Ransomware Nedir? Nasıl Çalışır, Türleri ve Korunma Yolları
Ransomware, kurbanın dosyalarını şifreleyen ve sistem erişimini engelleyen kötü amaçlı yazılımdır. Saldırganlar fidye ödemesi karşılığında şifre çözme anahtarını vermeyi taahhüt ederler. Kurum ve bireyler için ciddi veri kaybı ve finansal kayıp riski taşır.
Ransomware, kurbanın dosyalarını şifreleyen ve sistem işlevlerini devre dışı bırakan kötü amaçlı yazılım türüdür. Saldırganlar, fidye (ransom) ödemesi karşılığında dosyaları geri vereceklerini söyleyerek para talep ederler. İlk örnekleri 1989'da görülmüş olsa da, 2010'lardan itibaren kurumlara karşı yüksek oranlı saldırıların ana aracı haline gelmiştir. Hastaneler, hükümet kurumları, finans şirketleri ve üretim tesisleri sık hedef alınmaktadır.
Ransomware Nasıl Çalışır?
Ransomware saldırısı genellikle dört aşamada gerçekleşir:
- Enfekte Dosyası Gönderimi: Saldırgan, e-posta eki, kötü amaçlı web sitesi veya yazılım indirmesi aracılığıyla ransomware kodunu hedefe ulaştırır.
- Yürütme ve Etkinleştirme: Kullanıcı enfekte dosyayı açtığında, ransomware arka planda çalışmaya başlar ve sistem içine ilerler.
- Dosya Şifreleme: Kötü amaçlı yazılım, RSA, AES gibi güçlü şifreleme algoritmaları kullanarak belgeleri, görselleri, veritabanlarını kilitler.
- Fidye Notu: Şifreleme tamamlandığında ekrana fidye talep mesajı görünür. Saldırganlar belirlenen Bitcoin adresine para transferi talimatı verirler.
Şifreleme tamamlandıktan sonra, dosyaları açmak için yalnızca saldırganın elindeki gizli anahtar gerekir. Bu anahtar genellikle saldırganın sunucusunda saklanır ve ödeme yapılmadığı sürece asla verilmez.
Ransomware Türleri
| Ransomware Türü | Açıklama | Örnek |
|---|---|---|
| Crypto Ransomware | Dosyaları şifreleyen en yaygın tür. Verilere erişim tamamen engellenir. | WannaCry, Petya, NotPetya |
| Locker Ransomware | Bilgisayarın kendisini kilitler. Dosya şifreleme yerine sisteme erişim engellenir. | Police Ransomware, FBI Ransomware |
| Scareware | Sahte virüs uyarısı göstererek kullanıcıyı parasını harcamaya zorlayan yazılım. | Win Antivirus, Winlock |
| Doxware (Data Exfiltration Ransomware) | Verileri şifrelemanın yanı sıra çalıp, açıklanmakla tehdit ederek ek baskı yapar. | Maze, Egregor, Conti |
| RaaS (Ransomware-as-a-Service) | Ücret karşılığında saldırganların ransomware yazılımını kiralayıp saldırı gerçekleştirmesi. | REVil, DarkSide |
Ransomware Saldırısında Yayılış Yolları
- Spam E-posta: Kötü niyetli bağlantı veya makro içeren dosyaları taşıyan sahte e-postalar.
- Açık Yazılım Açıkları: Web sunucusu, VPN, RDP gibi uygulamalardaki güvenlik boşluklarından sızma.
- Sosyal Mühendislik: Banka, kargo şirketi adı taşıyan kimlik avı (phishing) e-postaları.
- Kötü Amaçlı Reklamlar (Malvertising): Tanınmış sitelerde gösterilip kötü amaçlı sayfaya yönlendiren çok güvenilir görünen reklamlar.
- Zayıf Parolalar: Admin paneline erişim sağlayan RDP, SSH oturumlarında bilinen veya basit parolalar.
- USB Cihazlar: Enfekte harici diskler ve flash bellekler aracılığıyla manuel yayılış.
Ünlü Ransomware Saldırıları
"WannaCry (2017), yaklaşık 150 ülkede 200.000'den fazla bilgisayarı enfekte ederek milyar dolarlık hasara neden oldu. Sağlık sistemleri, banka ve kamu kuruluşları saatler boyunca çalışamadı."
Diğer önemli saldırılar:
- Petya/NotPetya (2016-2017): Ukrayna'da başlamış, küresel enerji ve ulaştırma şirketlerini etkilemiştir.
- Ryuk (2018-2020): Hastaneler, okul bölgeleri ve belediye yönetimlerini hedef almıştır.
- REvil/Sodinokibi (2019-2021): Apple'ın tedarikçi Quanta Computer'ı hedef alıp 50 milyon dolar fidye talep etmiştir.
- LockBit 3.0 (2023): Süregelen en tehlikeli RaaS platformu, havacılık ve finans sektörünü aktif olarak hedef almaktadır.
Korunma Yolları
- Düzenli Yedekleme: Başka bir cihazda ve ofline olarak veri yedeklemesi yapın. Şifreli verileri kurtarmanın en güvenilir yolu budur.
- Yazılım Güncellemeleri: İşletim sistemi, tarayıcı, Office gibi uygulamaları zamanında güncelleyin. Açıklar kısa sürede kapatılır.
- Güçlü Parolalar: Admin hesaplarında en az 16 karakter, sayı, sembol içeren karmaşık parolalar kullanın.
- İki Faktörlü Kimlik Doğrulama: Önemli hesaplarda 2FA/MFA etkinleştirin.
- E-posta Filtreleme: Kurumsal düzeyde gelişmiş spam ve malware filtreleri kurun.
- Güvenlik Yazılımı: Güncel antivirus, EDR (Endpoint Detection and Response) çözümleri kullanın.
- Erişim Sınırlandırması: Kullanıcılara sadece ihtiyaçları kadar izin verin (Least Privilege Principle).
- Ağ Bölümleme: Kritik sistemleri ayrı ağlara ayırarak saldırının yayılmasını engelle.
- Konu Bilinci Eğitimi: Çalışanları şüpheli bağlantı, ek ve mesajlar hakkında eğitin.
Fidye Ödenmesi Gerekir mi?
FBI ve uluslararası siber güvenlik uzmanları, fidye ödenmesini şiddetle tavsiye etmemektedir. Nedenleri:
- Ödeme yapıldıktan sonra saldırganlar şifre çözmeme anahtarı vermeyebilir.
- Para transferi saldırganları daha fazla saldırı yapmaya teşvik eder.
- ABD ve Avrupa'da fidye ödemesi hukuki sonuçlar doğurabilir (yaptırımlı ülkelere transfer gibi).
- Ödenilen para suç örgütlerine ve terör finansmanına gider.
Bunun yerine yetkili makamları bilgilendir, saldırıyı dokümante et ve güvenlik eksperleri ile çalış.
Ransomware ve Hukuk
Birçok ülke ransomware saldırılarını ciddi suçlar olarak tanımlamaktadır. Türkiye'de TCK (Türk Ceza Kanunu) Madde 205, 206 ve 207 kapsamında bilgisayar sistemlerine kasten zarar veren kişiler 5 yıldan 15 yıla kadar hapis cezasıyla cezalandırılabilir. Kurumlar da veri ihlali ve işletme kesintisinden dolayı KVKK (Kişisel Verilerin Korunması Kanunu) kapsamında ceza alabilir.