı kalmayıp, potansiyel tehditleri gösterebilecek anormallikleri tespit etmeleri hayati öneme sahiptir. Tüm bu süreçlerin etkin ve amaca uygun şekilde yürütülmesi için gerek vaka sonrasında, gerekse vaka öncesinde siber güvenlik, adli bilişim ve hukuk alanında uzman danışmanlardan destek alınması kritik bir öneme sahiptir.

Bizimle İletişime Geçin

oytun-onder blog posts
Oytun Önder
Usulsüzlük Önleme, İnceleme, Ticari Uyuşmazlık ve Uyum Danışmanlığı, Danışmanlık Şirket Ortağı
KPMG Türkiye
Profil |

Bize ulaşın


Bizi takip edin

İş Dünyasının Bilgi ve Öngörü Kaynağı