30 Mart 2015

Trend Tehdit: Fidye Yazılımları / Ransomware

Adını neredeyse her mecrada duymaya başladığımız yeni bir kavram "Ransomware". Bu kısa makalede Ransomware kavramını ve hayatımıza etkilerini ve alabileceğimiz önlemlere değinmek istedik.

Ransomware nedir?
Bu kavram kısa ve en temel anlamı ile "Fidye isteyen yazılım" olarak özetlenebilir. En çok adını duyduğumuz ransomware "cryptolocker". Ancak bir çok benzeri de var. Torrentlocker, bitlocker, TeslaCrypt, PGPLocker pek populer olmayan Crytolocker benzerleri. Ayrıca yerel olarak geliştirilmiş benzerleri de var, örneğin Avustralya'da trafik kameralarından ceza kesildiğine dair e-posta gönderen benzeri, ülkemizde sıkça karşılaştığımız TTnet, ardından Turkcell ve son olarak da PTT kargo 'dan geldiğini iddaa eden cryptolocker benzerleri mevcut.

Tarihçe;
Esasında 90'larda var olan ancak çok populer olmayan bu saldırı metodu, Internet hızlarının artması ve Internet'te dönen bilginin nitelikli (para eden) bilgi olması ile gittikçe populer hale geldi ve son geldiği noktada "Ransomware" yani fidye yazılımları ortaya çıktı. Ransomware'lerin daha adı belli olmadığı yıllarda bu saldırıyı "manuel" yani direkt olarak saldırganın bizzat kendi gerçekleştirdiği çok sayıda ihbar ile karşılaşmıştık. Bu ihbarlar genellikle mevcut bir yazılım ya da işletim sistemi zafiyeti ile  sunucu ya da istemciye sızan saldırgan bulduğu tüm dosyaları (sql sunucu, MS office ya da benzeri) Truecrypt ya da benzeri kriptolama uygulamaları ile şifreler ve kurbandan para isterdi. Bu saldırı genellikle kurbanın ödediği para karşılığında aldığı şifre ile sonuçlanırdı. Ancak çoğu zaman saldırgan ile iletişime geçilemediği, buna rağmen bırakılan mesajda istenen bedelin yatırılmasına rağmen şifrelenen dosyalara hiç bir zaman ulaşılamadığı senaryolar da oldukça sık rastladık.

Nasıl Çalışır?
Bu makalemiz teknik bir inceleme değil ancak ransomware'ler nasıl çalışır biraz değinmemiz iyi olacak.


Çoğu tehdit türünde olduğu gibi Ransomware'ler de mail yolu ile kullanıcıları tuzağa düşürmeye çalışıyor. Ancak belirtmek gerekir ki gördüğümüz en başarılı mail içeriklerinden birine sahip. Bırakın son kullanıcıları, çoğu IT profesyonelleri bile bu maili açıp, tuzağa düşebiliyor. Aşağıdaki ekran görüntüsünde tarafımıza ulaşmış bir ransomware (cryptolocker) saldırısını görebilirsiniz.




Çok net olarak göreceğiniz gibi, daha önce geliştirilmiş benzeri tehditlerden farklı olarak son derece düzgün Türkçe kullanılarak hazırlanmış. Ayrıca e-posta'nın ulaştığı tarih ile içerikte geçen tarihin uyuşması, resmi duruşu ile son derece başarılı bir oltalama saldırısı.

Ransomware'ler her versiyonunda farklı bir şekilde zararlı dosyayı kullanıcıya bilgisayarına yüklemeye zorlar. Yukarıdaki örnekte adres değişikliği formu doldurtarak zararlı yazılımı çalıştırmaya zorlamakta. Elbette adres değişikliği formu bir .zip dosyası ve bu dosya içerisinde bir .exe barındırıyor. 

Bu exe çalıştırıldığında rastgele üretilmiş bir URL'ye bağlanarak (Command and control server) RSA Public Key'i download eder. Bu key ile her bir dosyayı encrypt edeceği AES256 key'i üretir ve her dosyayı bu key ile şifreler. Elbette bu key her bilgisayar için farklı üretilir. Böylelikle para transferi edilerek alınan bir şifre her kurbanda kullanılamaz. Bu esnada bilgisayarınızdaki tüm dosyaların şifrelendiği ve ödeme yapılmadığı taktirde açılamayacağı da Windows arka planınızı değiştirerek bildirir. Ödeyi yapmak için 72 saat süreniz bulunuyor. Bu süre içerisinde ödemeyi gerçekleştirmezseniz ödemeniz gereken fiyat artıyor.

Hangi dosyalarım tehlikede?
Bilgi çok kullanılan ve içerisinde şahsi ya da kurumsal bilgileriniz olma ihtimali en yüksek olan uzantılar; " .odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, *.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c  " uzantılı dosyalar cryptolocker tarafından şifreleniyor. Bu dosya sayıları her versiyonda azabilir, ya da artabilir.

Kurban olursam ne yapacağım?
Eğer bu saldırı ile karşılaştıysanız ve artık kurban statüsünde iseniz iki seçiminiz var,
a- Parayı öder, şifreyi alır, hayatınıza devam edebilirsiniz.
b- Veri kaybını göze alır, bilgisayarınızı formatlayıp hayatınıza devam edebilirsiniz.

Hemen belirtelim, şifrelenen bu dosyaları decrypt etmek (şifrelerini açmak) matematiksel olarak mümkün olsa da, yüzyıllar boyu sürebileceğinden, pratikte mümkün değildir.

Peki ödeme yapıp, bizden para isteyenleri tuzağa düşürsek? Maalesef bu da pek mümkün değil. Ransomware'lere yapacağınız ödemeler bitcoin ile gerçekleşmekte bu ödemeyi takip etmemiz imkansız hale gelmektedir. Cryptolocker'in ilk versiyonlarında kullandığı şifreleme algoritmasının zafiyeti nedeni ile dosyalara ulaşılabiliyordu. Hatta bazı güvenlik firmaları ücretsiz olarak decrypt hizmeti de veriyordu. Ancak cryptolocker'in bugün geldiği durumda bu söz konusu değil. Dosyalarınızı açmak için size yardımcı olup para talep eden kişilere itibar etmemenizde fayda var.

Ransomware'lerden nasıl korunabilirim?
Ransomware'lerden korunmak için %100 güvenli bir teknik yol maalesef bulunmuyor. Her tehdit türünde olduğu gibi, ransomware'lerde de farkındalık ve bilinçlilik en önemli silah. Ancak sık sık alınan backuplar ransomware saldırılarında neredeyse sıfır zarar görülmesini sağlayabiliyor. Günlük olarak çalışan bir yedekleme prosedürünüz varsa dosyalarınızın şifrelenmesini önemsemezsiniz. Ancak Gdrive, Dropbox gibi işletim sisteminize mount edilmiş bulut tabanlı çözümlerin de ransomware'ler tarafından istismar edilebildiğini unutmayalım.

Bireysel Önlemler
Eğer lisanslı bir antivirus yazılımınız varsa bunu sık sık güncellemeyi ihmal etmeyin. Zero day olarak (Yani ilk çıktıkları gün) yakalanmasalar da, her yeni çıkan ransomware zararlı yazılımını antivirusler bir süre sonra yakalayabilir. Bireysel önlemlerin en önemlisi farkındalık. PTT'nin asla e-posta yolu ile bildirim yapmadığını, TTnet faturası içeren bir e-posta alırsanız  dikkatli davranmak tamamen bireyin alması gereken bir önlem.

Kurumsal Önlemler
Kurumsal tarafta işler biraz daha ciddi ve karışık.
Firewall'larda bulunan web filtreleme sistemleri ise maalesef yetersiz kalıyor. Indirilen .exe dosyanın erişmek istediği URL'yi (Command and control center) bloklamak teoride bir çözüm gibi duruyor ancak firewall'lar bir kaç gün, bazen bir kaç haftada bu siteleri öğrenebiliyor. Dolayısı ile bir kaç günde verebileceği tüm zararı verebilen bu zararlılar için firewall ve web filtreler kesinlikle bir çözüm olamıyor. 

Hayli pahalı olan yabancı ürünlere ülkemizde maalesef çok sınırlı sayıda büyük çaplı firma sahip olabiliyor. Bu ürünlerinde de %100 başarılı olma garantisi asla yok.

Her tehditin olduğu gibi ransomware'lerin de bir geçerlilik süresi olacaktır elbette, ancak bu süre boyunca onları tanımalı, önlem almalı, gerek son kullanıcı, gerekse kurumsal tarafta bu zararlıların nasıl çalıştığını bilmeli ve durdurmak için yeni teknolojiler geliştirmeliyiz. 

ISR Bilgi Güvenliği olarak ransomware ve benzeri tehditler konusunda ülkemizde ve dünyadaki eksiği uzun süredir farkındayız ve bu konularda Tübitak - Martek bünyesinde ar-ge çalışmalarımızı tüm hızıyla sürdürüyoruz. Nihayet bu çalışmaların meyveleri oluşmaya başladı. Lansmanını kısa süre içerisinde gerçekleştireceğimiz ürünümüz, statik imza kullanan teknolojilerden (UTM, Firewall, IDS, IPS) oldukça farklı bir teknolojiye sahip olan, bu saldırıları henüz zero-day halinde tespit edip durdurmaya odaklanmış bir ürün. Pilot çalışmalarında beklentilerimiz üzerinde başarılı olan "ürünümüzün" çok kısa sürede ülkemizden yurtdışına ihraç edilen bir teknoloji olacağından endişemiz yok.

Ürünümüz ile ilgili tüm gelişmeleri www.isr.com.tr adresinden takip edebilirsiniz.

Popüler Yayınlar