Giriş

Dijital altyapımıza olan bağımlılığımız arttıkça, fidye yazılımı saldırılarının etkisi giderek ciddileşiyor, günlük operasyonları bozuyor ve finansal kayıplara neden oluyor. Siber suçluları yakalamak, izlerini gizlemek için sofistike yöntemlere başvurdukları için daha da zorlaşıyor. Bu tür bir araçtan biri, fidye ödemelerini almak için kripto para birimidir. Fidye ödemeleri için tercih edilen bir ödeme şekli olarak kripto paranın merkezi olmayan ve takma adlı doğasından faydalanıyorlar. Yalnızca 2023 yılında, fidye yazılımı saldırıları 1 milyar doların üzerinde fidye ödemelerine neden oldu.bildirilenblockchain analiz şirketi Chainalysis tarafından.

Ransomware nedir?

Fidye yazılımı, bir sistemin verilerini şifrelemek üzere tasarlanmış kötü amaçlı yazılımdır ve bir fidye ödenene kadar erişilemez hale getirir. Bu siber saldırı, yetkilendirilmemiş erişim elde etmek için sistemlerindeki zafiyetleri sömüren bireyleri, işletmeleri ve hükümet kuruluşlarını hedef almaktadır. Bir kez kötü amaçlı yazılım devreye sokulduğunda, dosyaları şifreler ve genellikle kripto para birimi karşılığında verileri deşifre etmek için ödeme talep eder.

Fidye yazılımı saldırılarının ana amacı genellikle maddi olsa da bazı durumlarda operasyonel aksaklıklara neden olmak, hassas bilgilere izinsiz erişim sağlamak veya kuruluşları diğer taleplere uymaya zorlamak için de kullanılmaktadır. Ayrıca, siyasi gerilim yaşayan ülkeler arasında bir cyber warfare aracı olarak da kullanılmıştır.

Fidye Yazılımının Tarihi ve Evrimi

Bilinen ilk fidye yazılımı saldırısı 1988'de AIDS Trojanı olarak bilinen, aynı zamanda PC Cyborg Virüsü olarak adlandırıldı. Dünya Sağlık Örgütü konferans katılımcılarına disketler aracılığıyla dağıtıldı. Belirli bir bilgisayar yeniden başlatma sayısından sonra trojan dosyaları şifreledi ve Panama'daki bir P.O. Box'a ödenen 189 dolarlık bir fidye talep etti. Bu saldırı, günümüz standartlarına göre ilkel şifreleme kullandı, ancak modern fidye yazılımının temelini attı. 2006 yılı itibarıyla, Gelişmiş RSA şifrelemesi, fidye yazılımının web sitelerine ve istenmeyen e-posta yoluyla dağıtılmasında kullanıldı ve fidye ödemeleri, takip etmesi zor olan kuponlar, paysafecard'lar ve diğer elektronik yöntemlerle yapıldı.

Kaynak: Chainalysis

2010 yılına gelindiğinde, Bitcoin popülerlik kazandıkça, saldırganlar takip etmesi çok daha zor bir takma adlı bir para biriminde fidye talep etmeye başladı. O zamandan beri, daha yeni ve daha sofistike fidye yazılımları modelleri geliştirildi ve 2019'dan 2024'e kadar geçen sürede 3 milyar doları aşan bir suç endüstrisi oluşturuldu.

Fidye Yazılımı'ndaki Kripto Paraların Rolü

Kripto paraların, özellikle Bitcoin'in, önemli özelliklerinden biri psödonomdurlarıdır. İşlemler blok zincirinde kaydedilirken, taraf olanların kimlikleri cüzdan adresleri tarafından maskeleme yapılarak, saldırganın izini geriye sürmek zorlaştırılmıştır. Kredi kartları ve banka transferleri gibi geleneksel ödeme sistemleri, suçluları araştırmak için kanıt bırakan açık kimlik izleri bırakır.

Bitcoin işlemleri blok zincirinde açıkça izlenebildiğinden, bazı siber suçlular, anonimlik özellikleri sunan Monero gibi gizlilik odaklı kripto para birimlerine kaydırdılar ve işlem ayrıntılarını daha da belirsizleştirmek için gizli adresler ve halka imzaları kullanıyorlar.

Kripto Fidye Yazılımı Nasıl Çalışır

Kripto fidye yazılımı genellikle hedef sistemlere, genellikle kimlik avı e-postaları, zararlı indirmeler veya sistem güvenlik açıklarını kullanarak sızar. İçeri girdikten sonra, kötü amaçlı yazılım karmaşık şifreleme algoritmalarını kullanarak kurbanın bilgisayarında veya ağında dosyaları şifreler ve verilere erişilemez hale getirir.

Kaynak: ComodoSSL

İşlemlerin aşamaları aşamalı olarak gerçekleştirilir;

• Enfeksiyon
• Şifreleme
• Fidye Talebi

Enfeksiyon

Kripto fidye yazılımı, kurbanın cihazına şu gibi kanallardan girer;

Phishing E-postaları: Siber suçlular, meşru kaynaklardan geldiği gibi görünen e-postalar gönderir ve alıcıları kötü amaçlı bağlantılara tıklamaya veya enfekte edilmiş ekleri indirmeye kandırır. Bu dosyalar genellikle önemli belgeler veya güncellemeler gibi görünerek gerçek doğalarını gizlerler.

Güncel Olmayan Yazılım: Fidye yazılımları, işletim sistemlerinin veya uygulamaların eski sürümlü yazılımlarındaki hataları kullanabilir. Bu, Microsoft Windows'ta bir açığı kullanan WannaCry saldırısında açıkça görüldü.

Malware reklamları: Kullanıcılar yanıltıcı reklamlarla bilmeden sahte yazılım güncellemelerini indirerek fidye yazılımının kurulumunu gerçekleştirebilirler.

Uzak Masaüstü Protokolü Hileleri: Uzak Masaüstü Protokolü (RDP), bir kuruluşun çalışanlarının farklı konumlardan çalıştığı durumlarda bir sunucuya uzak bir bağlantıyı sürdürmek için kullanılır. Çalışanın bilgisayarındaki RDP arayüzü, sunucudaki RDP bileşeniyle şifreleme protokolleri aracılığıyla iletişim kurar. Şifreli olsa da, bu bağlantı modu, kötü niyetli aktörlerin bir şirketin sunucusuna fidye yazılımı yüklemek için kullandığı hilelere karşı savunmasızdır.

Şifreleme

Sisteme girdikten sonra, fidye yazılımı kurbanın dosyalarını şifrelemeye başlar. Kripto fidye yazılımı şu gibi şifreleme yöntemlerini kullanır:

• RSA (Rivest–Shamir–Adleman): Bir asimetrik şifreleme algoritmasıdır ve bir genel ve özel anahtar çifti kullanır. Genel anahtar dosyaları şifrelerken, saldırganın sahip olduğu özel anahtar ise onları çözmek için gereklidir.
• AES (Gelişmiş Şifreleme Standardı): Şifreleme ve şifre çözme için aynı anahtarın kullanıldığı simetrik bir şifreleme yöntemi. Fidye yazılımı dosyaları şifrelemek için bunu kullanır ve anahtar saldırgan tarafından saklanır.

Kötü amaçlı yazılım, belgeler, resimler, videolar ve veritabanları da dahil olmak üzere değerli olabilecek dosya türlerini hedef alır. Bu süreçte kullanıcılar, şifrelemenin tamamlanana kadar verilerinin kilendiğini bile fark etmeyebilirler ve bu da onları hemen kurtarma seçeneklerinden yoksun bırakır.

Büyük fidye yazılımı saldırılarındaki dikkate değer kalıplardan biri, tatillerde veya personelin çoğunluğunun tespit edilmekten kaçınmak için çevrimiçi olmadığı zamanlarda meydana gelmeleridir.

Fidye Talebi

Kaynak: Proofpoint

Verileri şifreledikten sonra, fidye yazılımı genellikle bir açılır pencere, metin dosyası veya HTML sayfası aracılığıyla kurbanına bir fidye notu gösterir.

Bitcoin karşılığında özel anahtarın talep edildiği bir fidye talebi ekranı
Kaynak: Varonis

Fidye tutarı genellikle Bitcoin veya Monero'da istenir ve ödeme sitesine veya saldırganlarla iletişim yöntemine bir bağlantı (bazen karanlık web'de barındırılır) sağlanır.

Kaynak: Proofpoint

Eğer kurban talebi yerine getirir ve istenilen miktarı transfer ederse, saldırganlar dosyaları kilidini açmak için şifre çözme anahtarını sağlayabilir. Ancak fidye ödemek, saldırganların taahhütte bulunacakları anlamına gelmez. Bazı durumlarda, kurbanlar ödeme yaptıktan sonra bile şifre çözme anahtarını asla alamazlar veya ek fidye talepleriyle karşılaşabilirler.

Bilgi güvenliği uzmanları ve kolluk kuvvetleri fidye ödemeyi teşvik etmemekte, çünkü Siber suçlular, kurbanın dosyalarını sadece şifrelemekle kalmayıp aynı zamanda hassas verileri de çalarak çifte şantaj yoluna gidebilir. Ardından, başka bir fidye ödenmediği takdirde verileri açıklamak veya satmakla tehdit ederler.

Dikkate değer Kripto Fidye Yazılımı Saldırıları

WannaCry (2017)

WannaCry, tarihte en kötü ama bir o kadar da yaygın fidye yazılım saldırılarından biridir. Shadow Brokers hacker grubunun daha önce NSA'dan çaldığı EternalBlue olarak bilinen Microsoft Windows'taki bir güvenlik açığından yararlandı. WannaCry, İngiltere Ulusal Sağlık Servisi (NHS), FedEx ve Renault gibi önemli kuruluşları da içeren 150 ülke genelinde 200.000'den fazla bilgisayarı etkiledi. Özellikle sağlık hizmetlerinde hastane hizmetlerinin ciddi şekilde etkilendiği sağlık sistemlerinde geniş çaplı bir kesintiye neden oldu.

Bir WannaCry Fidye Notu
Kaynak: CyberSpades

Saldırganlar, bir şifre çözme anahtarı karşılığında Bitcoin'de 300 dolar talep etti, ancak birçok kurban ödeme yaptıktan sonra bile verilerini kurtaramadı. Saldırı, kötü amaçlı yazılımın koduna gömülü bir 'öldürme anahtarı' etkinleştiren bir güvenlik araştırmacısı tarafından sonunda durduruldu, ancak milyarlarca dolarlık zarara neden olduktan sonra.

NotPetya (2017)

NotPetya, hem fidye yazılımı olarak hizmet veren hem de bir silici kötü amaçlı yazılım olan çift-tehlikeli bir kötü amaçlı yazılımdı, ki amacı fidye almak yerine yıkım yapmaktı.

Bir NotPetya Fidye Notu
Kaynak: GüvenlikAnahatları

Kötü amaçlı yazılım, bir Bitcoin fidyesi talep etti gibi görünüyordu, ancak ödeme yapıldıktan sonra bile şifrelenmiş verilerin kurtarılması mümkün değildi, bu da finansal kazancın gerçek hedef olmadığını gösteriyor. Geleneksel fidye yazılımlarının aksine, NotPetya, Rusya ile jeopolitik gerilim döneminde Ukrayna'ya yönelik politik bir motivasyona sahip gibi görünüyordu. Sonunda küresel olarak yayılsa da, Maersk, Merck ve FedEx gibi büyük çok uluslu şirketlere zarar verdi ve tahmini küresel finansal kayıpların 10 milyar doların üzerinde olduğu bildirildi.

DarkSide (2021)

DarkSide, ABD'nin en büyük yakıt boru hattı olan Colonial Pipeline'a saldırısının ardından küresel dikkatleri üzerine çekti ve bu da Doğu Kıyısı'nda yakıt kıtlığına yol açtı. Saldırı, yakıt tedariklerini bozdu ve yaygın panik alışverişine neden oldu. Sonunda Colonial Pipeline, FBI daha sonra bu fidyenin bir kısmını kurtarsa da, 4.4 milyon dolarlık bir fidye ödedi.

Bir DarkSide Fidye Notu

Kaynak: KrebsonSecurity

Fidye Yazılımı olarak Hizmet

RaaS, fidye yazılımı oluşturucularının kötü amaçlı yazılımlarını ortaklar veya diğer suçlulara kiraya verdikleri bir iş modelidir. Ortaklar bu yazılımı kullanarak saldırıları gerçekleştirir ve fidye karını fidye yazılımı geliştiricileriyle paylaşırlar.

REvil

REvil (aynı zamanda Sodinokibi olarak da bilinir) en sofistike fidye yazılımı gruplarından biri olup, bir fidye yazılımı hizmeti (RaaS) operasyonu olarak faaliyet göstermektedir.

REvil, dünya genelindeki kuruluşlar üzerindeki yüksek profilli saldırılarla ilişkilendirilmiştir, bunlar arasında JBS (dünyanın en büyük et tedarikçisi) ve bir yazılım şirketi olan Kaseya yer almaktadır. Bu, yazılım ürünlerine güvenen 1.000'den fazla işletmeyi etkiledi.

Clop

Kaynak: BleepingComputer

Clop, şirketlere hedeflenen büyük ölçekli spear-phishing kampanyaları düzenleyen bir Ransomware olarak hizmet veren (RaaS) bir başka fidye yazılımıdır. Clop'un operatörleri çifte şantaj tekniğini kullanır: Verileri şifrelemeden önce çalarlar ve fidye ödenmezse hassas bilgileri sızdırmakla tehdit ederler.

2020'de Clop, Accellion dosya aktarım yazılımıyla bağlantılı ve birden fazla üniversiteyi, finans kurumunu ve devlet kurumunu etkileyen büyük bir veri ihlalinden sorumluydu.

Kripto Fidye Yazılımına Karşı Savunma

En etkili savunma, kötü amaçlı yazılımların sisteminize girmesini engellemekle başlar. İşte bilgisayarınızı fidye yazılımlarından koruyabilecek bazı önlemler.

Bilgi Güvenliği Farkındalığı

Kullanıcıların ve çalışanların, balık avı e-postaları veya şüpheli ekler gibi tehditleri tanıyıp yanıtlamak için eğitilmesi gerekmektedir. Düzenli bir şekilde gerçekleştirilen Siber Güvenlik farkındalık eğitimi, kazara enfeksiyon riskini önemli ölçüde azaltabilir.

Yazılım Güncellemeleri

İşletim sistemleri, uygulamalar ve güvenlik yazılımları için düzenli güncellemeler ve yamalar, güncel olmayan yazılım nedeniyle fidye yazılımına karşı maruziyeti sınırlayarak saldırı riskini azaltır.

Yedekleme Verileri

Bir fidye yazılımı saldırısı meydana gelirse, yakın zamanda bir yedeğe sahip olmak, kurbanın fidye ödemeden verilerini geri yüklemesine olanak tanır. Yedeklemeler, fidye yazılımı tarafından enfekte olmalarını önlemek için çevrimdışı olarak veya ağa doğrudan bağlı olmayan bulut ortamlarında saklanmalıdır.

E-posta Filtreleri

E-posta filtreleme sistemleri, şüpheli bağlantıları, ekleri veya özellikleri taramak için gelen mesajları tarar. Bu filtreler, bilinen kötü amaçlı unsurlar içeren e-postaların kullanıcıların gelen kutularına ulaşmadan engellenmesini sağlayabilir.

Ağ Segmentasyonu ve Erişim Kontrolleri

Ağ segmentasyonu, sistemine sızdığında fidye yazılımının yayılmasını kısıtlar, hatta ağın bir kısmı tehlikeye girdiğinde bile, zarar kontrol altına alınabilir. Uzmanlar, hassas sistemleri ve verileri düzenli işlemlerden ayırarak, kritik alanlara erişimi sınırlamanızı önermektedir.

Çok faktörlü kimlik doğrulaması (MFA) ve en az ayrıcalık ilkesi (kullanıcılara yalnızca ihtiyaç duydukları erişimi verme) gibi erişim denetimleri, kullanıcı erişimini sınırlayabilir. Bir saldırgan bir hesaba veya sisteme erişim kazanırsa, segmentasyon ve erişim kontrolleri, ağ üzerinde yanal hareketi önleyerek fidye yazılımının erişimini sınırlayabilir.

Nokta Tespit ve Yanıt (NTY) Çözümleri

EDR çözümleri, endpoint etkinliklerinin sürekli izlenmesini ve analizini sağlayarak fidye yazılımı enfeksiyonunun erken belirtilerinin tespitine yardımcı olur. Bu araçlar şüpheli davranışlara otomatik olarak yanıt verebilir, enfekte cihazları izole edebilir ve ağ boyunca fidye yazılımının yayılmasını engelleyebilir.

Sonuç

Kripto Fidye Yazılımı, suçluların blok zinciri teknolojisinin anonimliğinden faydalanarak kripto para biriminin yanlış kullanımlarından birini vurgulamaktadır. Ransom olarak kripto para birimi kullanıldığında yapılacak çok fazla bir şey olmasa da, en iyi önlemler kullanıcıları ve sistemleri phishing bağlantılarından kaçınarak ve düzenli yazılım güncellemelerini gerçekleştirerek fidye yazılımı enfeksiyonlarından korumaktır.

Ayrıca, düzenli veri yedeklemelerinin sürdürülmesi, bir saldırı meydana gelirse önemli dosyaların fidye ödemeden geri yüklenebilmesini sağlar. Ağ segmentasyonu, fidye yazılımlarının yayılmasını sınırladığı, sistemin belirli bölümleriyle sınırladığı ve etkilenmeyen alanları koruduğu için bir başka önemli savunma önlemi olarak hizmet eder.