Fidye yazılımları: Bu dünyadan bir Conti geçti

Ziyahan Albeniz

Bilgisayar virüsleri, bilgisayarla tanıştığım ilk günlerde benim için bir efsaneden ibaretti. Hatta öyle ki 1.44 inçlik disketlerin sürgüsü açık bırakıldığında, toz zerreciklerinden bulaşacağına dair komik bir inanca sahiptim.

Elime nasıl geçtiğini hatırlamıyorum ama 2000’li yılların başında ortalığı kasıp kavuran Love Letter (Aşk Mektubu) virüsünün kaynak kodunun çıktısını almış, kutsal bir metin gibi yanımda taşıyor, her bulduğum fırsatta satır satır okuyup anlamaya çalışıyordum. Şimdi düşünüyorum da muhtemelen bu kodu bilgisayardan değil de çıktı alıp okuyup, anlamaya çalışmam muhtemelen bilgisayarıma bulaştırma korkusundan kaynaklıyor idi.

Yazılım öğrenmeye başladıktan sonra bir iki zararlı yazılım geliştirme denemem oldu. Bunlardan ilki yine bilgisayara takıldığı anda diskin sıfırlanması (formatlanması) emrini veren bir programcık idi. Bunu arkadaşlarımla paylaşmakla sanırım hata ettim. Arkadaşlarımın bu programcığı bir intikam aracı olarak daha sonra bölgedeki internet kafelerde kullandıklarını duydum. Günahı onların boynuna.

İkinci zararlı yazılım denemem sadece şaka amaçlı idi. Rastgele oluşturduğu dosya ve dizinlerle sabit diski dolduruyor, işletim sistemini çalışmaz duruma getiriyordu. Kulakları çınlasın, üniversiteden arkadaşım Nazım bu şakanın kurbanlarından biriydi. Haklı olarak biraz sinkaflı laflar ettiyse de sonrasında gönlünü almayı başarmıştım.

İlk örneklerinde hep aynı saiki gördüğümüz bilgisayar virüslerinde esas motivasyon programcısının kendini ispat etmesi, yeteneklerini sınaması ve adını duyurması idi.

Yıllar içerisinde köprünün altından çok sular aktı, bilgisayar virüsleri biyolojik virüsleri aratmayacak şekilde evrimleşti. Bulaşma, çoğalma hatta mutasyona uğrama kabiliyetleri arttı. Nihayet, bugün dünyanın başına bela olan, irili ufaklı tüm kurumları, sektörleri tehdit eden fidye yazılımı ile “kemale” erdiler.

Fidye yazılımları ya da frenkçesi ile ransomware yazılımlarını sisteminize bulaşan, dosyalarınızı şifreleyen ve dosyalarınızı eski haline getirmeniz için ihtiyaç duyduğunuz şifreleme anahtarını bir fidye karşılığında paylaşan yazılımlar olarak açıklayabiliriz.

2017 yılında adından söz ettiren NotPetya ve WannaCry ile bugünkü formunun ilk örneklerini görsek de, fidye yazılımlarını 1989’lu yıllara kadar götürebilmek mümkün.

1989 yılında Dünya Sağlık Örgütü’nün organize ettiği AIDS konferansında AIDS araştırmacısı Joseph Popp’ın dağıttığı AIDS Bilgilendirme Dosyası başlıklı 20 bin adet disketi ilk fidye yazılımı örneklerinden sayabiliriz. Bu disketler PC Cyborg, bir diğer adı ile AIDS, adını taşıyan bir zararlı yazılım içeriyor ve disketin takıldığı bilgisayardaki dosyaları şifreliyor idi. Popp, dosyaları eski haline getirmek için şifreleme anahtarını AIDS araştırmalarında kullanılmak üzere 189 Dolar fidye ya da bağış karşılığında veriyordu.

Fidye yazılımları bilgisayara bulaşıp dosyaları şifreledikten sonra masaüstüne genellikle bir not bırakıp, dosyaların şifrelendiğini, eğer kullanıcı dosyalarına tekrar kavuşmak istiyorsa hangi adrese, ne kadar meblağ ödeme yapması gereken talimatları açıklıyorlar.

Pek çok grup şakalarının olmadığını, polis ya da kolluk kuvvetlerine başvurmanın işleri daha da zorlaştıracağını da belirtiyor. Esprili mesajlar bırakan gruplardan tutun da, kullanıcı dostu bir biçimde satır satır kullanıcıyı bilgilendiren, ödeme yapıldıktan sonra bir daha böylesi bir saldırının kurbanı olunmaması adına yardımcı olunacağını belirten gruplar da var.

Uzun bir süre gruplar sadece şifreleme anahtarını fidye karşılığında paylaşmakla yetinse de, bir süre sonra tahsilat için yeni yöntemler keşfetmeye başladılar. Artık sadece dosyaları şifrelemekle kalmıyor, sistemden elde ettikleri dosyaları, fidye ödenmediği takdirde paylaşmakla da tehdit ediyorlar. Çok geçmeden bu ikili tehdit yöntemine üçüncü yöntem olarak hedef sistemi servis dışı bırakma (Denial of Service - DoS), ve dördüncü yöntem olarak da elde edilen bilgilerin rakip firma ve kuruluşlarla paylaşılma tehditi eklendi.

Fidye yazılım geliştiricileri, virüs yazma, bulaştırma, fidye tahsilatı için arabuculuk yapma gibi karmaşık, emek yoğun iş modellerini pek kârlı ve ölçeklenebilir bulmamış olacaklar ki, fidye yazılımlarını bir tür servise dönüştürdüler. “Biz bu işin yazılım geliştirme tarafında kalalım. İnsan kaynağımızı anti virüsleri atlatan, daha hızlı bulaşan yazılımları geliştirmekte kullanalım; yazılımı alın siz kullanın, etrafınıza bulaştırın, biz de size tahsil ettiğimiz fidyeden bir yüzdelik verelim.”

Komisyonculuk asla ölmez. Bu yeni fikir epey tutmuş olsa gerek, bunun etrafında farklı iş modelleri gelişmeye devam ediyor. Tek seferlik ücret ödeyerek zararlı yazılımı almak, yüzdelik bir komisyon üzerinden sisteme affilate olarak katılabilmek mümkün. (Gençler, aman ha, diyeyim.)

(Sezar’ın hakkı Sezar’a, içlerinde en sempatik bulduğum MalasLocker isimli grup. Hedef bilgisayardaki dosyaları şifreleyip, şifreleme anahtarını teslim etmek için kâr amacı gütmeyen ir kuruluşa bağışta bulunmanızı istiyorlar. Üzülmeyin, sonrasında bu bağışı vergi iadesi olarak da alırsınız, diye eklemeyi de ihmal etmiyorlar. Suç ve suçluyu övmüyorum sayın savcılar.)

Bu gruplardan en önemlileri Conti (Konti) isimli grup idi. Rusya - Ukrayna savaşının patlak vermesinin ardından grup Rusya’ya tam desteğini açıklayınca grupta kırılmalar yaşandı. Birkaç gün sonra grubun yaklaşık 2 yıllık iç yazışma geçmişi Twitter üzerinden bir mesajla paylaşıldı. Bu ifşa olan yazışmaları inceleyen güvenlik uzmanları ve araştırmacılar grubun iş işleyişi, kurumsal yapısı, insan kaynakları ve operasyonlarına dair çok önemli bilgilere ulaştılar. Conti artık yok. Fakat yine Rus, Kuzey Kore ve bilmem ne bela orijinli fidye yazılımları internet dünyasında fink atıyor, Clop, LockBit vb. Gruplar son günlerdeki operasyonları ile CNN gibi ana akım medyanın manşetlerinde dahi yerini aldı.

Tabii digital dünyada bir şeye son diyebilmek mümkün değil, her son yeni bir serüvenin başlangıcı oluyor. Grupların kullandığı zararlı yazılımın kodları ifşa olduktan sonra mutasyon etkisi diyebileceğimiz bir biçimde bu kodlardan hareketle yeni, çoğunlukla daha dirençli fidye yazılımı versiyonları gün yüzüne çıkıyor. (Meraklısı için not: Babuk fidye yazılımının kaynak kodu sızdıktan sonra, bu kodu temel alan 9 yeni fidye yazılımının ortaya çıktığı söyleniyor.)


Bu tarz zararlı yazılımların en önemli ilk temaslarından biri oltalama mailleri. Dolayısı ile gönderilen e-posta eklerine ve bu epostalarda paylaşılan linklere/bağlantılara karşı dikkatle olmakta fayda var. Eğer sisteminizde henüz kurulu değilse, bir antivirüs programı kullanmanızı, şüpheli durumlarda sistem yöneticilerinize durumu bildirmenizi öneriririm.

Bu virüslerin sistemlere bulaştığı yollardan bir diğeri ise özellikle de dark web forumlarında satılan erişim bilgileri. Bir şekilde sisteminize ait erişim bilgileri, örneğin uzak masa üstü paylaşımı protokolü erişim bilgileri, deneme yanılma yahut bir başka yazılım vasıtası ile bu bilgiler ele geçirildi ise, bu erişim bilgileri dark web forumlarda haraç mezat satılıyor. Bu bilgileri elde eden başka bir saldırgan ise sisteminize erişip, fidye yazılımını bulaştırıyorlar. E tabii fidye yazılımı şişede durduğu gibi durmuyor, ağ bağlantısı vasıtası ile kurumlardaki diğer bilgisayara da sıçrıyor.

Temmuz ayının ilk haftası, gelecek hafta, tüm dünyada ransomware farkındalık haftası olarak kaygı ile idrak edilecek.

Ayağınıza taş, sisteminize ransomware değmesin.

Yorum Yap
UYARI: Hakaret, küfür, rencide edici cümleler veya imalar, inançlara saldırı içeren, imla kuralları ile yazılmamış, Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır. (!) işaretine tıklayarak yorumla ilgili şikayetinizi editöre bildirebilirsiniz.
Yorumlar (3)
Yükleniyor ...
Yükleme hatalı.