Ransomware Türkçe olarak fidye yazılımı demektir. Adından da anlaşılacağı gibi buradaki amaç kurban bilgisayardan fidye istemektir. Kurbanın dosyaları bir malware ile şifrelenir. Şifreleme işlemi yapıldıktan sonra şifrelerin kalkması için kurbana belli bir ekran sunulur bu ekranda, bir duvar kağıdı ya da bir metin olabilir. Burada istenilen fidye miktarı ve ödeme şekli anlatılır. Bazı Ransomwarelarda bunla yetinmeyip kurban üzerinde baskı kurmak için dosya silme tehditleri yapılır.
Nasıl Çalışır?
Ransomware da amaç farklı yollar ile bir şekilde bilgisayara erişmektir. Tehdit Aktörünün erişmek için kullandığı yöntemlerinin başında phishing gelir. Phishingte temel olarak bir sosyal mühendislik vardır. Sosyal mühendislik ne kadar iyi yapılırsa kişi phishing olarak atılmış emaile o kadar çabuk inanır ve yollanan email içindeki linke tıklaması ya da dosyayı indirmesi o kadar kolay olur. İndirilen dosya belli yetkilendirmeler ister bunların verilmesi ile beraber dosyalar şifrelenmeye başlanır. Sadece bir dosya indirmek yada linke tıklamak değil güncel olmayan bir yazılımın zafiyetli sürümünü kullanırsanız burada da ransomware saldırısına karşı savunmasız hale gelmiş olursunuz. Bir başka yöntemde USB ile yayılabilirdir. Bu yöntemi engellemek için bilgisayarınıza takacağınız usb cihazlarına virüs taraması yapmanız ve güvenmediğiniz usb belleklerini bilgisayarınıza takmamanızda fayda vardır.
Kimleri Hedefler?
Hedeflediği gruplar genellikle finans sektörü, sağlık hizmetleri, devlet, eğitim ve küçük işletmelerdir. Fidye ödeme ihtimali yüksek olan kurumlara saldırırlar. Tabi bu herhangi bir bilgisayar kullanıcısının de ransomeware’a maruz kalmayacağı anlamına gelmez. Özellikle bilgisayar sızdıktan sonra kişinin gezdiği yaptığı eylemlere göre kendilerini devlet çalışanı olarak gösterip fidyeyi para cezası olarak nitelendirebilirler.
Bir Kaç Ransomware Örneği
Jigsaw
AES algoritması kullanılır. Şifreleme sırasında genel ve özel anahtar oluşturulur. Bu ransomware’daki ayırt edici özellik kurbana baskı uygulayarak dosyaları silme ile tehdit etmesidir. Kurbanın bilgisayarına virüs bulaştığı zaman bir geri sayım sayacı da saymaya başlar. Fidye ödenmemesi durumunda ise saat belli periyotlarda yavaş yavaş dosyalar silinmeye başlanır. Eğer bilgisayar yeniden başlatılırsa 1000 dosya daha siler.
Jigsaw MalwareHunterTeam, DemonSlay335 ve Lawrence Abrams bu ransomware yazılımı tarafından tehlikeye atılan dosyaların şifresini çözmek için bir araç geliştirdi.
Jigsaw bilgisayar dosyalarını şifrelerse gelecek ekran.
TeslaCyrpt
AES algoritması ile şifrelenmiştir. Şifrelenmiş dosyalar .ecc uzantısı kullanır. Bu ransomware’ın hedefi gamerlar. Hedef dosya türüyse tabi ki oyun dosyalarıdır fakat ilerleyen zamanlarda bu dosya türleri jpeg, word, pdf vb. olarak artmaktadır. 268mb dan büyük boyuttaki dosyaları şifreleyemez. Yayılması için ise yukarıda belirttiğim phishing, malvertising gibi yollar kullanılır. Ödeme işlemi için tor da bulunan bir web sitesine yönlendirilirsiniz.
TeslaCyrpt bilgisayar dosyalarını şifrelerse gelecek ekran.
Locky
İçlerinde en yaygın ve tehlikeli saldırı olarak geçmektedir. Bulaşma yolları gene aynı yöntemlerdir burada genel olarak izlenen yol bir word dosyası indirilmesi istenir. Bu dosya genelde gelen Emailde bir fatura olduğunu iddia ederek indirilmesi cazip hale getirilir. İndirilen Word’ün net gösterilebilmesi için macros etkinleştirilmesi istenir. Bu işlem onaylanır onaylanmaz dosyalar kilitlenir ve uzantıları aesir, .odin, .osiris, .thor ve .locky gibi olur. Ardından diğer ransomware’larda olduğu gibi tor tarayıcısı kurulması ve anahtar için bitcoin talep eder. Bu saldırı hakkında araştırmamı yaparken denk geldiğim ve çoğu yazılarda örnek verilen şey Los angles taki bir hastanenin dosyalarını şifreleyip onlardan 17.000$ almasıdır. Hastaneyi kandırmak için bir email yollanmış ve bu email içine bir word dosyası eklenmiş bu dosyanın fatura olduğunu iddia ederek indirmeyi cazip hale getirmişlerdir. Hastaneni bir bilgisayarının bu dosyayı indirmesi ve macros izin vermesi ile tüm ağda ki dosyalar şifrelenmiştir. ACİL’e gelen hastaların kaydı yapılamamış hasta tedavileri aksamıştır. Locky’nin bir çok türü vardır.
Locky bilgisayar dosyalarını şifrelerse gelecek ekran.
Korunma Yolları
- Şüpheli dosya eklerinin indirilmemesi ilk korunma yöntemidir.
- Dosyalarımızı belli periyotlarda yedeklemeliyiz. Özellikle önemli dosyalarımızı hemen yedeklemeliyiz. Yedeklemeyi harici bir depo alanına yapın ve sonra bağlantıyı kesin çünkü Locky de bağlı olduğu tüm ağa yayılabilir.
- Phishing saldıranlarına karşı bilinçlenin. Bilmediğiniz tanımadığınız kişilerden gelen ekleri indirmek yada linklere tıklamak gibi hatalardan kaçının.
- Güvenilir bir siber güvenlik çözümü kullanabilirsiniz.
- Yazılımlarınızı güncel tutun. Yamalar ve güncellemeler çıkar çıkmaz yükleyin.
- MS Office programlarında makroları devre dışı bırakın.
Bir önceki yazımı okumak ister misiniz? https://margheritaviola.com/2020/12/28/siber-yildiz-ctf-2020-writeup/
Hello, I am Aleyna Doğan. I work as a Sr. Cyber Threat Intelligence Analyst. In my blog, we write blog posts that my friends and I want to share. Have a good read.
[…] önceki yazımız Ransomware için […]
[…] Our previous post admin […]