Şifrelenmiş kurumsal verileri hiç kimse kurtaramaz

Mart 27, 2019

Geçtiğimiz günlerde Norveçli Norsk Hydro şirketinin yaşadığı güvenlik olayı, fidye yazılımlarının kolay kolay yok olmayacağını ve herkesin bu tehlike karşısında güvende olmadığını gösterdi. Bu durumun olası nedenlerinden biri, insanların böyle bir olay yaşadıktan sonra verilerini geri alabileceğine inanmasıdır; birçok kişi şirket içindeki BT uzmanlarının veya dışarıdan güvenlik uzmanlarının yardımıyla ya da en kötü ihtimalle bizzat saldırının sorumlularına fidye ödeyerek verilerini kurtarabileceğini düşünür. Elbette, verilerin şifresini çözebileceğini iddia eden çok sayıda şirket de vardır. Ancak bazen verileri kurtarmak için bu şirketlerle anlaşma yapılması, siber suçlulara para vermekten bile kötü sonuçlar doğurabilir.

%100 şifre çözme garantisi veren bir şirketle çalışmak neden kötü bir fikirdir?

Şifreleyici fidye yazılımları ile ilgili bilgi aramaya başladığınızda, verilerinizi, her koşulda, geri getireceğini iddia eden birçok şirket reklamı görürsünüz. Hepsinin web sitelerinde, saldırganlara neden para ödememeniz gerektiğine dair uzun uzun açıklamalar ve oldukça yaratıcı bir takım şifre çözme yöntemleri bulunur. Bu siteler, genellikle son derece ikna edici bir görünüme sahiptir. Fakat burada dikkat edilmesi gereken önemli bir hile vardır.

Modern şifreleme algoritmalarında herhangi bir kişi, önemli bilgileri anlamsız bir karakter kümesine dönüştürebilir fakat bu bilgileri kurtarabilecek tek kişi, şifre çözme anahtarının sahibidir. Diğer bir deyişle, saldırganlar hiçbir hata yapmadıysa dosyalarınızın şifrelerini onlardan başka kimse çözemez; ne sistem yöneticinizden ne de global BT güvenliği sektörünün dev şirketlerden medet ummayın.

Dolayısıyla size şifre çözme konusunda kesin garantiler veren şirketler muhtemelen yalan söylüyordur. Geçen yıl iş arkadaşlarımız, bu tür bir şirket belirledi. Şirketin “şifre çözme” işlemleri için saldırıya maruz kalanlardan önemli miktarda bir ücret talep ederken, aynı zamanda şifreleme anahtarlarını indirimli bir şekilde satın almak için saldırganlarla pazarlık ettiği ortaya çıktı. Bu pazarlık sonucunda saldırının kurbanları, hem saldırgana para vermiş oldu hem de bu üçüncü taraf dolandırıcılara ücret ödemek zorunda kaldı.

Neden ödeme yapmamalısınız?

Gaspçılara para vermek, en kolay yol gibi görünebilir. Birçok insan bu saldırganlara para veriyor ve gerçekten verilerini geri alabiliyor. Örneğin 2016 yılında Lock fidye yazılımı saldırısı, Hollywood Presbyterian Medical Center (HPMC) hastanesini adeta felç etti. Birçok hastanın sağlığı, hatta hayatı şifrelerin çözülme hızına bağlı olduğu için hastane yönetimi, zor bir karar vererek 17.000 USD tutarında fidye ödemeyi kabul etti.

Ancak en kolay yol, her zaman en iyi yol olmayabilir, özellikle riske attığınız şey bir ölüm kalım meselesi değilse… Öncelikle, ödediğiniz para büyük ihtimalle daha da gelişmiş kötü amaçlı programlar geliştirmek için kullanılacaktır (bu yeni programlar da sizin gibi ödemeyi yapmayı kabul eden kişileri hedef olarak belirleyebilir). İkinci olarak, ödeme yapma taktiği güvenilir değildir. Verdiğimiz örnekteki hastane şanslı olabilir ancak yüzlerce vakada, kurbanın parasını alan saldırganlar asla dosyaların şifrelerini çözmediler. Bazen de çözemediler.

Neden güvenlik şirketleri verilerinizin şifresini çözemez?

Elbette, şifrelenen verileri geri getirmek için sürekli yeni yollar arayan şirketler de vardır, hatta bizim şirketimiz de bunlardan biri. Fakat bilgiler, yalnızca saldırganların normal bir algoritma uygulayacak kadar profesyonel olmadığı (ya da bir yerde bir hata yaptığı) durumlarda geri getirilebilir. Bir şifre çözme aracı geliştirmeyi başardığımızda bunu ücretsiz olarak https://noransom.kaspersky.com/ adresinde paylaşıyoruz. Ancak bu tür durumlarla çok nadir karşılaşılıyor.

Sonuç olarak yapabileceğiniz en iyi şey, saldırıyı en başından önlemeye çalışmaktır. Bunun için yeni güncellenen Kaspersky Anti-Ransomware Tool for Business çözümümüzü de içeren bir araç setimiz var. Bu çözüm, üçüncü taraf güvenlik satıcılarının ürünleriyle birlikte çalışarak iş istasyonlarında ve Windows Server ile çalışan sunucularda ek koruma katmanı sağlar.

Güncellenen Kaspersky Anti-Ransomware Tool for Business aracı, yalnızca kurumsal cihazları hem bilinen hem de yeni kripto kötü amaçlı yazılımlardan korumakla kalmaz, aynı zamanda başta kötü amaçlı madenciler, riskli programlar ve kötü amaçlı porno yazılımları dahil olmak üzere diğer tehditleri de tespit eder. Bu ücretsiz ürünü buradan indirebilirsiniz.