Son dönemde sıkça karşılaşılan tanınmayan kişilerden gelen mailler, büyük bir tehdidin ilk adımı. Güvenli olmayan bu maillerin içindeki ekin açılması, sıklıkla fidyeci yazılımın aktif hale gelmesini sağlıyor. Bilgisayar açıldığında tüm dosyaların şifrelendiğini söyleyen bir mesajla karşı karşıya kalınıyor ve verilerin geri alınabilmesi için yüzlerce dolar ödemek zorunda kalınan özel bir anahtar kullanarak şifreler çözülemezse, sonsuza dek kullanılamaz hale geliyor.
Saldırganlar, 2015’te duyurulan en son Adobe Flash güvenlik açıklarının pek çoğu gibi tercih edilen tarayıcıdaki güvenlik açıklarına saldırmak için sömürü araçlarını da (“exploit kit”) kullanabiliyorlar. Son birkaç ay içinde IBM Acil Durum Müdahale Hizmetleri (ERS) müşterilerin bildirdiği fidyeci yazılım olaylarında bir artış saptadı. Nisan 2014 ile Haziran 2015 arasında sadece CryptoWall adlı tek bir casus değişkenle ilintili olarak FBI’ın İnternet Suçları Şikayet Merkezi’ne (IC3) 992 şikayet yapılmış ve 18 milyon ABD Doları’nın üzerinde zarar bildirilmiştir.
Fidyeci yazılımların geçmişi 1980’lere dayanıyor
Fidyeci yazılımlar yeni değil ve 1980’lerin sonlarından beri varlar. Ancak giderek daha kapsamlı hale geldikleri görülüyor. Bugün fidyeci yazılımların şifreleme yöntemleri, dosyaları neredeyse kurtarılması imkansız hale getiriyor ve bunları artık takibi de imkansız olan, sanal para ile yapılan ödemeleri de kabul ediyor. Ayrıca fidyeci yazılım mağdurları, genellikle uygunsuz web sitelerini ziyaret etmeleri nedeniyle bu durumla karşılaştıklarını söyledikleri için bunlar artık “korkutma yazılımı” (scareware) olarak da biliniyor. Sorunun çözülmesi için bir güvenlik uzmanıyla çalışmaktan utanan mağdurlar, bunun yerine istenen ücreti ödemeyi seçiyor.
Siber saldırıların yıkıcı olan bu türü, artık yalnızca sıradan kullanıcıları ya da BT ekipleri olmayan ve bilerek bu kadar düşük tutulan fidyenin ödenmesinin daha kolay yol olduğuna karar veren küçük-orta ölçekli işletmeleri tehdit eden bir unsur değil. Fidyeci yazılım, yavaş yavaş kurumsal ağlara da sızıyor, işlerde ciddi bir kesintiye yol açıyor ve çalışanlar ya da müşteriler için kredi izleme hizmetlerinin satın alımı, hukuk danışmanlığı ve risk azaltma için harcanan kaynaklarda bir gider kanalı oluşturuyor.
Güvenlik liderleri yenildiklerini kabul ediyorlar
IBM’in en son gerçekleştirdiği Bilişim Güvenliği Üst Düzey Yetkilileri araştırmasına göre, güvenlik liderlerinin yüzde 80’inden fazlası, dış tehditlerin neden olduğu engellerin artışta olduğunu düşünürken bunların yüzde 60’ı ise kuruluşlarının yenildiği konusunda hemfikir. Kişilerin dosyalarının esir alınmasından kazanç sağlama yolu olduğu sürece, fidyeci yazılımlar da olacaktır. Ancak fidyeci yazılımların kuruluştan uzak tutulmasına yönelik atılan proaktif adımlar, en azından bir karşı koyma şansı tanımaktadır.
Bu durumlardan korunmanın en garanti yolu, hazırlığı en iyi savunma olarak kabul etmek. Çünkü kötü niyetli dosyalar saptandığında, kurtarmak için artık çok geç kalınmış demektir.
Korunmak için hazırlık adımları IBM ERS Fidyeci Yazılıma Müdahale Kılavuzu’nda şöyle aktarılıyor:
- Son Kullanıcıların Eğitilmesi: Karşılaşabilecekleri türde tehditler, fidyeci yazılımların tanınması ve yapılması/yapılmaması gerekenler ile ilgili periyodik bir eğitim imkanı sağlanmalı. Bir referans çizgisi oluşturmak ve etkinliğini test etmek amacıyla, dolandırıcılık öncesi ve sonrasında yaşanabileceklerle ilgili bir tatbikat gerçekleştirilmeli.
- Çalıştırılabilir Dosyalar İçeren E-posta Eklerinin Engellenmesi ya da Boşaltılması: Mümkünse e-posta sunucusu EXE, COM ya da SCR uzantısı olan ZIP arşivlerindeki dosyalar dahil, çalıştırılabilir dosyaları boşaltacak şekilde yapılandırılmalı.
- Temp Klasörlerinden Program Yürütmenin Kısıtlanması: Fidyeci yazılımların çoğu, yürütme zincirine devam etmek için bilgi yükünü kullanıcının temp klasörüne kopyalayarak işe başlar. Bunu engellenmesi, en başta oluşacak zararı da engeller.
- Antivirüs, Uç Nokta Koruması ve Yama Yönteminde Güncelliğin Korunması: Uç nokta antivirüs çözümleri, en yaygın saptama mekanizmalarıdır ve şirketlerin bunları güncel tutmaları gerekir. Trusteer Apex gibi ek uç nokta koruma çözümlerinin kullanılması düşünülebilir. Bunlar imzalara değil, davranışlara ve güvenli uygulamalara dayanır. Bunun yanı sıra kuruluşların, özellikle Adobe Flash ve Java gibi yaygın güvenlik sorunları içeren, sık kullanılan programlar söz konusu olduğunda, etkili bir yama yönetimi ilkesi benimsemeleri gerekir. Adobe Flash, fidyeci yazılımlar için iyi belgelenmiş bir etkilenme unsuru olmuştur. Kuruluş, Flash’ı varsayılan olarak devre dışı bırakmayı tercih edebilir.
- Yedek Sistemlerin Düzenli Olarak Test Edilmesi ve Kritik Verilerin Uç Noktanın Dışında Saklanması: Kuruluşun fidyeci yazılımla karşı karşıya kalması durumunda mağdur olmaması için yedek sistemler düzenli olarak test edilmeli ve kurumsal dosyaları geri yüklemek için gerçekten çalışıp çalışmadıklarından emin olunmalı. Çoğu zaman kuruluşlar yedeklerden düzgün bir biçimde geri yükleme yapamadıklarından, istenen fidyeyi ödemek zorunda kalıyorlar. Ayrıca çalışanlara kritik verilerin uç nokta üzerinde saklanılmaması da öğretilmeli. Bunun yerine kritik verilerin, düzenli olarak yedeklenen güvenli yerlerde, ağ üzerinde depolanmaları gerekir.