Fidye Yazılım Saldırıları Zirveye mi Ulaştı?

ABD Başkanı Joe Biden ile Rus Devlet Başkanı Vladimir Putin arasında 16 Haziran tarihinde Cenevre’de gerçekleştirilen görüşmede, siber saldırganların bilgisayar ağındaki bilgileri şifreleyerek deşifre anahtarı için milyonlarca dolara çıkan fidyeler talep ettiği saldırılar ele alındı.

ABD merkezli şirketleri hedef alan ve iş operasyonlarından büyük gecikmelere neden olan saldırıların ardından ABD hükümeti bu hususu öncelikli gündemleri arasına aldı.

İlk olarak, siber suçlular Colonial Pipeline bilgisayar ağını DarkSide fidye yazılımı kullanarak şifreledi ve ABD’nin kuzeydoğusuna yapılan benzin iletiminin sekteye uğramasına neden oldu. Sonuç olarak şirket, yaklaşık 5 milyon dolar değerinde Bitcoin ödemek zorunda kaldı. Bu saldırının sadece birkaç hafta sonrasında, REvil fidye yazılımı kullanan siber saldırganlar gıda üreticisi JBS’in ağını ele geçirdi. Siber korsanlara 11 milyon dolar Bitcoin ödenmek zorunda kalındı.

DarkSide ve REvil dahil olmak üzere ABD’yi hedef alan birçok fidye yazılım saldırısının Rusya’dan kaynaklandığı düşünülüyor. Siber güvenlik uzmanlarını endişelendiren nokta, Kremlin’in bu saldırıları görmezden gelmesi. Bu sebeple Başkan Joe Biden konuyu doğrudan Rus mevkidaşı Vladimir Putin ile görüşme gereği duydu.

Biden, basına yaptığı açıklamada “Rusya’nın doğalgaz şebekesini etkileyen bir saldırı altında kalsaydınız ne hissedersiniz?” sorusunu yönelttiğini ve Putin’in “önemli bir sorun teşkil edeceğini kabul ettiğini” söyledi. ABD Başkanı, Putin’in durumun ciddiyetini anladığını ifade etti.

Biden’ın yaptığı uyarı, Kanada, Fransa, Almanya, İtalya, Japonya ve Birleşik Krallık’ın İngiltere’nin Cornwall kentinde bir araya geldiği G7 zirvesinde öne çıktı. G7 ülkeleri fidye yazılım saldırıları konusunda ortak anlaşmaya imza atarak sorunla mücadele için uluslararası çaba gerektiğini onayladı.

Saldırıların sıklığı artıyor…

Fidye yazılım yıllardır süregelen bir sorun olsa da, her geçen yıl saldırıların sıklığı ve yıkıcılığı da artıyor. Yıllar önce talep edilen fidye miktarı sadece birkaç yüz dolar iken, şimdi milyonlar, hatta on milyonlarca dolara yükselme potansiyeli söz konusu.

Siber suçlular, mağdur durumuna düşen hedeflerinden fidye ödemesi için Bitcoin ve diğer kripto paralar üzerinden ödeme yapılmasını şart koşuyor.

Güvenlik uzmanları yasa dışı olmakla birlikte modelin başarılı olduğunu ve yeni saldırılara da kapı araladığını belirtiyor. Siber suçlular için fidye yazılım müdahale edilen bir ağdan en kolay para koparma yöntemi olarak beliriyor.

Bir şirket ağına sızan saldırgan aylarca veri toplayabilir, yine de ele geçirdiği bilgileri paraya çevirmekte zorlanabilir. Öte yandan, fidye yazılım ile bilgisayar ağını kilitlemek kısa sürede milyonlarca dolar elde etmeye imkan tanıyabiliyor.

En iyi organize edilen fidye yazılım saldırılarının profiline bakıldığında, hedef alınan şirketlerin dikkatle seçildiği ve saldırılardan en yüksek karın elde edilmeye çalışıldığı görülüyor.

Güvenlik uzmanları, “eğer birisi sizden 40 milyon dolar koparmak istiyorsa, güvenliğiniz bu miktarı koruyabilecek kapasite de mi?” sorusunu öne çıkarıyor. Birçok şirket için bugün bu soruyu cevaplamak oldukça zor.

Siber saldırganlar ağları ele geçirme yeteneklerini sürekli artırırken, şirketlerin kendilerini fidye yazılımlara karşı koruma yeteneği oldukça belirsiz kalıyor. Bu sebeple siber korsanlar temel altyapı hizmeti sunan şirketleri, fabrikaları ve diğer temel hizmetleri hedef alarak zaman faktörüne dayalı saldırılar düzenliyor. Ofis merkezli bir şirket fidye yazılım saldırısına uğradığı zaman fidye ödemekten kaçabilse de, sistemlerini tekrar kurması uzun bir süre gerektiriyor.

Kolaylık unsuru…

Fidye yazılımlar sadece kazançlı olmalarının yanı sıra, siber suçlulara birçok zafiyetten yararlanarak bilgisayar ağlarına sızmak için fırsatlar sunuyor. Birçok saldırıda ileri seviyeli sıfır gün zafiyetleri gibi açıklar kullanılması gerekmiyor. İki adımlı koruma kullanılmayan VPN (sanal özel ağlar) veya Microsoft Exchange sunucularında güncellemesi yapılmayan bir yama saldırıya kapı aralayabiliyor. Pandemi sürecinde giderek artan, bağlantı noktalarına uzaktan erişim ile saldırı da son dönemin öne çıkan ‘kolay’ yöntemleri arasında.

Sürekli yapılan uyarılara rağmen birçok şirketin fidye yazılım risklerine karşı bilinçsiz olduğu ve uzaktan masaüstü protokolü (RDP) ve VPN zafiyetlerine karşı nasıl hareket edeceklerine dair bir kılavuzları olmadığı biliniyor. Pandemi sürecinde çalışanların büyük kısmının uzaktan çalışmaya başlaması da güvenlilk güncellemeleri ve şüpheli faaliyetlerin denetimini daha da zorlaştırdı.

Fidye yazılım saldırıları şirketler üzerinde yeterince yıkıcı bir etki yapıyor olsa da, siber saldırganlar cephaneliklerini geliştirmeyi de ihmal etmiyor: Çifte ifşa (double extortion) en son yöntem durumunda.

Çifte ifşa veya zorlama, siber saldırganların bilgisayar ağındaki bilgileri şifrelemekle yetinmeyip ele geçirdikleri bilgileri fidye almadıkları sürece internete sızdırma tehdidinde bulunmalarını kapsıyor. Boş bir tehdit olmadığı belirtilen çifte ifşa, aynı zamanda fidye ödense bile gerçekleşmeyecek bir durum değil.

Zorluklar…

Siber saldırganlar fidye yazılım saldırılarında kurbanlarından ödemeleri Bitcoin veya diğer kripto paralar ile yapmalarını istiyor. Bu sayede geleneksel banka işlemlerine kıyasla yasadışı para transferlerinin takip edilme riskini ortadan kaldırıyorlar.

Siber korsanlar kripto para üzerinden ödeme ile saldırıların paraya dönüştürülmesi aşamasındaki karmaşayı da aşıyor. Çünkü ele geçirilen milyonlarca kredi kartı bilgisini saldırılara dönüştürmenin (veya satmanın) zorluğu ortadan kalkıyor.

Kripto paralar, siber korsanların paraları mevcut sistemin etrafında döndürmesini ve saldırılarını çok daha kolay paraya çevirmelerine imkan veriyor. Fidyelerin bu şekilde ödenmesini destekleyen ise kripto paralar değil, fidyelerin çok yüksek fiyatları. Kripto paralar sadece paraya dönüştürme sürecini kolaylaştırıyor.

Ve Rusya…

Fidye yazılım saldırıları başarılı olduğunda sadece yenilerini teşvik etmeye devam ediyor ve genelde hükümetler bu soruna kulaklarını tıkıyor. Ortak görüş, birçok fidye yazılım saldırısının Rusya’dan kaynaklandığı ve saldırılar Batı ülkelerini hedef aldığı sürece Kremlin’in bu duruma ses çıkarmadığı yönünde.

Güvenlik uzmanları, Rus hükümeti ile ülkedeki siber suç dünyasının aynı şey olmadığını, ancak devlet seviyesinde gerçekleştiği sürece saldırılar konusunda aralarında bir anlayış olduğunu belirtiyor. Şartlar ise Rusya’yı ve ülkenin çıkarlarına dokunmamak, en iyi korsanlara ihtiyaç duyduğumuzda ise hizmet sunmalarını sağlamak. Bu model, bugüne kadar bir şekilde işlemiş görünüyor.

Siber korsanlar bu şartlara uyuyor ve kötü amaçlı yazılımlarını Rus dilindeki sistemlerde tespit edilmeleri halinde kendilerini imha edecek şekilde kodluyorlar. Dahası, Rus anayasası suçluların yurt dışına iadesine karşı çıkıyor. Sonuç olarak kimlikleri tespit edilse bile suçluların adalet karşısına çıkarılması düşük bir olasılık olarak kalıyor.

Yukarıdaki tablo Batı dünyasında geçerli değil. Eğer Londra veya Kuzey İrlanda’yı hedef alan bir saldırı düzenlerseniz, Ulusal Suç Ajansı sadece bir hafta sonra kapınızı çalacaktır. Ancak Rusya’dan saldırı düzenleyebilirsiniz; uzmanlara göre bunun sebebi, saldırılara izin veriliyor olması.