İçeriğe geç
Anasayfa » Ransomware: Dijital Dünyanın En Sessiz Soyguncusu

Ransomware: Dijital Dünyanın En Sessiz Soyguncusu


Günlük hayatımızda yürürken, yemek yerken ya da araç kullanırken nasıl bazı refleksler ve
dikkat kuralları geliştirmişsek, teknolojiyi kullanırken de aynı bilinç seviyesine sahip olmamız
gerekir. Ne yazık ki çoğu insan, teknolojik cihazları kullanırken bu dikkat kültürünü yeterince
benimsemiyor. Şifrelerimizi paylaşmamak, tanımadığımız bağlantılara tıklamamak veya
güncellemeleri zamanında yapmak gibi basit önlemler bile çoğu zaman göz ardı ediliyor.
İşte bu ihmaller, siber dünyanın en tehlikeli suçlularına fırsat kapılarını ardına kadar açıyor.
Son yıllarda bu fırsatlardan en çok yararlanan tehditlerden biri ise Ransomware — yani fidye
yazılımları. Bir sabah bilgisayarınızı açtığınızda, yıllarca emek vererek biriktirdiğiniz tüm
dosyalarınızın kilitli olduğunu ve saldırganın sizden fidye istediğini görmek… İşte
ransomware tam da bu kabusu gerçeğe dönüştürüyor.
Bu yazıda, ransomware’in ne olduğunu, nasıl çalıştığını ve kendimizi bu dijital gasp
yönteminden nasıl koruyabileceğimizi adım adım inceleyeceğiz. Çünkü teknoloji artık
hayatımızın vazgeçilmez bir parçası ve onunla birlikte gelen riskler de en az günlük hayatta
karşılaştığımız tehlikeler kadar gerçek.


Öncelikle fidye yazılımı ya da bilinen ismiyle ransomware nedir, buna açıklık getirelim. Fidye
yazılımı; şantaj yazılımı, fidye virüsü veya ransomware (İngilizce: ransom software) olarak
adlandırılan fidye yazılımlarına verilen genel bir addır. Fidye virüsleri, bulaştığı bilişim
sistemleri üzerinde dosyalara erişimi engelleyerek kullanıcılardan fidye talep eden zararlı
yazılımlardır. Fidye virüsü, kurbanın cihazı (bilgisayar, akıllı telefon, giyilebilir cihazlar vb.)
üzerinde gizlice kendini yükleyen veya kurbanın verisini rehin tutan kriptoviroloji ile
kriptoviral alıkoyma saldırısı başlatan ya da fidye ödenene kadar kurbanın verisini
yayınlamakla tehdit eden bir bilgisayar zararlı yazılımıdır. Basit bir fidye virüsü, bilgili bir
kişinin geriye çevirmesi zor olan bir şekilde sistemi kilitler ve kilidi açmak için ödeme isteyen
bir mesaj gösterir. Daha gelişmiş zararlı yazılımlar ise kurbanın dosyalarını şifreler, bunları
erişilemez hale getirir ve şifresini çözmek için bir fidye ödenmesini talep eder.


Çalışma Mekanizması: Dosya şifreleyen fidye yazılımları, Columbia Üniversitesi’nden
Young ve Yung tarafından keşfedilmiş ve uygulanmıştır. 1996’da IEEE Güvenlik & Gizlilik
Konferansı’nda sunulan bu yöntem “kriptoviral alıkoyma” olarak adlandırılmaktadır ve
aşağıdaki üçlü protokol saldırgan ile kurban arasında yürütülmektedir:

  1. [Saldırgan → Kurban]
    Saldırgan bir anahtar çifti oluşturur ve karşılık gelen açık anahtarı kötü amaçlı
    yazılımın içerisine yerleştirir. Kötü amaçlı yazılım sisteme bırakılır.
  2. [Kurban → Saldırgan]
    Kriptoviral alıkoyma saldırısını gerçekleştirmek için kötü amaçlı yazılım, rastgele bir
    simetrik anahtar üretir ve kurbanın verilerini bu anahtar ile şifreler. Ardından, kötü
    amaçlı yazılımın içerisindeki açık anahtarı kullanarak simetrik anahtarı şifreler. Bu
    işlem hibrit şifreleme olarak bilinir ve kurbanın simetrik şifreli metni ile birlikte küçük
    bir asimetrik şifreli metin ortaya çıkar. Simetrik anahtar ve geri dönüşü engellemek
    için orijinal açık metin silinir. Kullanıcıya, asimetrik şifreli metni ve fidyeyi nasıl
    ödeyeceğini belirten bir mesaj gösterilir. Kurban, bu şifreli metni ve e-parayı
    saldırgana gönderir.
  3. [Saldırgan → Kurban]
    Saldırgan ödemeyi alır, kendi gizli anahtarı ile asimetrik şifreli metni çözer ve simetrik
    anahtarı kurbana gönderir. Kurban bu anahtar ile şifrelenmiş veriyi çözer. Simetrik
    anahtar rastgele üretildiğinden başka kurbanlara yardımcı olmaz. Saldırganın gizli
    anahtarı hiçbir şekilde kurbana verilmez.

Ransomware Geçmişi: Şifreleme fidye virüsleri, 1989’da Joseph Popp tarafından yazılan ve
bilinen ilk kötü amaçlı yazılım alıkoyma saldırısı olan AIDS Truva Atı ile ortaya çıkmıştır. Bu
yazılım, sabit disk üzerindeki dosya isimlerini şifreleyerek kullanıcının erişimini engelliyor ve
lisans süresinin dolduğunu belirten bir mesaj gösteriyordu. Kullanıcıdan “PC Cyborg
Corporation”a 189 dolar ödeme yapması isteniyordu. Ancak tasarım hatası nedeniyle şifre
çözme anahtarı yazılımın içinden elde edilebiliyordu.
1996’da Adam L. Young ve Moti Yung, fidye saldırılarında açık anahtar kriptolojisi
kullanımını ortaya koyarak önemli bir dönüm noktası yarattı. RSA ve Küçük Şifreleme
Algoritması ile hibrit şifreleme yapan deneysel bir kripto virüsü geliştirdiler. Bu sistemde
yalnızca şifreleme anahtarı zararlıya yerleştirilirken, çözme anahtarı saldırganda tutuluyordu.
Bu yöntem, literatüre “kriptoviral alıkoyma” olarak geçti.
2005’ten itibaren fidye virüsleri daha karmaşık hale gelmeye başladı. Gpcode,
TROJ.RANSOM.A, Archiveus, Krotten, Cryzip ve MayArchive gibi Truva atları, RSA tabanlı
şemalarda daha uzun anahtarlar kullanmaya başladı. 2008’de tespit edilen Gpcode.AK, 1024-
bit RSA anahtarıyla şifreleme yapıyor ve kırılması neredeyse imkânsız olarak
değerlendiriliyordu.
2013’te Bitcoin ile ödeme toplayan CryptoLocker, fidye virüslerini yeniden küresel bir tehdit
haline getirdi. Kısa sürede milyonlarca dolarlık kazanç sağladı. Onu CryptoDefense
(Windows’un kendi şifreleme API’sini kullanması nedeniyle anahtarı sistemde tutma hatasına
sahipti) ve NAS cihazlarını hedef alan varyantlar izledi. 2015’te ise Linux tabanlı web
sunucularına yönelik fidye saldırıları yaygınlaştı.
Günümüzde bazı fidye virüsleri, saldırganların konumlarını gizlemek için Tor tabanlı komuta
ve kontrol sunucuları kullanmaktadır. Bu teknoloji, dark web üzerinde “hizmet olarak” da
satılmakta ve saldırganların teknik bilgiye sahip olmadan fidye virüsü kampanyaları
yürütmesini sağlamaktadır.
Symantec, fidye virüslerini günümüzün en tehlikeli siber tehditlerinden biri olarak
sınıflandırmaktadır. Çünkü bu saldırılar yalnızca dijital verileri değil, şirketlerin
operasyonlarını ve itibarını da hedef almaktadır.


Ransomware Örneği: Ransomware saldırı örneklerinden biri de, 2021 yılında ABD’nin
enerji altyapısını doğrudan hedef alan Colonial Pipeline vakasıdır. Bu olay, fidye
yazılımlarının yalnızca dijital verileri değil, aynı zamanda ulusal güvenliği ve ekonomik
istikrarı da tehdit edebileceğini göstermiştir.
7 Mayıs 2021’de, Houston, Texas’tan başlayan ve ağırlıklı olarak Amerika Birleşik
Devletleri’nin güneydoğusuna benzin ve jet yakıtı taşıyan Colonial Pipeline adlı Amerikan
petrol boru hattı sistemi, boru hattını yöneten bilgisayarlı ekipmanları etkileyen bir fidye
yazılımı saldırısına uğradı. Colonial Pipeline Company, saldırıyı kontrol altına almak için tüm
boru hattı operasyonlarını durdurdu. FBI gözetiminde şirket, bilgisayar korsanı grubun
istediği miktarı (75 Bitcoin ya da 4,4 milyon USD) birkaç saat içinde ödedi. Fidyeyi aldıktan
sonra DarkSide, Colonial Pipeline Company’ye sistemi geri yüklemek için bir BT aracı
sağladı. Ancak bu aracın sistemi çalışır hale getirmesi çok uzun bir işlem süresi
gerektiriyordu.
9 Mayıs’ta Federal Motorlu Taşıyıcı Güvenlik İdaresi, yakıt ikmal hatlarının açık kalmasını
sağlamak için 17 eyalet ve Washington D.C. için bölgesel bir acil durum ilan etti. Bu saldırı,
Amerika Birleşik Devletleri tarihinde bir petrol altyapı hedefi üzerindeki en büyük siber
saldırı oldu. FBI ve çeşitli medya kaynakları, suçtan DarkSide adlı bilgisayar korsanı grubunu
sorumlu olarak belirledi. Aynı grubun, kötü amaçlı yazılım saldırısından bir gün önce şirket
sunucularından 100 gigabayt veri çaldığına inanılıyor.
7 Haziran’da Adalet Bakanlığı, fidye ödemesinden 63,7 Bitcoin’i (orijinal ödemenin yaklaşık
%84’ü) geri aldığını duyurdu. Ancak Mayıs ayı sonunda Bitcoin değerindeki düşüş nedeniyle
geri alınan Bitcoin’lerin değeri sadece yaklaşık 2,3 milyon USD idi, yani orijinal değerinin
yaklaşık yarısı.
Bu olay, şirketin sistemlerine doğrudan bir saldırıdan ziyade, büyük olasılıkla karanlık ağda
bulunan bir çalışanın sızdırılmış kişisel şifresinden kaynaklanan ilk yüksek profilli kurumsal
siber saldırılardan biri oldu.

  • Ransomware Türleri:
  • Leakware (Doxware): Kurbanın verilerine erişimi engellemek yerine, verileri ele
    geçirip yayınlamakla tehdit eder.
  • Mobil Fidye Virüsü: Özellikle Android cihazları hedefler. Verileri şifrelemek yerine
    ekranı kilitleyerek cihaz kullanımını engeller.
  • Reveton: “Polis Truva Atı” olarak bilinir. Sahte kolluk kuvveti uyarısı ile fidye talep
    eder.
  • CryptoLocker: 2048-bit RSA şifreleme kullanarak dosyaları kilitler, Bitcoin ile ödeme
    ister.
  • CryptoLocker.F ve TorrentLocker: E-posta yoluyla yayılır, yeni sürümleri güvenlik
    açıklarını kapatmıştır.
  • CryptoWall: Windows sistemlerini hedef alır, dosya adlarını da şifreler.
  • Fusob: Mobil cihazlarda sahte otorite mesajı ile iTunes hediye kartı talep eder.
  • Korunma Yöntemleri:
  • Fidye yazılımları özellikle yeni sürümlerinde güvenlik yazılımları tarafından hemen
    fark edilmeyebilir.
  • Erken tespit, kalan verilerin korunmasını sağlar ancak şifrelenmiş dosyalar geri
    getirilemeyebilir.
  • Aldatma teknolojisi kullanılarak fidye yazılımları sahte dosyalarla kandırılabilir.
  • Önemli verilerin çevrimdışı yedekleri alınmalı ve ağdan izole şekilde saklanmalıdır.
  • Güncel antivirüs ve güvenlik politikaları riskleri azaltır ancak tam koruma sağlamaz.
  • Bazı durumlarda şifre çözme araçları ile veriler geri kurtarılabilir, ancak her zaman
    başarılı olmayabilir.