Son 5 yılın en büyük 5 fidye yazılım saldırısı

Veriyi rehin alarak karşılığında fidye isteyen yazılım örnekleri hiç de yeni değil. 1991’de bir biyolog tarafından üretilen ve AIDS araştırmacılarının adresine postayla gönderilen floppy disklerle yayılan PC Cyborg’un ilk fidye yazılım olduğu kabul ediliyor. Dosyaları rehin almak için şifreleme kullanan ilk fidye yazılım ise 2000’lerin ortasında çıkan Archiveus yazılımı oldu.

2010’ların başlarında ise “polis” fidye yazılımları ortaya çıktı. Bu saldırıların öyle çağrılmasının nedeni, polisten geliyormuş izlenimi vermeye çalışılmasıydı. Bu kötücül yazılım, kurbanlarını yasaları çiğnedikleri için ceza ücreti ödemek zorunda olduklarına ikna etmeye çalışıyordu. Suçlular ayrıca kendilerini ele vermemek amacıyla fidye için ilk defa anonim para ödeme hizmetlerini kullanıldılar.

Yıllar geçtikçe fidye yazılım saldırıları bir meraktan rahatsızlığa, sonrasında ise büyük bir krize doğru değişim göstererek son derece gizli istihbarat birimlerinin ve uluslararası entrikaların göbeğine oturdu. Son 5 yılın en çok yankı getiren fidye yazılım saldırılarına bakacak olursanız durumun ciddiyetini çok daha kolay göreceksiniz.

1- CryptoLocker

Fidye yazılımın ‘altın çağını’ başlatan ise, 2013’te gündeme bomba gibi düşen CryptoLocker oldu. Spam mesajlarında eklenti olarak yayılan CryptoLocker, kurbanların dosyalarını rehin almak için RSA açık anahtar şifrelemesini kullanıyordu ve deşifre anahtarları karşılığında para istiyordu. Avast’ten Jonathan Penn, 2013 sonları ve 2014 başları itibariyle CryptoLocker’dan etkilenen makinelerin sayısının yarım milyonu geçtiğini söylüyor.

Gene de CryptoLocker ilkel bir yazılımdı ve sonunda Operation Tovar isimli gönüllü bir beyaz şapkalı hacker grubu tarafından alaşağı edildi ve bu esnada da dosyaları şifrelemek için kullanılan özel anahtarları ele geçirildi. Fakat tüm bunlara rağmen CryptoLocker, diğer fidye yazılımları için barajın kapaklarını artık sonuna kadar açmıştı.

Bunların bazıları CryptoLocker’dan kodlar barındırıyordu ve bazıları da sıfırdan yazılıyordu. Bu varyantların topladığı fidye miktarının yaklaşık 3 milyon dolar olduğu düşünülüyor.

2- TeslaCrypt

Daha bir yıl geçmeden yeni bir tehdit doğdu. Başta kendini bir CryptoLocker varyantı olarak tanıtan bu fidye yazılımı fazla zaman geçmeden kendi ismini aldı. TeslaCrypt olarak çağrılmaya başlayan bu zararlı yazılımın görev amacı ise garip ama zekice: Pek çok oyun düşkününün gözü gibi baktığı oyun kayıtları, haritalar, indirilebilir içerik vb. gibi bilgisayar oyunlarıyla ilgili dosyalara el koymak.

TeslaCypt’in en çok bıktıran yönlerinden biri, yaratıcıları tarafından sürekli güncellenmesi ve güçlendirilmesiydi. 2016 başlarında bazı bilgisayarların tamir edilmesini sağlayan birkaç gedik de kapatıldıktan sonra, TeslaCypt’in yaratıcılarının yardımı olmadan artık rehin alınan dosyaları kurtarmak neredeyse imkansız bir hal aldı. Ama kısa bir süre sonra bu zararlı yazılımın geliştiricileri şaşırtıcı bir şekilde eylemlerinden vazgeçtiklerini duyurdular ve mastır anahtarı tüm dünya ile paylaştılar.

3- SimpleLocker

Değerli bilgilerin giderek mobil aygıtlara yayılması fidyecileri tekrar heyecanlandırdı. Hedefteki platform Android idi ve 2015 sonu ile 2016 başlarında fidye yazılımların bulaştığı aygıtların sayısı neredeyse dört kat arttı. Bu saldırıların çoğu “blocker” olarak tarif ediliyordu ve hedefteki dosyaları şifrelemek yerine kullanıcı ara yüzünü bozarak erişimi engelliyordu. Fakat 2015 sonunda SimpleLocker isimli son derece saldırgan bir fidye yazılımı hızla yayılmaya başladı.

SimpleLocker’ın en belirgin özelliği, dosyaları şifreleyerek rehin alan ilk Android saldırısı olmasıydı. SimpleLocker ayrıca, zararlı kodunu bir Truva indiricisi aracılığıyla yükleyen ilk fidye yazılımıydı. Bu yüzden de güvenlik tedbirlerinin ayak uydurması zordu. Her ne kadar SimpleLocker Doğu Avrupa’dan çıksa da, parayı kovalayan dolandırıcıların hedefi ABD’li kullanıcılar oldu; kurbanların dörtte üçü bu ülkede bulunuyordu.

Ama endişelenmeye gerek yok: SimpleLocker furyasında Android saldırıları büyük artış gösterse de rakamlar görece hala düşük. 2016 sonunda 150 bin olan saldırı sayısı, piyasadaki milyarlarca Android aygıtı düşünülünce devede kulak kalıyor. Ayrıca kurbanların çoğu, porno sitelerden indirilen ve Google’ın resmi Play mağazası dışından elde edilen diğer şaibeli içerikleri indirmişlerdi.

4- WannaCry

CryptoLocker, fidye yazılımların risk potansiyelini sergileyerek siber güvenlikte yeni bir dönemin başladığına işaret ediyordu. Fakat 2017 ortasında, birbiriyle bağlantılı iki büyük fidye yazılımı adeta saman alevi gibi dünya çapında yayılmaya başlayarak Ukrayna’daki hastaneleri ve Kaliforniya’daki radyo istasyonlarını devre dışı bıraktı. İşte on an fidye yazılım saldırıları artık varoluşsal bir tehdit halini geldi.

İlk iki büyük saldırı WannaCry olarak çağrılıyordu ve açık bir şekilde tarihteki en zararlı fidye yazılımı oldu. Fidye yazılım 12 Mayıs’ta Avrupa’da yoğunlaşmaya başladı. Sadece dört gün sonra 116 ülkede 250,000 saldırı tespiti yapıldı.

Fakat WannaCry’ın asıl önemi rakamlardan da öteye geçiyor. Bunun ana nedenlerinden biri, kısa bir süre önce internete sızan Amerikan ulusal istihbarat ajansına (NSA) ait siber saldırı araçlarından, özellikle de bu araçlarla beraber ortaya çıkan EternalBlue güvenlik zafiyetinden faydalanılmış olmasıydı. EternalBlue, Microsoft’un SMB protokolünü icra biçiminde bulunan bir defoyu istismar eden bir güvenlik zafiyetiydi.

Her ne kadar Microsoft bu zafiyet için kısa süre önce bir yama yayımlamış olduysa da çoğu kullanıcı güncelleme yapmamıştı. Fırsatçılıkla bu taze zafiyetten faydalanan WannaCry, yayılmak için kullanıcı etkileşimine ihtiyaç duymadığı için ağda bulunan diğer aygıtlara kolayca bulaşabildi. Ayrıca pek çok organizasyonun 445 SMB portunu internete karşı savunmasız bir şekilde açık bırakması da bu hızlı yayılmanın nedenlerinden biri olarak görülüyor.

5- NotPetya

WannaCry’ın yaşadığımız yeni gerçekliği bize bir soğuk duşla gösterdiğini söyleyebiliyorsak, o zaman Petya’nın bunu tasdik ettiğini rahatlıkla ekleyebiliriz. Petya, tarihi aslında 2016’ya kadar uzanan bir fidye yazılım paketiydi.

WannaCry salgınından sadece birkaç hafta sonra, bu paketin güncellenmiş ve WannaCry gibi EternalBlue araçlarını kullanan bir sürümü yayılmaya başladı. Bu güncelleme o kadar etkin ve gelişkindi ki araştırmacılar bu fidye yazılımın ismini “NotPetya” koymayı tercih ettiler. Hatta NotPetya’nın hiç de bir fidye yazılımı olmadığı ve Ukrayna’ya karşı gizli bir Rus siber saldırısı olduğu da iddia edildi.

Durum ne olursa olsun, bundan da alınacak dersler bulunuyor. WannaCry saldırısının arkasında kim ya da kimler olduğu konusunda pek çok spekülasyon ortaya çıktı. Fakat bunun hakkında uzun uzun düşünerek sonraki saldırıların engellenmesi mümkün değil.

Kötü amaçlı yazılım zafiyetleri hakkındaki bilgilere ve yapımında kullanılan araçlara, çocuklardan organize suç örgütlerine ve hatta devlet destekli saldırganlara kadar herkes erişebilir. Ayrıca, NotPetya’nın WannaCry gibi bir saldırının hemen ertesinde böyle bir fırtına yaratması, dünya çapındaki organizasyonların hala siber güvenliği gerekli ölçüde ciddiye almadıklarını açıkça gösterdi.