Yeni bir fidye yazılmı (ransomware) olan Fantom, Microsoft Windows güncellemesi kılığına girerek kullanıcıların yazılımı indirmesini sağlıyor ve veri güvenliğini ihlal ediyor. Bildiğiniz gibi hackerların sistemleri bloke etmesini ve kullanıcıların dosyalarını şifrelemesini, böylece dosyaların açılamamasını veya kullanılamamasını sağlayan zararlı yazılımlara fidye yazılımı deniyor. Fidye yazılımları aynı zamanda uygulamaların çalışmasını engelliyor. Böylece bundan etkilenen kişiler, sistemlerini tekrar çalıştırmak veya dosya ve uygulamaları açmak- kullanmak için hackerlara fidye ödemek zorunda kalıyorlar. Son günlerde fidye yazılımı saldırılarının sayısı da gittikçe artıyor. Son aylarda fidye yazılımı saldırılarına maruz kalan birçok kurum var.

Fantom nasıl işler?

Fantom, açık kaynak fidye yazılımı projesi EDA2’ye dayanarak geliştirilmiş bir fidye yazılımı ve sahte bir Windows Güncellemesi Ekranı göstererek ortaya çıkıyor. Bu güncelleme ekranı size Windows’un yeni ve kritik bir güncelleme kurduğunu düşündürüyor. Fidye yazılımının dosya özelliklerinde bile bunun Microsoft’tan geldiği belirtiliyor ve dosya tanımlaması olarak ‘Kritik Güncelleme’ ibaresi yer alıyor. Bunun gerçekten bir Windows güncellemesi olduğuna inandırıldığınız için, olasılıkla çalıştırıyorsunuz. Fidye yazılımı böylece WindowsUpdate.exe isimli bir başka gömülü programı çıkarıyor ve çalıştırıyor, sonra da sahte bir Windows Güncellemesi ekranı beliriyor. Bu ekran, tüm aktif pencerelerin üzerini kaplıyor ve açık olan herhangi bir uygulamaya geçemiyorsunuz. Bu güncelleme ekranında görünen yüzde, size Windows güncellemesinin devam ettiğini düşündürüyor ama aslında yüzde arttıkça dosyalarınız şifreleniyor. İsterseniz Ctrl+F4 tuş kombinasyonuyla bu ekranı kapatabiliyorsunuz ama dosyalar arka planda şifrelenmeye devam ediyor. Diğer EDA-2 temelli fidye yazılımları gibi Fantom da rastgele bir AES-128 anahtarı oluşturuyor ve bunu RSA kullanarak şifreliyor. Sonra bu, zararlı yazılımcıların Kumanda ve Kontrol sunucusuna yükleniyor. Bu dosyalar AES-128 şifreleme protokolü kullanılarak şifrelenip şifrelenen her dosyaya .fantom uzantısı ekleniyor. Fantom’un şifrelediği dosyaların bulunduğu klasörlerde ayrıca DECRYPT_YOUR_FILES.HTML isminde bir fidye notu oluşturuluyor. Şifreleme tamamlandığında Fantom iki ortak iş dosyası açıp çalıştırıyor ve bu dosyalar, gölge kopyalarını ve daha önce gelmiş olan sahte güncelleme ekranını siliyor. Ve sonunda DECRYPT_YOUR_FILES.HTML ismindeki fidye notu geliyor. Burada verilerinizi kurtarmak için onlardan parola satın almanız gerektiği söyleniyor. Ödeme talimatları için [email protected] veya [email protected] adresine e-posta göndermeniz isteniyor. Aynı zamanda dosyalarınızı kurtarmaya çalışmamanız, aksi takdirde verilerinizi tamamen yok edebileceğiniz konusunda uyarılıyorsunuz. Hackerlar fidye yazılımları ile saldırıda bulunurken birçok farklı yöntem kullanıyor ama Fantom’da kullanılan strateji, akıllıca. Saldırganlar, kurumsal kullanıcılar da dahil olmak üzere birçok kullanıcının tanıdığı ve hatta güvendiği bir ekranı taklit ediyorlar; insanları gerçek bir Windows güncellemesi yaptıklarına inandırmak ve bu şekilde Fantom’u indirmelerini sağlamak nispeten kolay. Bu, genel anlamda zararlı yazılımlar ve özellikle de fidye yazılımları açısından tehlikeli bir trende işaret ediyor olabilir.

Fortinet tarafından yaptırılan yeni bir araştırma, EMEA bölgesinde 250’den fazla çalışanı olan kurumlardaki IT karar vericilerinin siber güvenlik stratejilerini ortaya koydu: • Katılımcıların yüzde 48’i, giderek çoğalan güvenlik ihlallerine verilecek en iyi karşılığın, tehdit döngüsünün tamamında koruma sağlayan yeni siber güvenlik stratejilerine yatırım yapmak olduğunu düşünüyor. • IT yöneticilerinin en büyük iki kaygısı bulut güvenliği ve IT sistemlerindeki zaaflara karşı korunma: Bulut güvenliği: Bölgedeki katılımcıların yüzde 53’ü ve İspanya’dakilerin yüzde 61’i- en yüksek EMEA’da. IT sistemlerindeki zaaflara karşı korunma: Bölgedeki katılımcıların yüzde 53’ü ve İtalya’dakilerin yüzde 59’u. • Ancak, çoğu kişi giderek artan güvenlik ihlallerinin, ayrıca yönetilen bir güvenlik hizmet sağlayıcısından dışkaynak hizmeti alınmasına katkı yaptığını düşünüyor. Araştırma, üç veya beş yıl içinde, EMEA kurumlarının yüzde 44’ünün siber güvenlik önceliklerini dışkaynak hizmeti ile karşılayabileceğini ortaya çıkardı. Siber güvenliğin dışkaynak hizmetiyle karşılanacağı öngörüsünün en yüksek olduğu ülke Almanya (tüm kurumların yüzde 14’ü bu değişimi yapacak), bu konuda en yavaş olanı (yüzde 4) ise İspanya. Fortinet Global Satış ve Destek’ten sorumlu Başkan Yardımcı ve Kıdemli Yönetim Kurlu Üyesi Patrice Perche konuyu şöyle özetliyor: “Yaptığımız bağımsız araştırma EMEA bölgesinde her sektörden kurumsal ölçekteki işletmelerin acil ihtiyaç duyduğu konuların altını çiziyor. İşletmeler, sınırsız ağları için bütüncül ve uyarlanabilir siber güvenlik mimarilerine yatırım yaparak güvenlik ihlallerine daha hızlı ve etkin bir şekilde karşılık verme ihtiyacı duyuyorlar. Fortinet, sorunsuz ve kapsamlı güvenlik yapısıyla bu konudaki güvenliği tavizsiz bir şekilde tedarik edecek benzersiz bir yapıya sahip.”

Bulgular güvenlik yapısı ve aksiyon alınabilir tehdit istihbaratı ihtiyacını doğruluyor

Araştırmada siber saldırılardan etkilenenlerin ne tip karşılıklar verdiği incelendi; böylece mevcut güvenlik altyapılarının, giderek dijitalleşen dünyamızın gerçeklikleriyle nasıl başa çıktığı gösterilmek istendi. Tüm EMEA bölgesinin yarısında (yüzde 52) araştırmaya katılan ve geçen yıl karşılaşılan güvenlik ihlallerini bildiren BT karar vericilerinin yalnızca yüzde 16’sı ihlalin gerçekleştiğini birkaç dakika içinde fark etmiş. Yakın zamanlarda saldırı deneyimi yaşayan İspanya’daki katılımcılar da bu tepki eşiğinin yalnızca 11’ine karşılık verilebilmiş. Sağlık hizmetleri gibi bazı sektörlerde katılımcıların yüzde 50’sinin ihlali saptamaları günler, aylar hatta yıllar almış. Tehditleri hızlı ve etkin bir şekilde saptama ve karşılık verme konusundaki bu sorunlar, saldırıya uğrayan şirketin yüksek bir bedel ödemelerine yol açıyor: hassas veriler kaybediliyor, sistemler bozuluyor ve marka itibarı sarsılıyor. Araştırmaya göre bu saldırıları en aza indirmek ve kurumlarını daha iyi koruyabilmek isteyen işletmelerdeki BT yöneticilerinin aldıkları ilk önlem tehdit saptama teknolojileri kullanmak (yüzde 17) ve bulut tabanlı siber güvenlik hizmetlerinden yararlanmak (yüzde 12). Bu yetenekler, aksiyon alınabilir tehdit istihbaratının sağlanması ile daha da güçlü kılınıyor. EMEA’daki katılımcılara göre ‘saldırıların önlenmesindeki iyileşmeler’ tehdit istihbaratının sağladığı en büyük değer (yüzde 43). Bunu yüzde 38 ile ‘bilgi güvenliği stratejisindeki gelişmeler’ ve yüzde 35 ile ‘ihlal saptama konusundaki iyileşmeler’ takip ediyor. Yeni tehdit istihbaratı yeteneklerinin nasıl ve nerelerde uygulanacağı konusunda ise katılımcıların yüzde 35’i, tüm güvenlik aktivitelerini yerinde denetleyen kendi tehdit araştırma/olay tepki ekiplerinin olduğunu söylüyor; ancak bunun oranı Almanya’daki yüzde 42 iken İtalya’da sadece yüzde 26. Bu arada, katılımcıların yüzde 26’sı, siber tehdit istihbaratını dışkaynak hizmeti olarak alınabileceğini söylüyor; bu katılımcıların yüzde 22’si İspanya’da, yüzde 31’i İngiltere’de olmak üzere tehdit istihbaratını dışkaynak hizmeti olarak alıyor. Fortinet Bölge Direktörü Derya Aksoy “BT karar vericileri, doğal olarak, her yönden gelen tehditlerle mücadele debilmek için daha fazla kaynağa ihtiyaç duyuyorlar fakat aranan cevaplar mevcut çözümleri değiştirip yerine başka şeyler koyma ve daha fazla harcama yapmak anlamına gelmiyor. Fortinet’in açık ve uyarlanabilir güvenlik yapısı, işletmelerin saldırı altındaki bölgedeki istihbaratı paylaşan güvenlik yetenekleri ile uçtan uca koruma sağlanabileceğini gösteriyor. İşletmeler kendi siber güvenlik altyapılarının kontrolünü kurum içinde yürütse de, giderek daha da büyüyen küresel topluluğumuzdan bir dışkaynak hizmeti alıyor olsa da, aynı yetenek ve performansı gösterme konusunda benzersiz özelliklere sahibiz” diyor.

Google geçtiğimiz Mayıs ayında Allo adını verdiği bir mesajlaşma uygulamasını duyurmuştu. Allo, neredeyse tamamen Whatsapp gibi çalışıyor. Kullanıcılar birbirlerine mesaj gönderebiliyor, grup kurabiliyor, dosya, lokasyon, video, fotoğraf paylaşabiliyor. Google Allo’nun kendini farklılaştırdığı nokta ise, mesajlaşma uygulamasının içine aynı zamanda bir yapay zekalı akıllı asistan koymuş olması. Bu yapay zeka, konuşmaları takip ederek, örneğin bir buluşma ayarlanmaya çalışılıyorsa mekan tavsiyelerinde bulunuyor. Önemli bir toplantı organize ediliyorsa bunu takvime kaydediyor. Arkadaşlarla buluşmadan önce o lokasyonuna hava durumu tahminini bulup gösteriyor. Google, Allo uygulamasını geçtiğimiz günlerde tüm kullanıcılara açtı. Uygulama ortaya çıkmadan önce Google, uçtan uca şifreleme, mesajları cihaza ilettikten sonra sunuculardan silme, kimlik saklama gibi özellikler olacağını duyurmuştu. Ancak kullanıcılara sunulan uygulamada bu özellikler yok, en azından varsayılan olarak. Allo uygulama ayarlarında yukarıda saydığımız tüm bu özellikle kapalı olarak geliyor. Yani mesajlar şifrelenmiyor, sunuculardan silinmiyor, kullanıcı kimliği herkes tarafından görülebiliyor. Bu durumu kamu oyuna duyuran isim ise, daha önce NSA skandalından tanıdığımız Edward Snowden oldu. Allo’nun uygulama ayarlarından tüm bu özellikle aktif hale getirilebiliyor ancak Google’ın takındığı bu şüpheli durum sebebiyle bu ayarların gerçekten bir işe yarayıp yaramadıkları meçhul. Google yaptığı açıklamada, mahremiyet ayarlarının kapalı olarak gelmesinin sebebini, “yapay zekalı akıllı asistan özelliğini daha da geliştirmek” olarak açıklıyor. Öğrenebilen yapay zekalı sistemler çok miktarda veri analizine ihtiyaç duyuyorlar ve ellerinin altında ne kadar çok veri varsa o kadar hızlı ve doğru öğreniyorlar. Google, kullanıcıların mesajlarını şifrelemeden sunucularında kalıcı olarak tutarak, yapay zekalı asistanın öğrenme sürecini hızlandırmak ve iyileştirmek istemiş. Ancak arkadaşlar ile kahve içmeye gidilecek yerin hava durumunu öğrenmek için bütün kullanıcı mahremiyetinden vazgeçmek pek akıl karı değil. Mesajlar ve içerikleri şifrelenmediği için, aynı zamanda devlet ve istihbarat birimlerine de açık hale geliyor. NSA çalışanı olduğu için bu işlerdeki tecrübesi tartışılmaz olan Snowden, tam da bu noktaya parmak basıyor. Snowden’e göre kullanıcıların yazacaklarını önceden tahmin eden, öğrenen bir yapay zekalı sistem ile Google’ın kişisel veri toplayabilmesi de mümkün. Bu verilerin ise başka şirketlere ve devlet kurumlarına satılmamasının veya verilmemesinin ise hiçbir garantisi yok. Edward Snowden’e göre Allo’nun bu kötü huylarından kurtulmanın yegane çözümü ise uygulamayı hemen silip bir daha kullanmamak.

Yahoo, büyük bir hack girişimi sonrasında 500 milyon kullanıcısının verilerinin çalındığını duyurdu. Eğer 2014 yılında siz de Yahoo kullanıyorduysanız derhal hesabınızdaki tüm bilgileri, şifreyi ve bunlarla bağlantılı olabilecek diğer hesaplarınızı değiştirmenizi öneririz. Haziran ayında Yahoo, potansiyel bir güvenlik ihlalini incelediğini, 200 milyon kullanıcının verilerinin çalındığını ve bunların online olarak satıldığını tahmin ettiklerini açıklamıştı. Son gelen açıklama ise durumun sanılandan çok daha kötü olduğunu ortaya çıkarttı. Verilerin satıldığı doğrulandı. Ayrıca çalınan kullanıcı hesaplarının 200 milyon değil, 500 milyon olduğu ortaya çıktı. 2016 yılı Şubat ayında Yahoo, uygulama geliştiricileri için yaptığı bir konferansta aylık aktif kullanıcı sayısının 1 milyar olduğunu söylemişti. Nisan ayındaki bir raporunda ise Yahoo e-posta servislerini aktif olarak kullanan 280 milyon kullanıcının varlığından söz edilmişti. Bu rakamlar ile karşılaştırınca, hack girişimi sonrasında Yahoo’nun kullanıcını tabanının çok büyük bölümünün çalındığını ve satışa çıkartıldığını anlayabiliyoruz. Yahoo doğal olarak resmi bir açıklama yapma gereği. Yahoo’ya göre bu hack girişimi, devlet destekliydi. Yapılan açıklamada çalınan veriler arasında kullanıcılara ait e-posta adresleri, telefon numaraları, doğum tarihleri, şifreler, güvenlik soruları ve cevapları olabileceği belirtildi. Çalınmayan şeyler arasında ise banka hesap bilgileri ve kredi kartı bilgileri var. Bu bilgiler, hack girişimi yapıldığı sırada tamamen ayrı bir sunucuda ve şifreli olarak tutuluyordu. Bu sebeple hacker veya hackerlar bu bilgilere erişemediler. Yahoo’nun yaptığı açıklama içerisinde yer alan bilgilerin ise en ilginç olanı, inceleme sonrası varılan sonuçların bu hack girişiminin yabancı bir devlet tarafından destekli olduğuna dair bazı emareler içermesi. Hack girişiminin ayrıca tamamen Yahoo ağından bağımsız bir kaynak tarafından yapıldığı da ortaya çıkartıldı. 500 milyon kişinin neredeyse tüm online varlıklarının verilerinin çalınması olayının ortaya çıkış tarihi Yahoo için ayrıca şanssızlık oldu. Verizon tarafından 4,8 milyar dolara satın alınmanın hemen arifesinde ortaya çıkan bu haberin, satın alınmayı etkileyeceğini tüm uzmanlar ağız birliği etmişçesine söylüyor. Verizon ise temkinli konuşuyor ama açıklamalarından durumu değerlendirip mutlaka bir eylem planı hazırlayacakları anlaşılıyor. Verizon, böyle bir güvenlik ihlalinden 2 gün önce haberlerinin olduğunu ve olay hakkında basında çıkan yansımalar kadar bilgileri olduklarını açıklıyor. Yahoo’nun aktif olarak olayı soruşturduğu ve güvenlik açığı ile bunun sonuçlarının ne olacağını görmeden yorum yapmak istemediklerini, ancak bundan sonra durumu değerlendireceklerini söylüyor. Uzmanlar bu güvenlik ihlalinin internet tarihindeki en büyük hack vakası olduğunu söylüyorlar. Hem veri niteliği hem de niceliği açısından bu boyutlarda bir ihlal durumuna yaklaşabilen başka bir vaka yok. Yahoo hisseleri 45,40 dolardan bir anda 42,0 dolara düştü ve bu yazıyı hazırladığımız zaman hala düşüş trendindeydi. Şirket bir gün içerisinde yüzde 7,5 küçüldü. Bu olay esnasında Yahoo Bilişim Güvenliği Şefi olan Alex Stamos’un şu anda Facebook’un CSO’su (Chief Security Officer – Güvenlik Başkanı) olduğunu da hatırlatalım.

Son yıllarda Türkiye’de çok fazla siber saldırı yaşandığına dikkat çeken Clonera Bilişim Hizmetleri A.Ş. Yönetim Kurulu Başkanı Evren Ballı şu açıklamaları yaptı: “Geçtiğimiz günlerde hastane ve devlet kurumları başta olmak üzere yaşanan siber saldırılar sonrasında, birçok kurum iş kayıplarına uğradı. İnsanların özel bilgilerinin ele geçirilmesinin yanı sıra, sistemlerin durması ve iş sürekliliğinin sağlanamaması herkesi mağdur etti. Artık terör örgütlerinin bile siber saldırılar yoluyla devletlere zarar vermesi, felaket kurtarma ve iş sürekliliğine yatırım yapılmasını zorunlu kılıyor. Dijitalleşmenin de gün geçtikçe arttığını düşünürsek, iş sürekliliğinin sağlanması ve herhangi bir kesinti durumunda sistemlerin anında ulaşabilir olması, özel işletmelerin ve kamu kuruluşlarının faaliyetlerinin vazgeçilmez bir parçası haline gelmek zorunda” dedi. Son 5 yılda dünyadaki her 3 şirketten birinin dijital felaketle karşı karşıya kaldığına, bunların da %93’ünün 5 yıl içinde yok olduğuna dikkat çeken Ballı, “Aslında ortaya çıkan maddi kayıplar, şirketlerdeki çalışamama ve iş kesintisi süreleri de eklendiğinde, çok daha büyük rakamlara ulaşıyor. Bu tür yasa dışı eylemlerin karşısında, Türkiye’deki şirketlerin felaket kurtarma ve iş sürekliliği yatırımına gitmeleri kaçınılmaz oluyor” dedi. Ballı sözlerine şöyle devam etti; “Kurumların dijital sermayelerinin büyük bir risk altında olduğu açıkça görülüyor. Siber saldırılar ile birlikte iş sürekliliği oldukça önemli hale geldi. Biz de felaket kurtarma ve iş sürekliliğine yönelik bir ürün geliştirirken, Clonera müşterilerinin bilgi, iş, prestij, zaman ve para kaybına uğramadan işlerini sürdürebilmelerini sağlamayı hedefledik. Dijital olarak çöküntüye uğrayan şirketlerin, işlerini dakikalar içerisinde yeniden devreye alarak kesintisiz hizmet vermelerini sağlıyoruz” şeklinde konuştu.