Güncelleme Tarihi:
Dünya son yıllarda gittikçe etkisini artıran bir tehditle karşı karşıya: Fidye yazılımı saldırıları. İngilizce adıyla "ransomware" olarak da bilinen ve küresel ölçekte en büyük sanal suçlardan biri olarak görülen bu yazılımlar sayesinde korsanlar birkaç saat içinde yüz binlerce hatta milyonlarca dolarlık vurgunlar yapabiliyor. İşin daha da kötüsü saldırıların boyutu da istenen fidyelerin miktarı da günden güne artıyor.
Fidye yazılımları, kişilerin ya da kurumların veri tabanlarına ya da bilgisayar ağlarına bulaşarak dosyaların üzerine sadece özel anahtarlarla çözülebilen bir şifre koyuyor. Ardından tüm sistem kilitleniyor ve korsanların istediği fidye ödenmeden de açılmıyor. Uzmanlar ise fidye ödenmesine karşı çıkarak, saldırı halinde sistemi zararlı yazılım bulaşmadan önceki bir ana geri yüklemeyi tavsiye ediyor.
Ancak tüm uyarılara karşın bilgisayar korsanlarının bu saldırılar aracılığıyla elde ettiği fidye miktarlarında önemli bir artış yaşanıyor. Insider'ın aktardığına göre, 2020 yılında düzenlenen saldırılar karşısında ödenen fidyelerin ortalaması 312 bin 493 dolar oldu. Bu meblağ, 2019 yılı ortalamasının üç katı. Daha da kötüsü, ödenen fidyeler arttıkça, korsanlar elde ettikleri paraları daha büyük ve etkili saldırılar düzenlemek için bir yatırım olarak kullanıyor ve ortaya bir kısır döngü çıkıyor.
SİBER GÜVENLİK ŞİRKETİ BİLE SALDIRIYA UĞRADI
Siber güvenlik endüstrisi uzmanlarına göre ise sorunun çözümü maalesef oldukça zor. Müşterilerine veri hırsızlığı, ihlaller ve sosyal mühendislik saldırılarının yanı sıra fidye yazılımı saldırılarına dair de danışmanlık hizmeti sunan siber güvenlik şirketi Coalition'ın CEO'su Josh Motta, "Tünelin sonunda ışık görmüyorum" diyor. Analyst1'ın kıdemli siber güvenlik araştırmacısı Jon DiMaggio ise "Bu konuda pek iyi bir iş çıkarmadık" derken sektörün bu sorunla baş etmekte zorlandığını saldırganların ise gittikçe kuvvetlendiğini belirtiyor.
Insider'ın New York merkezli Deep Instinct şirketinden aldığı bilgiye göre fidye yazılımı saldırılarında yüzde 435'lik bir artış yaşandı. Saldırganlar 560 sağlık kuruluşu, 1681 okul ve üniversite ve 1300'den fazla şirketin ağlarını kontrol altına aldı. Bu şirketler arasında fidye yazılımı saldırısına uğrayanların verilerini geri almasına yardım eden Yeni Zelandalı siber güvenlik şirketi Emsisoft da var. Yani hiç kimse bu saldırılardan kaçamıyor.
KURBANLARIN YÜZDE 56'SI ÖDEME YAPIYOR
Fidye yazılımı saldırılarının 2021 yılında şirketlere maliyetinin 20 milyar dolara çıkabileceği öngörülüyor. Ancak bu saldırıların gerçekte neye mal olduğunu tam anlamıyla bilmek imkansız çünkü birçok kurban saldırıya uğradığı anda bunu yetkililere bildirmek yerine fidyeyi ödeyip kendini en kısa sürede kurtarmayı seçiyor. Kaspersky'nin yakın zamanda gerçekleştirdiği bir araştırmaya göre, kurbanların yüzde 56'sı fidyecilere ödeme yapıyor.
Özellikle son iki yılda saldırganlar kurbanlar üzerindeki baskıyı daha da artırdı. Birçok olayda fidyeler ödenmediğinde çalınan veriler internette çeşitli şekillerde paylaşıldı. Gizli bilgilerin hatta orduların silah geliştirme planlarının açığa çıkmasına yol açan bu taktik nedeniyle, şirketler ödeme yapmaya daha gönüllü hale geldi.
ŞİRKETLER SİGORTALANIYOR AMA…
Birçok şirket karşı karşıya olduğu riski azaltmak için siber güvenlik sigortalarına başvurmaya başladı. O kadar ki 2020'de 7,8 milyar dolar büyüklüğünde olduğu açıklanan bu piyasanın, 2025'te 20,4 milyar dolara ulaşması bekleniyor. Söz konusu sigortalar saldırı kurbanı olan şirketlerin, verilerini kısa süre içinde kurtarıp faaliyetlerine devam etmesine yardımcı oluyor. Ancak sigorta şirketleri de eleştirilerin hedefinde. Zira birçok kurtarma hizmeti, sigortayı yaptıran adına korsanlara ödeme yapılmasını öngörüyor. Bu da saldırganların hızla zenginleşmesine katkıda bulunan bir faktör haline geliyor.
Nitekim ABD'de bu tür suçlarla mücadelede mercii olan FBI, şirketlere ödeme yapmamaları için çağrılarda bulunurken, İngiltere'nin siber güvenlik alanındaki en yetkili kurumu olan Ulusal Siber Güvenlik Merkezi'nin eski CEO'su Ciaran Martin de saldırganlara fidye ödemeye yardımcı olan şirketleri "organize suçlara fon sağlamakla" suçladı. Ancak devletler de bu sorunla ilgili olarak henüz pek başarılı adımlar atabilmiş değil. Zira birçok suç çetesi Rusya'da bulunuyor ve bu kişilerin bulundukları yerde yakalanıp yargılanmak üzere diğer ülkelere iade edilmelerine Rus yetkililer hiç sıcak bakmıyor.
SİGORTALAMALI MI, SİGORTALAMAMALI MI?
Öte yandan günümüzde, siber güvenlik sigortası ödemelerinde en büyük pay bu saldırılara ait. Coalition'a göre Kuzey Amerika'da 2020'nin ilk yarısında yapılan siber güvenlik sigortası ödemelerinin yüzde 41'i fidye yazılımı saldırılarından kaynaklanıyordu.
Coalition CEO'su Motta, danışmanlık verdikleri şirketlere güvenliği artırma, saldırılara yanıt verme ve son çare olarak ödeme yapma hizmeti sağladıklarını belirterek, sürekli fidye ödemenin çok başarısız bir iş modeli olduğunu söyledi. 2020'de yaşanan bir saldırıda fidye miktarının 30 milyon dolara kadar çıktığını ifade eden Motta, "Size kesin bir biçimde sigorta şirketlerinin fidye yazılımı saldırıları nedeniyle para kaybettiğini söyleyebilirim. Mümkün olan her şekilde bununla savaşmaya çok kararlıyız" diye konuştu. Konunun etik boyutuna da değinen Motta, ödeme yapıp yapmamanın şirket için bir varoluşsal karar olduğunu belirterek, "İster kişi ister devlet kurumu olsun, birinin 'Asla ödeme yapmamalısınız' demesini hiç gerçekçi bulmuyorum" dedi.
Bununla birlikte sigortalı olmak şirketin saldırganların hedefi haline gelmesine yol açıyor da olabilir. Geçtiğimiz günlerde bir saldırganla yapılan bir röportaj da buna işaret ediyor. 30'lu yaşlarında bir Rus olan Aleks isimli bu kişi, Cisco araştırmacılarına, "Eğer kurbanın bir siber güvenlik planı varsa fidye ödemesi neredeyse garantidir" diye konuşmuştu.
ÖNCEDEN HAFTALAR SÜRÜYORDU, ŞİMDİ BİRKAÇ SAAT YETERLİ
Ödemeler nereden gelirse gelsin, çetelerin kendilerini geliştirmeleri için bir kaynak yaratmalarına yarıyor. DiMaggio, "Otomasyon araçları geliştirmek için yatırım yapıyorlar" derken bu yolla saldırganların 'makine öğrenmesini' kullandıklarını ve kurumların savunma kalkanlarında delikler açtıklarını belirtti. Bu sayede geçmişte saldırılar günler hatta haftalar alırken şimdi birkaç saat içinde sistem kolayca ele geçirilebiliyor.
DiMaggio ayrıca çetelerin DDOS denen, kurbanların sistemlerinin çok büyük veri akışıyla çökertilmesini sağlayan saldırılara da başvurmaya başladıklarını belirtti. İnternet trafiği izleme şirketlerinden Akamai'nin verilerine göre son aylarda tarihte görülen en büyük DDOS saldırıları yaşandı. Akamai Küresel Güvenlik Operasyonlarından Sorumlu Başkan Yardımcısı Roger Barranco'nun söylediğine göre, saldırılardan birinde kurbanların sitesine, her saniye 56 bin 250 cilt 'Savaş ve Barış'a denk büyüklükte veri yağdırıldı.
Saldırganlar ayrıca sitelerine basın sayfası ekleyerek, gazetecilere röportajlar verip saldırılarının reklamını yaparak da görünürlüklerini artırdı.
Bu esnada siber güvenlik şirketleri de yeni arayışlar içinde. Örneğin Deep Instict, müşterilerine bir "fidye yazılımı garantisi" sunuyor. Bu garanti tek bir ihlal için şirket başına 3 milyon dolara kadar ödeme yapılmasını sağlıyor. Şirket CEO'su Guy Caspi, "Suçluların teknikleri gelişti. Bizim yanıtlarımız da gelişmeli" derken, DiMaggio, yapay zeka sayesinde çözümler geliştirilebileceğini belirtti. Motta ise bunun sadece bir siber güvenlik sorunu olmadığını söyledi. Rusya'nın süreçteki payı nedeniyle konunun uluslarötesi bir boyutu olduğunu ifade eden Motta, diplomasinin devreye girmesinin önemine dikkat çekti.
TÜRKİYE’DE DURUM NE?
Bu uluslarötesi sorunun Türkiye boyutu da maalesef oldukça büyük. Hatta geçtiğimiz eylül ayında siber güvenlik kurumu Trend Micro'nun yayınladığı bir rapora göre, Türkiye Haziran 2020’de fidye yazılımı saldırılarında dünyada ilk sırada yer aldı. O dönemde her dört saldırıdan bir tanesi Türkiye'de gerçekleşti.
Peki bunun sebebi ne? Saldırıların hedefi kimler? Kişiler ve kurumlar fidye yazılımı saldırılarına uğradığında ne yapmalı? Saldırılardan korunmak için alabileceğimiz önlemler neler? Bütün bu soruları siber güvenlik uzmanı Yusuf Evmez’e sorduk. Evmez, Türkiye’nin de dönemsel olarak saldırganların hedefindeki ülkeler arasına girdiğini belirterek, hurriyet.com.tr okurlarına özel önemli uyarılarda bulundu.
Evmez, Türkiye’deki saldırıya uğrayan kurumların sayısının ya da saldırıların şirketlere verdiği zararın boyutunun itibar kaybına uğrama endişesiyle net bir şekilde açıklanmadığını belirterek saldırıların artmasında etkili olan faktörleri, yaygınlaşan internet kullanımı, IoT (internet of things – nesnelerin interneti) cihazların hayatımızın büyük çoğunluğunda yer alması ve Covid-19 ile birlikte gelen uzaktan çalışma zorunluluğu olarak sıraladı.
Fidye yazılımı saldırılarının 6-7 yıllık bir olay olduğunu ifade eden Evmez, “Şu an fidye yazılımı saldırıları kötü amaçlı yazılım olaylarının yüzde 27’sini oluştururken, şirketlerin yüzde 18’i de bir fidye yazılımı saldırısına maruz kaldığını geçen yıl içerisinde bildirdi. Eski dönemlerde olsa kolaylıkla şu sektörler saldırı altında diyebilirdik fakat artık internete erişimi olan herkes tehdit altında” diye konuştu.
Saldırganların, özellikle pandemi döneminde, dijitalleşen sağlık kuruluşlarını da hedef almaya başladığını söyleyen Evmez, bunun dışında uzaktan çalışmaya geçen ama gerekli ya da yeterli siber güvenlik önlemlerini almayan şirketlerin de saldırganların radarında olduğunu sözlerine ekledi.
HANGİ ÖNLEMLER ALINMALI?
“Kurumlar, siber güvenlik bilinci en zayıf olan çalışanı kadar güçlüdür” diyen Evmez, saldırganların hedeflerine ulaşmak için en sık kullandıkları yolun e-posta olduğuna dikkat çekti ve şöyle devam etti: “Göndericiden emin olmadığımız, e-posta adresini teyit edemediğimiz ve içeriğinde farklı web adresi yer alan bir posta gördüğümüzde, linke tıklamadan önce bir kez düşünmemiz gerekiyor. Doğruluğunu teyit edemediğimiz hiçbir bağlantıya tıklamamalıyız. Kurumsal olarak ise bu tarz e-postaların iletilmesini engelleyen güvenlik önlemleri, e-postalar iletilse ve kullanıcı bu linklere tıklasa dahi kullanıcının bu dosyayı indirmesini engelleyecek güvenlik çözümlerini konumlandırması gerekir.”
“Oltalama” olarak da bilinen e-posta saldırılarının iki yöntemi olduğunu ifade eden Evmez, “Birincisi genele yayılan ve direkt sizi hedef almayan içerikler ile sizin dikkatinizi çekebilmektir. Diğer yöntem ise hedefli saldırılardır ve bir kurumu hedef aldığı için orayla ilgili özel hazırlanmış içerikler yer almaktadır” dedi.
Beklenmedik bir e-posta adresinden gelen genel içerikli bir e-posta söz konusuysa o postayı silmenin en doğrusu olduğunu ifade eden Evmez, hedefli saldırıların gerçek olmadığını anlamanın daha zor olduğunu vurguladı. Göndericinin e-posta adresinin mutlaka kontrol edilmesi gerektiğini söyleyen Evmez, “Normal şartlarda kurumlar arasındaki yazışmalarda çok fazla link verilerek bir şeye ulaşmanız talep edilmez. Eğer ki böyle bir talep var ise gidilecek linkin daha önce ziyaret ettiğiniz bir link uzantısı olup olmadığını kontrol etmenizde fayda vardır. Tamamen emin olmadığınız durumlarda size e-posta gönderen kişiyi arayarak teyit edebilirsiniz” diye konuştu.
ÇALINAN ŞİFRE VE KULLANICI BİLGİLERİNE DİKKAT!
İnternete bağlanılan cihazlarda da yapay zeka ve davranışsal analiz yapabilen güvenlik uygulamaları kullanılması gerektiğini ifade eden Evmez, bireysel olarak alınabilecek önlemleri “Son dönemlerde büyük sosyal medya platformlarının, alışveriş sitelerinin ve diğer büyük kurumların veri hırsızlığına uğraması, birçok kullanıcının kişisel bilgilerinin ifşa olmasına neden oldu. Bu web sitelerde kullanılan e-posta adresleri ve şifreler kullanılarak da birçok saldırı düzenleniyor. Bu saldırılardan korunmak için mümkün olan hemen hemen her platformda çok faktörlü kimlik doğrulaması kullanılmalı” şeklinde sıraladı.
Evmez, kurumsal düzeyde de gerekli güvenlik duvarı sıkılaştırmalarının yapılması, Sandbox sistemleri kullanılarak fidye yazılımlarının sisteme girişinden önce kontrol edilmesi, özellikle şifreli trafiğin güvenlik duvarları üzerinden takip edilerek olası tehlikeli bir durumda bu bağlantıların engellenmesi, kurumsal düzeyde yedekleme çözümleri ile hem kurum lokasyonunda hem de farklı bir lokasyonda yedeklerin saklanması ve bu yedeklere sınırlı erişim hakkı verilmesi gibi ek önlemlerin ihmal edilmemesi gerektiğini vurguladı.
SALDIRIYA UĞRAYANLAR NE YAPMALI?
Her türlü önleme rağmen yine de saldırganların tuzağına düşen kurumlar için de tavsiyelerde bulunan Evmez, “Kurumsal olarak yapılacak ilk iş her zaman kolluk kuvvetleri ile bu bilginin paylaşılmasıdır. Kolluk kuvvetlerinin sizin sisteminizden saldırganlarla ilgili bilgi toplaması ve bu bilgiler ile aksiyon alabilmesi muhtemeldir. Bundan dolayı da herhangi bir işleme başlamadan önce ilk olarak kolluk kuvvetleri ile bilgi paylaşmak gerekir” dedi.
Sistemleri yedeklemenin de bu noktada çok önemli olduğunun altını çizen Evmez, fidye yazılımı saldırısı sırasında yedekleme dosyaları zarar görmediyse, kurumların kontrollü bir şekilde eski hayatlarına dönmeye başlayabileceklerini söyledi. Bu süreçte hasar tespiti için siber güvenlik uzmanlarına başvurulması gerektiğini de vurgulayan Evmez, “Yapılmaması gerekenler arasında ise fidyenin kesinlikle ödenmemesi ilk sırada yer alıyor. Çünkü fidyeyi ödemek siber saldırganların ana motivasyon kaynağı. Fidyenin büyüklüğüne göre saldırgan ile pazarlık yapılma aşaması konusunda profesyoneller ile çalışılması ise oldukça kritik” diye konuştu.
Siber güvenlik sigortalarıyla ilgili tartışmaya da değinen Evmez, son yıllarda yaşanan bazı örnekler sayesinde, bu uygulamaların beklendiği kadar faydalı olmadığının anlaşıldığını belirtti.
Siber güvenlik sigortalarının birçoğunun kullanıcıdan kaynaklanmayan durumlarda ödeme yaptığını hatırlatan Evmez, “Siber saldırıların birçoğu kullanıcı hatası olduğundan aslında siber güvenlik sigortasının şu aşamada kurumlar için kritik seviyede olmadığını düşünüyorum. Siber saldırganları da motive ettiği yadsınamaz bir gerçektir. Kurumların, sigortadan para alabileceğini bilmeleri ve bu noktada ortaya koyulan işin karşılığının daha hızlı bir şekilde saldırganlara geri dönme olasılığı her zaman bu tür aktiviteleri motive edeceğinden dolayı şu aşamada pek tavsiye etmiyorum” diye konuştu.