Şirketlerde Cryptolocker kabusu
Son iki yıldır tüm dünyayı kasıp kavuran Cryptolocker saldırısı hız kesmeden büyümeye devam ediyor. Peki, nedir bu Cryptolocker? Yeni bir saldırı türü olan Cryptolocker, ransomware olarak biliniyor. Türkçeye “fidye saldırısı” olarak çevirebileceğimiz bu saldırı türünde saldırganlar sisteminize basit bir e-posta ile erişiyorlar. Bu e-posta içerisinde genellikle Türkiye’deki önemli bir kurumun fatura gecikmesi, kargo takibi ya da kullanıcı tetikleyen başka bir ifade var.
Amaç, e-posta beraberinde gelen ekli dosyayı bir anlık dalgınlıkla açtırmak. Genelde başlıklar şöyle oluyor: “Adınıza gelen kargo şubemizde beklemektedir, detayları ekte bulabilirsiniz” ya da daha tehditkar bir şekilde: “Borcunuzu ödemediğiniz için hakkınızda yasal takip yapılacaktır, ekli dosyada borç detaylarına ulaşabilirsiniz.”
Kullanıcılar tanıdık bir kurumdan gelmiş görüntüsü verilen bu e-postanın ekini anında açıyorlar. Ancak ek içerisinde hiçbir şey yok. Genelde çalıştırılabilir bir dosya oluyor ya da bir web sitesine yönlendirme yapılıyor. Bu işlemi yaptığınızda artık iş işten geçmiş oluyor. Yani sisteminizde bir antivirüs yazılımı olsa bile, Ransonware program tarayıcı üzerinden bilgisayarınıza bulaşıyor. Önce sabit diskinizde, ardından eğer bir ağ sistemine bağlıysanız tüm bilgisayar ve disklerdeki dosyaları şifrelemeye başlıyor. Saldırının hedefinde Excel, Word, PowerPoint, Access gibi ofis dosyaları, JPG, MP4, AVI gibi resim ve video dosyaları bulunuyor. Aynı zamanda kurumsal ağlardaki SQL veritabanları da saldırganların bir diğer hedefi. Yapılan işlem ise gayet basit. Tüm bu dosya türleri bulunuyor ve her biri kırılamaz bir şekilde şifrelenmiş oluyor. Şifreleme işlemi bittiğinde saldırganlar bir metin dosyasına yerleştirdikleri yönergeler doğrultusunda kurbanlardan para talep ediyorlar. Minimum 500 dolardan başlayan talepler 10 bin dolara kadar çıkabiliyor.
Maalesef bu saldırılar ile ilgili en büyük sorun çözümünün halen bulunamamış olması. Yani dosyalarınız şifrelendiğinde bunları açmak için bir süper bilgisayardan tek tek şifre denemesini isteyebilirsiniz ki bu bile her bir dosya için aylar sürebilir. Güvenlik uzmanları Cryptolocker’ın şifreleme algoritması üzerinde çalışarak, bir açık bulmaya çalışıyorlar. Ana ismi Cryptowall olan bu sistemin mühendisleri ise buna karşın sistemlerini sürekli güncelliyorlar. Şu anda saldırı aracının 3.0 sürümü çıktı ve çok daha güçlü bir şifreleme yapıyor. Tek bir merkezden yönetilen ve geliştirilen bu yazılım, franchise mantığı ile birçok alt şebekeye satılıyor ve kullandırılıyor. Bitcoin ve benzeri dijital ödeme yöntemlerini kabul eden saldırganlar, olumsuz yorum gelmemesi ve sisteme güven duyulması için paralarını aldıktan sonra şifrelenmiş dosyaları gerçekten de açıyorlar. Ancak bunun yine de bir garantisi yok. Fidye her zaman sizi kurtarmayabilir.
Bu tarz saldırılar maalesef çalışanların bir anlık dikkatsizliğinden yararlanmak üzerine kurgulanıyor. Bu yüzden kurumlar çok daha kapsamlı bir güvenlik politikası belirlemeliler. Yalnızca yazılım ve donanımsal güvenlik çözümleri yeterli değil. Aynı zamanda tüm çalışanların bu tarz saldırı araçlarına karşı bilgilendirmek ve bunu bir kurum kültürü haline getirmek gerekiyor. Daha da önemlisi, tüm verilerini kendi iç yapılarında tutan, yedeklemeye önem vermeyen KOBİ’lerin artık dijital verilerini aynen kasadaki değerli evrak ve nakit paraları gibi daha iyi korumaları gerekiyor.