Fidye yazılımı destanı

Bilgi güvenliğini takip ediyorsanız, büyük olasıkla son yıllarda fidye yazılımı ile ilgili bir çok şey duymuşsunuzdur. Hatta bir saldırıya maruz kalma talihsizliğini bile yaşamış olabilirsiniz. Fidye yazılımını çağımızın belki de en tehlikeli kötü amaçlı yazılımı olarak tanımlasak abartmış olmayız.

Ancak bu tür kötü amaçlı programların 30 yıldan uzun süredir var olduğunu ve araştırmacıların günümüz saldırılarının birçok özelliğini 1990’ların ortalarında ön gördüğünü biliyor muydunuz? Neden engelleyicilerin yerini şifreleyici yazılımların aldığını, tarihteki en büyük fidyenin ne olduğunu ve AIDS’in tüm bunlarla ne ilgisi olduğunu öğrenmek ister misiniz?

O halde okumaya devam edin, çünkü sizin için bu ve daha birçok sorunun yanıtlarını içeren bir fidye yazılımı tarihi derlemesi hazırladık. Engelleyicilerin, şifreleyici ve silici yazılımların ve diğer fidye yazılımlarının neden olduğu kötülüklerin onlarca yıl içindeki gelişiminin izlerini gelin birlikte sürelim.

Fidye yazılımı sözlüğü

Aşağıdaki terimler, metinde sıkça yer almaktadır.

Kriptografi — gizli bilgilerin yabancılar tarafından okunmasını önleme bilimi. Şifreleme, kriptografinin bir tarafıdır.

Simetrik şifreleme — bir anahtarın hem bilgiyi şifrelemek hem de şifreyi çözmek için kullanıldığı bir veri şifreleme yöntemi.

Asimterik şifreleme — bilgiyi şifrelemek için herkese açık, şifreyi çözmek için ise özel bir anahtar olmak üzere iki anahtarın kullanıldığı bir veri şifreleme yöntemi. Herkese açık anahtarı bilmenin şifreyi çözme konusunda bir yardımı olmaz; bunun için özel anahtarı bilmek gerekir.

RSA — yaygın olarak kullanılan bir asimetrik şifreleme algoritması.

Fidye yazılımı — kurbanı, saldırgana fidye ödemeye zorlayan herhangi bir kötü amaçlı program. Fidye yazılımı; engelleyicileri, şifreleyici yazılımları ve şifreleyici olarak gizlenen silici yazılımları içerir.

Engelleyici — bir bilgisayarı veya mobil cihazı engelleyen veya engellenmesini simüle eden bir tür fidye yazılımı. Bu tür kötü amaçlı yazılımlar tipik olarak, kalıcı şekilde diğer tüm pencerelerin üstünde duran, bir ödeme talebinin yer aldığı bir mesaj gösterir.

Şifreleyici kötü amaçlı yazılımlar (şifreleyici yazılımlar) — kullanıcı dosyalarını kullanılamayacak şekilde şifreleyen bir fidye yazılımı türüdür.

Silici yazılımlar — kurbanın cihazındaki verileri silmek için tasarlanmış bir kötü amaçlı yazılım türüdür. Bazen bir şifreleyici yazılımı simüle eden fidye yazılımının gerçekte bir silici yazılım olduğu ortaya çıkar ve dosyalara onarılamaz şekilde zarar verir; bu nedenle fidye ödense bile, verileri kurtarmak imkansızdır.

RaaS (Hizmet olarak Fidye Yazılımı)— Yazılımın yaratıcılarının fidyeden bir miktar komisyon karşılığında yazılımı yaymak isteyen kişiye, fidye yazılımını kiraladıkları suç planı. Bir nevi siber suç acenteliğidir.

1989: İlk fidye yazılımı saldırısı

Biyolojik araştırmacı olan Dr. Joseph L. Popp bilinen ilk şifreleyici yazılımı yarattı. Popp, insanların AIDS’e olan yoğun ilgisinden yararlandı; bu sebeple kötü amaçlı yazılım AIDS Truva Atı olarak bilinmeye başladı.

O günlerde internet hala emekleme dönemindeydi, dolayısıyla Popp (günümüz standartlarına göre) oldukça özgün bir dağıtım yöntemi kullanmıştı. Dünya Sağlık Örgütü (WHO) AIDS konferansı ve <em>PC Business World</em> dergisi abonelerinin adreslerinin listesini aldıktan sonra kurbanlara, programın kurulumuna ilişkin detaylı talimatlarla birlikte üzerinde “AIDS Bilgi Tanıtım Disket” yazan bir çıkartmanın olduğu disket gönderdi. Lisans sözleşmesinde, kullanıcının programı yükleyerek şirkete 378 dolar ödemeyi kabul ettiği belirtiliyordu. Ama bu tarz şeyleri kim ciddiye alıyor ki?

Aslında yükleyici, kötü amaçlı yazılımı sabit sürücüye ulaştırmak için kullanılıyordu. Belirli sayıda sistem önyüklemesinden sonra, AIDS Truva Atı etkin hale geldi ve virüslü bilgisayarın C: sürücüsündeki dosya adlarını (uzantılar dahil) şifreledi. Dosya adları, normal çalışmayı imkansız hale getirecek şekilde karma karışık rastgele karakterlere dönüştü. Örneğin, bir dosyayı açmak veya çalıştırmak için önce o dosyanın hangi uzantıya sahip olması gerektiğini bulmak ve manuel olarak değiştirmek gerekiyordu.

Aynı zamanda kötü amaçlı yazılım ekranda, yazılımın deneme süresinin bittiğini ve kullanıcının bir abonelik ücreti ödemesi gerektiğini belirten bir mesaj görüntüledi: Bir yıl için 189 dolar veya ömür boyu erişim için 378 dolar. Para, Panama’daki bir hesaba gönderilecekti.

Kötü amaçlı yazılım simetrik şifreleme kullanıyordu, yani dosyaları kurtaracak anahtar kodun içindeydi. Bu nedenle, sorunu çözmek görece kolaydı: Anahtarı alın, kötü amaçlı yazılımı silin ve dosya adlarını kurtarmak için anahtarı kullanın. Ocak 1990’da Virus Bulletin editör danışmanı Jim Bates tam olarak bunu yapmak için AIDSOUT ve CLEARAID programlarını yarattı.

Joseph Popp tutuklandı ancak mahkeme, akli dengesinin yargılama için yerinde olmadığına karar verdi. Nasıl oluyorsa on yıl sonra <em>Popüler Evrim: Antropolojiden Hayat Dersleri</em> kitabını yayınladı.

1995–2004: Young, Yung ve geleceğin fidye yazılımı

Belki de AIDS Truva Atı yaratıcısını zengin edemediği için, verileri fidye amacıyla şifreleme fikri, o zamanki dolandırıcılar arasında çok da fazla heyecan yaratmadı. Beklenen ilgi 1995’te ve bilim camiasında geri döndü.

Kriptograflar Adam L. Young ve Moti Yung, en güçlü bilgisayar virüsünün nasıl bir şey olabileceğini öğrenmek için yola çıktı. Asimetrik şifreleme kullanan fidye yazılımı konsepti fikrini ortaya attılar.

Geliştirdikleri modellerinde, dosyaları şifrelemek için program koduna eklenmesi gereken tek bir anahtar kullanmak yerine, şifreyi çözecek anahtarı gizli tuttarak herkese açık ve özel olmak üzere iki ayrı anahtar kullandılar. Dahası, Young ve Yung, kurbanın henüz o zamanlar var olmayan elektronik parayı kullanarak ödeme yapması gerekeceğini varsaydı.

Siber güvenlik kahinleri düşüncelerini 1996’daki IEEE Güvenlik ve Gizlilik konferansında sundular ancak pek de iyi karşılanmadılar. Ardından 2004’te Young ve Yung, araştırmalarının sonuçlarını sistematik hale getirdikleri Kötü Amaçlı Kriptografi: Kriptovirolojiye Maruz Kalma‘yı yayımlandı.

2007–2010: Engelleyicilerin altın yılları

Şifreleyici kötü amaçlı yazılımlar kendileri için uygun zamanı beklerken, dünya başka bir tür fidye yazılımının yükselişine şahit oldu: Engelleyiciler. Bu oldukça ilkel kötü amaçlı yazılım türü, kendisini Windows’un başlangıç rutinine ekleyerek işletim sisteminin normal işleyişine müdahale etti. Buna ek olarak, silinmeyi engellemek için birçok engelleyici kayıt defteri düzenleyicisini ve görev yöneticisini engelledi.

Bu tür kötü amaçlı yazılımlar, kurbanların bilgisayarlarını kullanmasını engellemek için masaüstü duvar kağıdının değiştirmekten kapatılamayan pencereye kadar bir çok farklı yöntem kullandı. Bir ödeme yöntemi, fidyeyi paralı bir hatta kısa mesaj yoluyla göndermekti.

Fidye yazılımı engelleyicileri etkisiz hale getirmek için genellikle bir antivirüs programına ihtiyaç yoktu, bunun yerine kullanıcının oldukça fazla teknik bilgiye sahip olması yeterliydi. Örneğin kötü amaçlı yazılımı manuel olarak kaldırmak için, sistemi bir Canlı veya kurtarma CD’sinden yüklemek, güvenli modda başlatmak veya Windows’ta farklı bir kullanıcı profili ile oturum açmak gerekiyordu.

Ancak bu tür Truva atlarını yazmanın kolay olmasının karşılığında riskleri de görece olarak düşüktü. Hemen hemen herkes bunları dağıtabilirdi. Hatta otomatik engelleyici üreteçler bile vardı.

Kötü amaçlı yazılım bazen (bugün hala kullanılan bir taktik olan) masaüstüne pornografik bir banner yerleştiriyor ve kurbanın yasaklanmış içeriği görüntülediğini iddia ediyordu. Fidye talebinin yönetilebilir olması nedeniyle, kurbanların çoğu yardım istemeyi değil, sadece ödemeyi tercih ediyordu.

2010: Asimetrik şifrelemeye sahip şifreleyici kötü amaçlı yazılımlar

2011’de şifreleyici kötü amaçlı yazılım geliştiricileri işleri önemli ölçüde ilerlettiler ve Yung ve Young’ın tahmin ettiği gibi asimetrik şifreleme kullanmaya başladılar. Örneğin GpCode şifreleyici yazılımının bir modifikasyonu, RSA algoritmasına dayanıyordu.

2013: Hibrit fidye yazılımı CryptoLocker

2013’ün sonlarında, bir engelleyici ile şifreleyici kötü amaçlı yazılımı bir araya getiren hibrit fidye yazılımının ortaya çıkışı dikkat çekti. Kötü amaçlı yazılımı kaldırmak ve bu sayede engeli kaldırmak bile kurbanların dosyalarına erişimini geri getirmediği için bu konsept siber suçlulara ödeme yapılması şansını artırdı. Belki de bu hibrit fidye yazılımlarının en kötü şöhretlisi CryptoLocker‘dır. Bu kötü amaçlı yazılım spam e-postalar ile dağıtıldı ve yazılımın arkasındaki siber suçlular fidye ödemesini Bitcoin olarak kabul etti.

2015: Şifreleyici yazılımlar engelleyicilerin yerini alıyor

2015 yılında Kaspersky, 5,5 kat artan saldırı sayısı ile çığ gibi büyüyen şifreleyici kötü amaçlı yazılım bulaştırma girişimlerini gözlemledi. Şifreleyici yazılımlar engelleyicileri yerinden etmeye başladı.

Şifreleyici yazılımlar birkaç nedenden dolayı galip geldi. Birincisi; kullanıcı verileri, her zaman yeniden yüklenebilen sistem dosyalarından ve uygulamalardan çok daha değerlidir. Şifreleme sayesinde, siber suçlular önemli ölçüde daha yüksek fidye talep edebilir ve fidyenin ödenme şansı çok daha yüksektir.

İkincisi ise; 2015 itibarıyla anonim para transferleri için yaygın olarak kripto para birimleri kullanılıyordu, bu nedenle saldırganlar artık izlenmekten korkmuyorlardı. Bitcoin ve diğer kripto para birimleri, yakalanmadan yüksek tutarda fidye alınmasına olanak sağladı.

2016: Toplu fidye yazılımı

Fidye yazılımı, siber güvenlikte bir güç olarak büyümeye devam etti ve 2016 yılında fidye yazılımı modifikasyonlarının sayısında on kat artış görüldü, ortalama fidye ise 0,5 ila yüzlerce bitcoin (o günkü değeri şu andaki değerinin küsuratı kadardı) arasında değişiyordu. Saldırıların asıl odağı bireysel kullanıcıdan kurumsal sektöre kaydı ve haklı olarak yeni bir suç endüstrisinin ortaya çıkışından söz edilmeye başladı.

Siber suçlular artık kendi başlarına kötü amaçlı bir yazılım geliştirmek zorunda değildi; hazır satılan kötü amaçlı yazılımları satın alabiliyorlardı. Örneğin, Stampado fidye yazılımı için “ömür boyu kullanım lisansı” satılmaya başlandı. Bu kötü amaçlı yazılım, kurbanları korkutarak fidye ödemelerini sağlamak için belirli bir sürenin sonunda rastgele dosya silmekle tehdit etti.

Fidye yazılımları, Encryptor RaaS’ın ortaya çıkışıyla doğan bir terim olan RaaS (Hizmet olarak Fidye Yazılımı) modeli ile de kullanıma sunuldu. Bu satış modeli, fidye yazılımlarının daha da yaygınlaşmasına katkıda bulundu.

Gaspçılar, işletmeler ve ev kullanıcılarının yanında hükümet ve belediye kuruluşlarını da hedef almaya başladı. San Francisco Belediyesi Ulaşım Dairesi’nin 2.000’den fazla bilgisayarına fidye yazılımı bulaştıran HDDCryptor bunun en iyi örneği. Siber suçlular, sistemleri geri yüklemek için 100 BTC talep ettiler (daha sonradan yaklaşık 70.000 dolar istediler), ancak ajansın BT departmanı sorunu kendi başına çözmeyi başardı.

2016–2017: Petya, NotPetya, ve WannaCry

Nisan 2016’da, Petya adlı yeni bir kötü amaçlı yazılım yükselişe geçti. Önceki şifreleyici yazılımlar, kurbanların fidyeyi ödemesine izin vermek için işletim sistemlerini sağlam bırakıyorken Petya, sabit sürücüdeki tüm dosya ve klasör yapısının depolandığı bir veri tabanı olan MFT’yi (Ana Dosya Tablosu) hedef aldı ve virüslü makineleri tamamen işlevsiz hale getirip tuğlaya dönüştürdü (bricked).

Her ne kadar yıkıcı olsa da, Petya’nın sızma ve dağıtım mekanizması sıkıntılıydı. Petya’yı etkinleştirmek için kurbanın, manuel olarak bir yürütülebilir dosyayı indirmesi ve çalıştırması gerekiyordu, bu da bulaşma olasılığını azalttı. Aslında, başka bir fidye yazılımı — hak ettiği ismiyle WannaCry kadar iz bırakmamış olabilir.

Mayıs 2017’de, WannaCry dünya çapında 500.000’den fazla cihaza bulaşarak 4 milyar dolarlık hasara neden oldu. Bunu nasıl başardı? Windows’taki bazı çok tehlikeli güvenlik açıklarından yararlanan EternalBlue ile birlikte çalışarak. Truva atı ağlara sızdı ve WannaCry’i kurbanların bilgisayarlarına kurdu. Daha sonra kötü amaçlı yazılım yerel ağdaki diğer cihazlara yayılmaya devam etti. WannaCry bulaştığı sistemlerin içinde normal şekilde davranarak dosyaları şifreliyor ve fidye talep ediyordu.

WannaCry salgınının üzerinde iki ay geçmemişti ki, EternalBlue için modifiye edilmiş yeni bir şifreleyici yazılım ortaya çıktı: ExPetr olarak da bilinen NotPetya. NotPetya sabit diskleri tamamen yakıp yok etti.

Dahası, NotPetya dosya tablosunu fidye ödemesinden sonra bile çözülmesi imkansız olacak şekilde şifreledi. Sonuç olarak uzmanlar, bunun aslında bir şifreleyici yazılım kılığına girmiş silici yazılım olduğu sonucuna vardı. NotPetya’nın neden olduğu toplam hasar 10 milyar doları aştı.

WannaCry saldırısı o kadar yıkıcıydı ki Microsoft artık desteklemediği işletim sistemleri için bile acil bir yama yayınladı. Desteği devam eden sistemler için her iki salgının çok öncesinde de güncellemeler bulunuyordu ancak herkes bunları yüklememişti ve bu da iki fidye yazılımı programının uzun bir süre varlığını devam ettirmesine izin veriyordu.

2017: Şifre çözme için bir milyon dolar

Eşi benzeri görülmemiş hasarların yanında, tek bir işletme tarafından ödenmiş o güne kadar bilinen en büyük fidye ile 2017’de bir rekor daha kırıldı. Güney Koreli Web sunucusu Nayana, Erebus şifreleyici yazılımının bulaştığı bilgisayarlar üzerindeki engeli kaldırmak için 1 milyon dolar ödemeyi kabul etti (bunun 4,5 katı olan fidye talebi pazarlıkla bu tutara düşürüldü).

Uzmanları en çok şaşırtan şeyse, şirketin ödemeyi kamuya duyurmasıydı. Kurbanların çoğu bu tür şeyleri duyurmamayı tercih eder.

2018–2019: Topluma yönelik bir tehdit

Geçtiğimiz birkaç yıl, kamu hizmetlerine ve tesislerine yapılan büyük fidye yazılımı saldırıları açısından dikkat çekiciydi. Ulaşım, su, enerji ve sağlık kurumları, kendilerini gün geçtikçe artan şekilde risk altında buldular. Üstelik siber suçlular ödeme yapılacağına da güveniyordu; çünkü fidye talepleri çok büyük olsa bile, bir yerin karanlığa gömülmesi binlerce veya milyonlarca insanı zor durumda bırakmak anlamına geliyordu.

Örneğin 2018’de, İngiltere’deki Bristol Havalimanı’na düzenlenen bir şifreleyici kötü amaçlı yazılım saldırısı, uçuş ekranlarında iki tam gün boyunca kesinti yaşanmasına neden oldu. Personel son çare olarak beyaz tahta kullanma ve havaalanının saygınlığından yararlanma yoluna gitti ve saldırıya tepkisi hızlı ve etkili oldu. Bildiğimiz kadarıyla hiçbir uçuş iptal edilmedi ve fidye ödenmedi.

ABD’de bir klinik olan Hancock Health, SamSam fidye yazılımının sistemlerine saldırmasından sonra 4 BTC (o zamanlar 55.000 dolar değerindeydi) ödedi ve klinik için çok da geçmiş olsun denemezdi. Şirketin fidyeyi ödeme kararını açıklayan CEO Steve Long, akıllardaki en kötü grip mevsimlerinden biri ile birlikte yaklaşan bir kar fırtınası benzetmesini yaptı. Kliniğin, saldırganlardan bağımsız şekilde bilgisayarlarını geri yüklemek için zamanı yoktu.

2019’da Amerika Birleşik Devletleri’nde toplamda 170’den fazla belediye kurumu fidye yazılımlarının kurbanı oldu ve fidye talepleri 5 milyon dolara kadar çıktı. Bu tür kurumlarda işletim sistemlerini güncellemek zor olabilir, bu nedenle siber suçlular genellikle eski — ve dolayısıyla daha erişilebilir — açıklardan faydalanır.

2020: Artan ölçek ve veri sızıntısı ile para sızdırma

Sebep olduğu sonuçlar ve fidye tutarlarının yanında kötü yazılım bulaşmasına ilişkin artan ölçeğe ek olarak 2020, verileri şifrelemeden önce siber suçlu kullanıcılara gönderen yeni bir hibrit fidye yazılımı yaklaşımının görülmesi açısından unutulmaz bir yıl oldu. Bilgiyi rakiplere sızdırmak veya ardından yayınlamakla ilgili tehditler. Bugünlerde kişisel veriler konusundaki aşırı duyarlılık göz önüne alındığında bu durum, bir işletme için ölümcül olabilir. Taktik ilk olarak 2019’da Maze grubunun uzmanlaştığı bir konuydu, ancak 2020’de gerçek bir trend haline geldi.

Transform Hospital Group estetik cerrahi zinciri, 2020’nin sansasyonel olaylarından birinin kurbanı oldu. REvil hacker grubu, hastaların ameliyat öncesi ve sonrası fotoğraflarını da içeren Transform’a ait 900 GB boyutundaki veriyi şifreledi, çaldı ve bunları yayınlamakla tehdit etti.

Bunlara ek olarak şifreleyici kötü amaçlı yazılım kullanıcıları, 2020’de bir dizi yeni taktik benimsedi. Örneğin REvil grubu, çalınan bilgileri açık artırmada satmaya başladı. Siber suçlular ayrıca, kartel benzeri organizasyon yapısıyla birlik oldular. Bunlardan ilki, LockBit şifreleyici yazılımı tarafından çalınan bilgileri yayınlamaya başlayan Maze grubuydu. Siber suçlulara göre artık LockBit ile yakın bir şekilde çalışıyorlar, veri sızıntısı için ellerindeki platformu ve sahip oldukları bilgileri paylaşıyorlar.

Ayrıca, yakında başka bir grubun da kartele katılacağıyla ilgili övünüyorlardı: RagnarLocker; para sızdırdığı şirketler üzerinde ek bir baskı aracı olarak kurbanların kaynaklarına yönelik DDoS saldırılarını organize etme konusunda öncülük eden bir grup.

Sonuç

Otuz yıllık bir süreçte fidye yazılımı, görece olarak zararsız bir oyuncaktan, tüm platformların kullanıcıları ve özellikle işletmeler için ciddi bir tehdide dönüştü. Saldırılara karşı korunmak için birkaç güvenlik kuralına uyduğunuzdan emin olun — ve bir şekilde, bir saldırı başarılı olursa, yalnızca siber suçluların tekliflerini kabul etmekle kalmamak ve uzmanlardan yardım istemek önemlidir.