Ransomware yani fidye yazılımları, kötü amaçlı yazılımlardır. Fidye yazılımları genellikle bir kurbanın bilgisayarını veya sistemlerini ele geçirir daha sonra bunun için kurbandan belirli bir ücret ödemesini talep eder. Ödemeler genellikle Bitcoin, Monero veya başka kripto para birimleri gibi izlenmesi zor dijital para birimlerinde istenir.
Bir fidye yazılımı saldırısı, yalnızca bireysel sistemleri değil, aynı zamanda işletmelerin, bankaların, hastanelerin, havalimanlarının, devlet kurumlarının ve hemen hemen her şirketin ağlarını etkileyecek ve bozarak çeşitli şekillerde kendini gösterebilir.
Kötü amaçlı yazılımların ilk kayda alınan örneği 1989’da görülmüştür. O zamandan bu yana fidye yazılımları sürekli olarak gelişmekte ve gittikçe daha karmaşık hale gelmektedir.
Ransomware Nasıl Çalışır?
Basit fidye yazılımları, genellikle şifre gerektirmeyen yazılımlar olsa da, modern olanlar, kurbanın dosyalarını şifrelemek için şifreleme tekniklerini kullanır ve bu da onları tamamen erişilemez hale getirir. Bu modern fidye yazılımları, harddisklerde kullanıldığında bir bilgisayar işletim sistemini tamamen kilitleyerek kurbanın sistemine erişmesine engel olabilir.
Kripto fidye yazılımı, para sızdırmak için bir bilgisayarda veya mobil cihazda depolanan dosyaları şifreleyen bir tür zararlı programdır.Şifreleme, bir dosyanın içeriğini 'karıştırır', böylece okunamaz hale gelir. Normal kullanım için geri yüklemek adına dosyayı 'çözmek' için bir şifre çözme anahtarı gerekir. Kripto-fidye yazılımı esasen dosyaları rehin alır ve dosyaları geri yüklemek için gereken şifre çözme anahtarı karşılığında bir fidye talep eder.
Bir bilgisayar sistemine fidye yazılımı bulaşır bulaşmaz, bu durumun arkasındaki fidyeci, kurbandan bilgisayarına tekrardan ulaşabilmesi için belirli bir miktar fidye ödemesini ister. Ancak, fidyecinin parayı aldıktan sonra bilgisayarınızı eski haline döndüreceğinin herhangi bir garantisi yoktur. Yani parayı aldıktan sonra fidyeci bilgisayarınızı düzeltmeden kaçabilir.
Şok ve Korku Taktiklerini Kullanmak
Diğer tehditlerin aksine, kripto fidye yazılımı ne üstü kapalıdır ne de gizlidir. Bunun yerine, dikkati kendine çekmek için çarpıcı mesajlar gösterir ve sizi fidye ödemeye zorlamak adına açıkça şok ve korku kullanır.
Birkaç sözde kripto-fidye yazılımı aslında şifrelemeyi hiç gerçekleştirmez ve sadece bunu yapacağı yönünde tehdit ederek para sızdırmak için kullanır. Ancak çoğu durumda, bu tehdit fiilen gerçekleştirilir.
Dosyaları Şifreleme ve Fidye Talep Etme
Kripto fidye yazılımı bir cihaza indirilip çalıştırıldığında, hedeflenen dosyaları arar ve şifreler.
TeslaCrypt'in eski çeşitleri gibi bazı kripto fidye yazılımları yalnızca belirli dosya türlerini şifrelemektedir. Diğerleri daha az ayrımcıdır ve birçok dosya türünü şifreler (örneğin, Cryptolocker). Bilinen bir aile olan Petya, bir bilgisayarın sabit diskinin en önce çalışan ve işletim sistemini başlatan (ön yükleyici) özel bir bölümü olan Ana Önyükleme Kaydı'nı (MBR) şifreleyerek diğer tüm programların çalışmasına izin verir.
Şifreleme tamamlandıktan sonra, kripto fidye yazılımı fidye talebini içeren bir mesaj görüntüler. Tutar, bahsi geçen fidye yazılımına bağlı olarak değişecektir ve ödeme genellikle yalnızca Bitcoin veya benzer bir dijital kripto para birimi üzerinden yapılır. Bununla birlikte özel talimatlar da sağlanmaktadır.
Bazı durumlarda saldırganlar, talebi karşılamak için yalnızca sınırlı bir süreye izin vererek fidyeyi ödemeleri için kurbanlara ekstra baskı uygular. Öngörülen süreden sonra şifre çözme anahtarı silinebilir veya fidye talebi artırılabilir.
Kripto Fidye Yazılımıyla Karşılaşmak
Kripto fidye yazılımıyla karşılaşmanın iki yaygın yolu vardır:
- E-postalar, anlık mesajlar veya diğer ağlar üzerinden iletilen dosyalar veya bağlantılar aracılığıyla
- Truva atı indiricileri veya istismar kitleri gibi diğer tehditler tarafından cihazınıza indirilerek
Bağlantıya Tıklama Yöntemi
Kimlik avı e-postaları, siber suçlular tarafından fidye yazılımı yaymak için kullanılan en yaygın yöntemlerden biridir. Kimlik avı dolandırıcılığı, kurbanların gerçekçi görünen e-postalardan sahte bağlantılar veya ekleri açarak bilgisayarlarına virüs bulaştırdıkları bir sosyal mühendislik biçimidir.
Dosya Olarak İndirme Yöntemi
Kullanıcılar, kripto fidye yazılımlarıyla en çok e-posta iletilerinde dağıtılan dosyalar veya bağlantılar aracılığıyla etkileşime girer:
- E-posta mesajı, çevrimiçi olarak kaydedilen 'belgeler' bağlantılar içerir. Aslında, belgeler yürütülebilir programlardır (kripto-fidye yazılımının kendisidir).
- E-postalarda, cihaza kripto fidye yazılımı indiren dosyalar iliştirilmiştir. Kripto fidye yazılımı sağlamak için kullanılan yaygın dosya biçimleri şunları içerir:
- Microsoft Word belgesi (dosya adı .doc veya .docx ile biter)
- Microsoft XSL belgesi (.xsl veya .xslx)
- XML belgesi (.xml veya .xslx)
- JavaScript dosyası içeren sıkıştırılmış klasör (.js dosyası içeren .zip dosyası)
- Birden çok dosya uzantısı (ör. <INVOICE#132435>.PDF.js)
Alıcıları Kandırmak
Fidye yazılımı bağlantısı ya da dosyası içeren bir e-postayı almak bir bulaşmayı tetiklemez; saldırının gerçekleşebilmesi için ekli veya bağlantılı dosyanın indirilmesi veya açılması gerekir.
Saldırganlar alıcıları, bağlantıları veya ekli dosyaları açmaya ikna etmek için genellikle sosyal mühendislik hilelerini kullanarak e-posta iletileri oluşturur. Örneğin, meşru şirketlerin adını ve markasını ya da merak uyandıran, veyahut yasal gibi görünen metinleri kullanırlar.
Ekleri açma
Açılan dosya JavaScript ise, kripto fidye yazılımının kendisini uzak bir web sitesinden veya sunucudan indirip yüklemeye çalışacaktır.
Ekli dosya bir Microsoft Word veya Excel belgesi ise, dosyaya makro olarak zararlı kod gömülür. Kullanıcı bu dosyayı açsa bile, makro yalnızca aşağıdaki koşullardan biri mevcutsa çalışabilir:
- Makrolar Word veya Excel'de zaten etkindir
- Kullanıcı, makroları etkinleştirmesi için kandırılır
Makrolar, Microsoft Office'te varsayılan olarak devre dışıdır. Dosya açıldığında etkinleştirilirlerse, makro kodu hemen çalışır.
Makrolar etkinleştirilmemişse dosya, kullanıcıdan bunları etkinleştirmesini isteyen bir bildirim istemi görüntüler. Kullanıcı “İçeriği Etkinleştir” seçeneğine tıklarsa, makrolar etkinleştirilir ve gömülü kod hemen çalışır.
İstismar Kitleri
Kripto fidye yazılımı, saldırganlar tarafından web sitelerine yerleştirilen araç setleri olan istismar kitleri tarafından da gönderilebilir. Angler, Neutrino ve Nuclear gibi fidye yazılımı sunan çok sayıda istismar kiti bulunmaktadır.
Bu kitler, her web sitesi ziyaretçisinin cihazında yararlanabileceği kusurlar veya güvenlik açıkları olup olmadığını araştırır. Bir güvenlik açığı bulunur ve bu açıktan yararlanılırsa, istismar kiti cihazda hemen kripto-fidye yazılımını indirebilir ve çalıştırabilir.
Fidye Saldırılarının Sonuçları
Etkilenen dosyalar değerli veriler içeriyorsa, bunları şifrelemek, bu bilgilere erişimi kaybetmek anlamına gelir. Veriler bir işletme için kritik öneme sahipse (örneğin, bir hastanedeki hasta verileri veya bir finans firmasındaki maaş bordrosu ayrıntıları) erişim kaybı tüm şirketi etkileyebilir.
Etkilenen dosyalar cihazın işletim sistemi tarafından kullanılıyorsa, bunların şifrelenmesi cihazın düzgün çalışmasını durdurabilir. Cihaz bir şirketin operasyonları için kritik öneme sahipse - örneğin bir sunucu, hastane tıbbi ekipmanı veya endüstriyel kontrol sistemi - iş etkisi önemli derecede olabilir.
Son yıllarda, tüm şirket ağlarına yayılan, virüslü makineler temizlenene ve veriler kurtarılana kadar normal işleri etkili bir şekilde kesintiye uğratan ve hatta durduran çok sayıda fidye yazılımı vakası olmuştur.
NoMoreRansom
NoMoreRansom, yeni bilgisayar kullanıcılarını uyarmak için IT çalışanları ve polis kuvvetleri tarafından oluşturulmuş bir web sitesidir. NoMoreRansom Web sitesi, virüs bulaşmış kullanıcılar için ücretsiz fidye yazılımı kaldırma programlarının yanı sıra bu tür saldırıları nasıl engelleyeceklerine dair tavsiyeler de sunar.
Kullanıcıların finanslarını hedef alan fidye yazılımlarının, popülerliği, son yıllarda önemli derecede artış göstermiştir. Avrupa Birliği Yasa Uygulama İşbirliği Ajansı’na (Europol olarak da bilinir) göre fidye yazılımı saldırıları şu anda dünyadaki en önemli kötü amaçlı yazılım tehditlerinden biridir.