Çağımızın Gizli Tehdidi: Ransomware

Ransomware Nedir?

Yaptıkları işlevler açısından bulaştığı sistemlerde önemli dosyaları, kişisel bilgileri, yazılımları kısaca ağdaki tüm dosyaları ve verileri şifreleyebilen kötü amaçlı yazılımlara Ransomware (fidye yazılımı) denmektedir.  

Ransomware Nasıl Çalışır?

Bir zararlı yazılım oluşturulurken saldırganlar, bir genel anahtar oluşturur ve bunu fidye yazılımına çevirir. Ransomware bir cihaza erişim sağladığında, rastgele oluşturulmuş bir anahtar ile kurbanın dosyalarını şifreler.

Sistemdeki dosyaları gizli bir şekilde şifrelemeye başlayan Ransomware arka planda fark edilmeden sızmaya çalışır. Sürekli kullanılan tekniklerden biri rastgele taramalar yapılarak uzak masaüstü bağlantısı (rdp) ve kaba kuvvet (brute force) gibi saldırı yaparak sisteme sızar. Sisteme girmesinde rol oynayan en önemli unsur zayıf parolalardır.

Fidye yazılımları, erişim elde etmek için yazılım istismarlarını ve kusurlarını, kırılmış parolaları ve diğer güvenlik açıklarını kullanırlar.

Sisteme girdikten sonra, tüm verileri şifreler verilere erişilemez veya onları kullanılmaz hale getirir. 

Saldırganlar her şeyi şifrelemeden önce, mümkün olduğunca kontrol altına alana kadar ağda gizlice avlanırlar.

Fidye yazılımını yapan kişi, kurbana verileri ele geçirdiğine dair bir mesaj gönderir ve fidye talep eder. Ödemenin nereye gönderilmesi gerektiğine dair talimatlar verir. Fidyeyi ödeyene kadar verilere erişilemez.

Ransomware Nasıl Bulaşır?

Ransomware; e-posta eklerinden, güvenliği ihlal edilmiş veya kötü amaçlı web sitelerden, reklamlardan ya da güvenli olmayan Wi-Fi gibi ağlardan indirilebilir.

Masum görünen bir e-posta ekine tıklayan kullanıcının indirdiği kötü amaçlı yazılım ağı şifreleyebilir.

Kötü amaçlı yazılım, güvenli olmayan web sitelerden de gelebilir. Hatta virüslü USB sürücüler gibi donanımlar yoluyla da yayılabilir.

Ransomware Saldırı Türleri

→E-posta saldırıları; fatura gibi gözüken fakat arka planda zararlı bağlantı bulunduran saldırı türleridir.

→Botnet Saldırısı; daha fazla kurbana erişmek için güvenlik önlemi alınmamış ve internet erişimi olan cihazları dosya indirmek için bağlantıya yönlendirme, indirme ve çalışmaları otomatik hale getirilmiş bir saldırı türüdür.

→Uzak Masaüstü Bağlantısı; gerekli güvenlik tedbirleri alınmadan Remote Desktop Protokol (RDP) bağlantılarını kullanarak hedef sisteme erişim sağlayarak yapılan saldırıdır.

Ransomware Nasıl Önlenir?

→Ransomware saldırısından korunmak için sistemi en son güvenlik yamalarıyla güncel tutulması gerekir.

→Veriler her zaman yedeklenmelidir. Yedeklemek için bulut depolama kullanılabilir ya da sabit sürücüde fiziksel bir yedekleme yapılabilir.

→Bulut hizmetini kullanmak hasarın azaltılmasına yardımcı olabilir ve işletmenin dosyalarını şifrelenmemiş şekilde geri alınmasına izin verebilir.

→İnternette, her zaman ek güvenlik için HTTPS protokolünün varlığını gösteren adres çubuğundaki kilit simgesi kontrol edilmelidir.

→Güvenilmeyen veya tanıdık olmayan gönderilerden gelen e-postaları açmaktan kaçınılmalıdır.

→Sistemde güvenilmeyen programları çalıştırmayın. Crackle, seri numaraları gibi kötü amaçlı yazılımların en yaygın kaynaklarıdır. Güvenilmeyen sitelerin içerikleri tarayıcıda çalışmasına izin vermeyin.

Ransomware Türleri 

 1.Scareware

→İnternet üzerindeki yönlendirme reklamları veya ücretsiz olarak sunulan yazılımlarla karşımıza çıkar. Scareware formatları kötü amaçlı yazılım, reklam yazılımı, casus yazılım, Truva atları ve virüsleri içerir.

→Ayrıca screware Smitfraud, crimeware, sahte anti-virüs, haydut anti-virüs ve ragueware olarak da bilinir.

2.Doxware 

→Doxware, kullanıcı fidye ödemiyorsa, kişisel verileri kamuya açıklamakla tehdit eden bir fidye yazılımı türüdür. Bu terim, bilgisayar korsanı doxing veya gizli bilgileri internet üzerinden yayınlamaktan gelir.

3.WannaCry

→İlk olarak 2017'de ortaya çıktı ve 150'den fazla ülkede binlerce bilgisayara bulaştı.

→WannaCry, siber suçlular tarafından para çalmak için kullanılan, bir tür kötü amaçlı yazılım türüdür.

→WannaCry, işletim sistemi Microsoft Windows olan bilgisayarı hedef alır. Kullanıcının verileri rehin tutar ve bunun iadesi için Bitcoin cinsinden fidye talep eder.

4.Lockers (Kilitleyici)

→Bilgisayarı kilitlemek için işletim sistemine bulaşır ve herhangi bir uygulama veya dosyaya erişime izin vermez.

5.Crypto (Şifreleyici)

→Crypto bulaştığı sistemdeki tüm dosyaların gerçek kopyasını silerek ya da yedekleyerek 2. kopyaparı şifreler ve kullanılmaz hale getirir. Şifre çözme işlemi için kurbandan fidye talep eder.

6.Libarent

→Verileri satmakla tehdit eden, veri hırsızlığı yapan bir fidye yazılımıdır.

7.Phobos

→Üretkenlik belgelerini kilitleyen fidye yazılımıdır.

8.Leakware (Doxware)

→Kurbanın sabit diskindeki hassas verileri yayınlamakla tehdit eder. Büyük veri ihlallerine veya kişisel olarak tanımlanabilir bilgilerin açığa çıkmasına neden olabilir. Oldukça tehlikeli bir fidye yazılım türüdür.

9.REvil (Sodinokibi)

→Tespit edilmesi zor olan bir fidye yazılımıdır.

10.Petya 

→Petya fidye yazılımı, ilk olarak 2016'da çıkan şifreleyici bir kötü amaçlı yazılımdır.

11.BadRabbit

→Petya fidye yazılımının geliştirilmiş bir çeşididir. Kurbanların bilgisayarını, verilerini ve diğer dosyalarını kilitler ve fidye ödenene kadar tekrar erişimi engeller.

12.Ceber

→Kimlik avı e-postaları yoluyla yayılan ve gelişmiş şifreleme yöntemleriyle kullanıcıların dosya ve verilerini şifreler.

 13.Locky

→Microsoft Corporation tarfından System Restore için geliştirilmiş olan Locky dosya uzantıları, Locky Ransomware Encryted File dosyalarını taşıyan en popüler dosya türleridir.

Bulaşıcı makrolar içeren kusurlu bir microsoft Word belgesi biçiminde bir fatura aracılığıyla ödeme talep eden e-postaları kullanarak gönderen bir tür fidye yazılımıdır. ☻

Buna benzer birçok bilinen veya bilinmeyen türler mevcuttur.