Dünya son yıllarda gitgide tesirini artıran bir tehditle karşı karşıya: Fidye yazılımı hücumları. İngilizce ismiyle “ransomware” olarak da bilinen ve global ölçekte en büyük sanal kabahatlerden biri olarak görülen bu yazılımlar sayesinde korsanlar birkaç saat içinde yüz binlerce hatta milyonlarca dolarlık vurgunlar yapabiliyor. İşin daha da berbatı akınların boyutu da istenen fidyelerin ölçüsü da günden güne artıyor.
Fidye yazılımları, bireylerin ya da kurumların data tabanlarına ya da bilgisayar ağlarına bulaşarak belgelerin üzerine yalnızca özel anahtarlarla çözülebilen bir şifre koyuyor. Akabinde tüm sistem kilitleniyor ve korsanların istediği fidye ödenmeden de açılmıyor. Uzmanlar ise fidye ödenmesine karşı çıkarak, akın halinde sistemi ziyanlı yazılım bulaşmadan evvelki bir ana geri yüklemeyi tavsiye ediyor.
Lakin tüm ikazlara rağmen bilgisayar korsanlarının bu akınlar aracılığıyla elde ettiği fidye ölçülerinde değerli bir artış yaşanıyor. Insider’ın aktardığına nazaran, 2020 yılında düzenlenen akınlar karşısında ödenen fidyelerin ortalaması 312 bin 493 dolar oldu. Bu meblağ, 2019 yılı ortalamasının üç katı. Daha da berbatı, ödenen fidyeler arttıkça, korsanlar elde ettikleri paraları daha büyük ve tesirli akınlar düzenlemek için bir yatırım olarak kullanıyor ve ortaya bir kısır döngü çıkıyor.
SİBER GÜVENLİK ŞİRKETİ BİLE HÜCUMA UĞRADI
Siber güvenlik sanayisi uzmanlarına nazaran ise sorunun tahlili maalesef epeyce sıkıntı. Müşterilerine bilgi hırsızlığı, ihlaller ve toplumsal mühendislik hücumlarının yanı sıra fidye yazılımı hücumlarına dair de danışmanlık hizmeti sunan siber güvenlik şirketi Coalition’ın CEO’su Josh Motta, “Tünelin sonunda ışık görmüyorum” diyor. Analyst1’ın kıdemli siber güvenlik araştırmacısı Jon DiMaggio ise “Bu bahiste pek iyi bir iş çıkarmadık” derken kesimin bu meseleyle baş etmekte zorlandığını saldırganların ise gitgide kuvvetlendiğini belirtiyor.
Insider’ın New York merkezli Deep Instinct şirketinden aldığı bilgiye nazaran fidye yazılımı hücumlarında yüzde 435’lik bir artış yaşandı. Saldırganlar 560 sıhhat kuruluşu, 1681 okul ve üniversite ve 1300’den fazla şirketin ağlarını denetim altına aldı. Bu şirketler ortasında fidye yazılımı saldırısına uğrayanların bilgilerini geri almasına yardım eden Yeni Zelandalı siber güvenlik şirketi Emsisoft da var. Yani hiç kimse bu ataklardan kaçamıyor.
KURBANLARIN YÜZDE 56’SI ÖDEME YAPIYOR
Fidye yazılımı taarruzlarının 2021 yılında şirketlere maliyetinin 20 milyar dolara çıkabileceği öngörülüyor. Fakat bu hücumların gerçekte neye mal olduğunu tam manasıyla bilmek imkansız zira birçok kurban taarruza uğradığı anda bunu yetkililere bildirmek yerine fidyeyi ödeyip kendini en kısa müddette kurtarmayı seçiyor. Kaspersky’nin yakın vakitte gerçekleştirdiği bir araştırmaya nazaran, kurbanların yüzde 56’sı fidyecilere ödeme yapıyor.
Bilhassa son iki yılda saldırganlar kurbanlar üzerindeki baskıyı daha da artırdı. Birçok olayda fidyeler ödenmediğinde çalınan bilgiler internette çeşitli hallerde paylaşıldı. Saklı bilgilerin hatta orduların silah geliştirme planlarının açığa çıkmasına yol açan bu taktik nedeniyle, şirketler ödeme yapmaya daha istekli hale geldi.
ŞİRKETLER SİGORTALANIYOR AMA…
Birçok şirket karşı karşıya olduğu riski azaltmak için siber güvenlik sigortalarına başvurmaya başladı. O kadar ki 2020’de 7,8 milyar dolar büyüklüğünde olduğu açıklanan bu piyasanın, 2025’te 20,4 milyar dolara ulaşması bekleniyor. Kelam konusu sigortalar atak kurbanı olan şirketlerin, bilgilerini kısa mühlet içinde kurtarıp faaliyetlerine devam etmesine yardımcı oluyor. Lakin sigorta şirketleri de tenkitlerin maksadında. Çünkü birçok kurtarma hizmeti, sigortayı yaptıran ismine korsanlara ödeme yapılmasını öngörüyor. Bu da saldırganların süratle zenginleşmesine katkıda bulunan bir faktör haline geliyor.
Gerçekten ABD’de bu cins cürümlerle gayrette mercii olan FBI, şirketlere ödeme yapmamaları için davetlerde bulunurken, İngiltere’nin siber güvenlik alanındaki en yetkili kurumu olan Ulusal Siber Güvenlik Merkezi’nin eski CEO’su Ciaran Martin de saldırganlara fidye ödemeye yardımcı olan şirketleri “organize kabahatlere fon sağlamakla” suçladı. Lakin devletler de bu meseleyle ilgili olarak şimdi pek başarılı adımlar atabilmiş değil. Çünkü birçok cürüm çetesi Rusya’da bulunuyor ve bu bireylerin bulundukları yerde yakalanıp yargılanmak üzere öteki ülkelere iade edilmelerine Rus yetkililer hiç sıcak bakmıyor.
SİGORTALAMALI MI, SİGORTALAMAMALI MI?
Öte yandan günümüzde, siber güvenlik sigortası ödemelerinde en büyük hisse bu ataklara ilişkin. Coalition’a nazaran Kuzey Amerika’da 2020’nin birinci yarısında yapılan siber güvenlik sigortası ödemelerinin yüzde 41’i fidye yazılımı akınlarından kaynaklanıyordu.
Coalition CEO’su Motta, danışmanlık verdikleri şirketlere güvenliği artırma, akınlara cevap verme ve son deva olarak ödeme yapma hizmeti sağladıklarını belirterek, daima fidye ödemenin çok başarısız bir iş modeli olduğunu söyledi. 2020’de yaşanan bir hücumda fidye ölçüsünün 30 milyon dolara kadar çıktığını söz eden Motta, “Size kesin bir biçimde sigorta şirketlerinin fidye yazılımı taarruzları nedeniyle para kaybettiğini söyleyebilirim. Mümkün olan her biçimde bununla savaşmaya çok kararlıyız” diye konuştu. Hususun etik boyutuna da değinen Motta, ödeme yapıp yapmamanın şirket için bir varoluşsal karar olduğunu belirterek, “İster kişi ister devlet kurumu olsun, birinin ‘Asla ödeme yapmamalısınız’ demesini hiç gerçekçi bulmuyorum” dedi.
Bununla birlikte sigortalı olmak şirketin saldırganların gayesi haline gelmesine yol açıyor da olabilir. Geçtiğimiz günlerde bir saldırganla yapılan bir röportaj da buna işaret ediyor. 30’lu yaşlarında bir Rus olan Aleks isimli bu kişi, Cisco araştırmacılarına, “Eğer kurbanın bir siber güvenlik planı varsa fidye ödemesi neredeyse garantidir” diye konuşmuştu.
EVVELCE HAFTALAR SÜRÜYORDU, ARTIK BİRKAÇ SAAT YETERLİ
Ödemeler nereden gelirse gelsin, çetelerin kendilerini geliştirmeleri için bir kaynak yaratmalarına yarıyor. DiMaggio, “Otomasyon araçları geliştirmek için yatırım yapıyorlar” derken bu yolla saldırganların ‘makine öğrenmesini’ kullandıklarını ve kurumların savunma kalkanlarında delikler açtıklarını belirtti. Bu sayede geçmişte taarruzlar günler hatta haftalar alırken artık birkaç saat içinde sistem basitçe ele geçirilebiliyor.
DiMaggio ayrıyeten çetelerin DDOS denen, kurbanların sistemlerinin çok büyük data akışıyla çökertilmesini sağlayan ataklara da başvurmaya başladıklarını belirtti. İnternet trafiği izleme şirketlerinden Akamai’nin datalarına nazaran son aylarda tarihte görülen en büyük DDOS hücumları yaşandı. Akamai Global Güvenlik Operasyonlarından Sorumlu Lider Yardımcısı Roger Barranco’nun söylediğine nazaran, akınlardan birinde kurbanların sitesine, her saniye 56 bin 250 cilt ‘Savaş ve Barış’a denk büyüklükte bilgi yağdırıldı.
Saldırganlar ayrıyeten sitelerine basın sayfası ekleyerek, gazetecilere röportajlar verip hücumlarının reklamını yaparak da görünürlüklerini artırdı.
Bu esnada siber güvenlik şirketleri de yeni arayışlar içinde. Örneğin Deep Instict, müşterilerine bir “fidye yazılımı garantisi” sunuyor. Bu garanti tek bir ihlal için şirket başına 3 milyon dolara kadar ödeme yapılmasını sağlıyor. Şirket CEO’su Guy Caspi, “Suçluların teknikleri gelişti. Bizim karşılıklarımız da gelişmeli” derken, DiMaggio, yapay zeka sayesinde tahliller geliştirilebileceğini belirtti. Motta ise bunun yalnızca bir siber güvenlik sorunu olmadığını söyledi. Rusya’nın süreçteki hissesi nedeniyle mevzunun uluslarötesi bir boyutu olduğunu tabir eden Motta, diplomasinin devreye girmesinin kıymetine dikkat çekti.
Yusuf Evmez
TÜRKİYE’DE DURUM NE?
Bu uluslarötesi sorunun Türkiye boyutu da maalesef hayli büyük. Hatta geçtiğimiz eylül ayında siber güvenlik kurumu Trend Micro’nun yayınladığı bir rapora nazaran, Türkiye Haziran 2020’de fidye yazılımı ataklarında dünyada birinci sırada yer aldı. O devirde her dört hücumdan bir tanesi Türkiye’de gerçekleşti.
Pekala bunun sebebi ne? Taarruzların amacı kimler? Şahıslar ve kurumlar fidye yazılımı hücumlarına uğradığında ne yapmalı? Taarruzlardan korunmak için alabileceğimiz tedbirler neler? Bütün bu soruları siber güvenlik uzmanı Yusuf Evmez’e sorduk. Evmez, Türkiye’nin de dönemsel olarak saldırganların gayesindeki ülkeler ortasına girdiğini belirterek, hurriyet.com.tr okurlarına özel kıymetli ihtarlarda bulundu.
Evmez, Türkiye’deki saldırıya uğrayan kurumların sayısının ya da akınların şirketlere verdiği zararın boyutunun prestij kaybına uğrama tasasıyla net bir biçimde açıklanmadığını belirterek akınların artmasında tesirli olan faktörleri, yaygınlaşan internet kullanımı, IoT (internet of things – objelerin interneti) aygıtların hayatımızın büyük çoğunluğunda yer alması ve Covid-19 ile birlikte gelen uzaktan çalışma zaruriliği olarak sıraladı.
Fidye yazılımı taarruzlarının 6-7 yıllık bir olay olduğunu tabir eden Evmez, “Şu an fidye yazılımı atakları makus gayeli yazılım olaylarının yüzde 27’sini oluştururken, şirketlerin yüzde 18’i de bir fidye yazılımı saldırısına maruz kaldığını geçen yıl içerisinde bildirdi. Eski devirlerde olsa çarçabuk şu bölümler akın altında diyebilirdik ama artık internete erişimi olan herkes tehdit altında” diye konuştu.
Saldırganların, bilhassa pandemi devrinde, dijitalleşen sıhhat kuruluşlarını da amaç almaya başladığını söyleyen Evmez, bunun dışında uzaktan çalışmaya geçen fakat gerekli ya da kâfi siber güvenlik tedbirlerini almayan şirketlerin de saldırganların radarında olduğunu kelamlarına ekledi.
HANGİ TEDBİRLER ALINMALI?
“Kurumlar, siber güvenlik şuuru en zayıf olan çalışanı kadar güçlüdür” diyen Evmez, saldırganların gayelerine ulaşmak için en sık kullandıkları yolun e-posta olduğuna dikkat çekti ve şöyle devam etti: “Göndericiden emin olmadığımız, e-posta adresini teyit edemediğimiz ve içeriğinde farklı web adresi yer alan bir posta gördüğümüzde, linke tıklamadan evvel bir kere düşünmemiz gerekiyor. Doğruluğunu teyit edemediğimiz hiçbir ilişkiye tıklamamalıyız. Kurumsal olarak ise bu biçim e-postaların iletilmesini engelleyen güvenlik tedbirleri, e-postalar iletilse ve kullanıcı bu linklere tıklasa dahi kullanıcının bu belgeyi indirmesini engelleyecek güvenlik tahlillerini konumlandırması gerekir.”
“Oltalama” olarak da bilinen e-posta akınlarının iki metodu olduğunu tabir eden Evmez, “Birincisi genele yayılan ve direkt sizi amaç almayan içerikler ile sizin dikkatinizi çekebilmektir. Başka formül ise maksatlı hücumlardır ve bir kurumu gaye aldığı için orayla ilgili özel hazırlanmış içerikler yer almaktadır” dedi.
Beklenmedik bir e-posta adresinden gelen genel içerikli bir e-posta kelam hususuysa o postayı silmenin en doğrusu olduğunu tabir eden Evmez, maksatlı atakların gerçek olmadığını anlamanın daha sıkıntı olduğunu vurguladı. Göndericinin e-posta adresinin kesinlikle denetim edilmesi gerektiğini söyleyen Evmez, “Normal koşullarda kurumlar ortasındaki yazışmalarda çok fazla link verilerek bir şeye ulaşmanız talep edilmez. Şayet ki bu türlü bir talep var ise gidilecek linkin daha evvel ziyaret ettiğiniz bir link uzantısı olup olmadığını denetim etmenizde yarar vardır. Büsbütün emin olmadığınız durumlarda size e-posta gönderen kişiyi arayarak teyit edebilirsiniz” diye konuştu.
ÇALINAN ŞİFRE VE KULLANICI BİLGİLERİNE DİKKAT!
İnternete bağlanılan aygıtlarda da yapay zeka ve davranışsal tahlil yapabilen güvenlik uygulamaları kullanılması gerektiğini tabir eden Evmez, kişisel olarak alınabilecek tedbirleri “Son devirlerde büyük toplumsal medya platformlarının, alışveriş sitelerinin ve öteki büyük kurumların data hırsızlığına uğraması, birçok kullanıcının şahsî bilgilerinin ifşa olmasına neden oldu. Bu web sitelerde kullanılan e-posta adresleri ve şifreler kullanılarak da birçok akın düzenleniyor. Bu akınlardan korunmak için mümkün olan çabucak hemen her platformda çok faktörlü kimlik doğrulaması kullanılmalı” biçiminde sıraladı.
Evmez, kurumsal seviyede de gerekli güvenlik duvarı sıkılaştırmalarının yapılması, Sandbox sistemleri kullanılarak fidye yazılımlarının sisteme girişinden evvel denetim edilmesi, bilhassa şifreli trafiğin güvenlik duvarları üzerinden takip edilerek olası tehlikeli bir durumda bu ilişkilerin engellenmesi, kurumsal seviyede yedekleme tahlilleri ile hem kurum lokasyonunda hem de farklı bir lokasyonda yedeklerin saklanması ve bu yedeklere sonlu erişim hakkı verilmesi üzere ek tedbirlerin ihmal edilmemesi gerektiğini vurguladı.
ATAĞA UĞRAYANLAR NE YAPMALI?
Her türlü tedbire karşın tekrar de saldırganların tuzağına düşen kurumlar için de tavsiyelerde bulunan Evmez, “Kurumsal olarak yapılacak birinci iş her vakit kolluk kuvvetleri ile bu bilginin paylaşılmasıdır. Kolluk kuvvetlerinin sizin sisteminizden saldırganlarla ilgili bilgi toplaması ve bu bilgiler ile aksiyon alabilmesi olasıdır. Bundan ötürü da rastgele bir sürece başlamadan evvel birinci olarak kolluk kuvvetleri ile bilgi paylaşmak gerekir” dedi.
Sistemleri yedeklemenin de bu noktada çok değerli olduğunun altını çizen Evmez, fidye yazılımı saldırısı sırasında yedekleme belgeleri ziyan görmediyse, kurumların denetimli bir formda eski hayatlarına dönmeye başlayabileceklerini söyledi. Bu süreçte hasar tespiti için siber güvenlik uzmanlarına başvurulması gerektiğini de vurgulayan Evmez, “Yapılmaması gerekenler ortasında ise fidyenin katiyen ödenmemesi birinci sırada yer alıyor. Zira fidyeyi ödemek siber saldırganların ana motivasyon kaynağı. Fidyenin büyüklüğüne nazaran saldırgan ile pazarlık yapılma etabı konusunda profesyoneller ile çalışılması ise epey kritik” diye konuştu.
Siber güvenlik sigortalarıyla ilgili tartışmaya da değinen Evmez, son yıllarda yaşanan birtakım örnekler sayesinde, bu uygulamaların beklendiği kadar yararlı olmadığının anlaşıldığını belirtti.
Siber güvenlik sigortalarının birçoğunun kullanıcıdan kaynaklanmayan durumlarda ödeme yaptığını hatırlatan Evmez, “Siber hücumların birçoğu kullanıcı kusuru olduğundan aslında siber güvenlik sigortasının şu etapta kurumlar için kritik düzeyde olmadığını düşünüyorum. Siber saldırganları da motive ettiği yadsınamaz bir gerçektir. Kurumların, sigortadan para alabileceğini bilmeleri ve bu noktada ortaya koyulan işin karşılığının daha süratli bir biçimde saldırganlara geri dönme mümkünlüğü her vakit bu tıp aktiviteleri motive edeceğinden ötürü şu basamakta pek tavsiye etmiyorum” diye konuştu.
Hürriyet
