Bu çalışmada Ransomware yazılımlarının anlaşılması kapsamında genel olarak; zararlı yazılımlar, bilgisayar virüsleri gibi konular ele alınmıştır. Ransomware ve Trojanlar arasındaki ilişkinin nasıl bir yapıya sahip olduğu, bu etkileşimin bulaşma yollarındaki etkileri gibi hususlara değinilmiştir.
Fidye yazılım saldırıları sonucunda pazarlıkların kaçınılmaz olması ve bu pazarlıkların safhaları, genel saldırgan tavırları, pazarlıklar sırasında uygulanabilecek bazı ip uçları gibi konulardan da bahsedilmiştir.
Bu çalışma, Ransomware kavramı için giriş seviyesinde bir farkındalık oluşturabilir ve konu hakkında genel bir bilgi edinme konusunda başarılı olabilir.
2. 2
ÖNSÖZ
2000’li yıllar ile beraber kişisel bilgisayarların ve internetin kullanımı önemli ölçüde
artmıştır. Bu artış, kullanıcılarda bilgisayara ve internete olan merakı arttırmış, bu sanal
ortamda yeni arayışlar içerisine girmelerine sebep olmuştur. Ortaya çıkan her yeni
üründe olduğu gibi, Ransomware’in de ortaya çıkmasında bir merak ve arayış ortamı
etkili olmuştur. Ancak asıl önemli etken, insanların yazdıkları zararlı kodların ve
virüslerin bir şöhret ve tanınırlığın ötesine geçerek maddi bir kazanç sağlamasıydı.
Çünkü o dönemlerde bu tür bilgilere erişim sağlamak son derece zordu, uygulamaya
geçirmek için ise zamana ve donanıma ihtiyaç vardı. Ransomware’in gelişmesi ise yeni
bir atılım çıkararak bambaşka ihtiyaçlar doğurdu. Bu ihtiyaçlardan en bilineni Fidye
Pazarlığı kavramıdır. Fidye pazarlıkları, Ransomware saldırıları sonucunda oluşan
maddi hasarı azaltmak amaçlı yapılan müzakerelere verilen isimdir. Bu kavramın ortaya
çıkışı, gelişimi ve safhaları zaman içerisinde yine zamanın şartlarına ve saldırganların
hareketlerine uyum sağlayarak günümüzdeki haline ulaşmıştır. Yapılan bu çalışma ise,
Ransomware ve Fidye Pazarlığı kavramını geniş bir çemberde toplayarak detaylıca
ifade etmeye çalışmıştır. Bu kavramların günümüzdeki hallerinin yanı sıra; gelecekte
nasıl bir konumda olacakları ve o konuma hangi araçlarla ulaşacakları da ele alınan
konular arasında bulunmaktadır.
5. 5
KISALTMALAR
PC: Personal Computer (Kişisel Bilgisayar)
OS: Operating System (İşletim Sistemi)
SSL: Secure Socket Layer (Güvenli Giriş Katmanı)
DDOS: Distributed Denial of Service (Dağıtık Hizmet Engelleme)
DOS: Disk Operating Systems (Disk İşletim Sistemleri)
P2P: Peer to Peer (Uçtan Uca)
CD: Compact Disk (Yoğun Disk)
RaaS: Ransomware as a Service (Hizmet olarak Ransomware)
RSA: Rivest, Shamin ve Adleman. RSA’yı bulan 3 kişinin soyadlarının baş harfleri
TOR: The Onion Routing (Web’de gizli arama yapmaya yarayan bir browser)
AV: Antivirüs
IDS: Intrusion Detection Systems (Saldırı Tespit Sistemleri)
IPS: Intrusion Prevention Systems (Saldırı Önleme Sistemleri)
WAF: Web Application Firewall (WEB Uygulaması Güvenlik Duvarı)
BTC: Bitcoin
SAP: ERP Yazılımı
USD: Amerikan Doları
EDR: Endpoint Detection and Response (Uç nokta Tehdit Algılama ve Yanıt)
VBS: Visiual Basic Script
IP Adress: Internet Protocol Adress
URL: Uniform Resource Loader (Tekdüzen Kaynak Bulucu)
6. 6
ŞEKİL LİSTESİ
Şekil 1.1: Elk Cloner virüsünün ekranda gösterdiği şiir.
Şekil 1.2: Brain virüsünün ekran görüntüsü.
Şekil 1.3: BadTrans virüsünün ortaya çıkmasını içeren 27 Kasım 2001 tarihli bir
internet haberi.
Şekil 2.1. Saldırı karmaşıklığı ve yetenek gereksinimi eğrisi.
Şekil 2.2. Trojan barındırma ihtimali bulunan bir sahte pencere.
Şekil 2.3. AİDS Truva atının kullanıcı ekranında gösterdiği uyarı mesajı.
Şekil 2.4. Siber ölüm zinciri.
Şekil 2.5. Saldırı nedenlerini gösteren pasta grafiği: (www.radware.com)
Şekil 2.6. Saldırı nedenlerini gösteren çizgi grafiği.
Şekil 3.1 Fidye Pazarlığı adımlarını gösteren şema.
Şekil 3.2 En aktif Ransomware saldırı grupları.
Şekil 3.3. Bazı fidye çetelerinin pazarlık oranları ve pazarlığa başlangıç tutarlarını
gösteren bir tablo. (f-secure, 2017)
Şekil 3.4. BTC’nin 2017 senesindeki yükselişini gösteren grafik.
Şekil 3.5. Monero’nun 5 yıllık piyasa hareketliliği ve USD olarak değeri.
Şekil 4.1. Birinci anket sorusu.
Şekil 4.2. İkinci anket sorusu.
Şekil 4.3. Üçüncü anket sorusu
Şekil 4.4. Dördüncü anket sorusu
Şekil 4.5. Beşinci anket sorusu
Şekil 4.6. Altıncı anket sorusu
8. 8
1. ZARARLI YAZILIM (MALWARE)
Zararlı yazılımlar, sistem ve uygulama yazılımları gibi faydalı yazılımların aksine kişiye
özel veya bir kuruluşa ait olan sistemlere zarar vermek ve istismar etme amacı güden
yazılımlardır. Bu tür kötü yazılımlara halk arasında Bilgisayar Virüsü de denmektedir.
Ancak bilgisayar virüsleri ve zararlı yazılımlar arasında bir anlam ayrımı bulunmaktadır.
Zararlı yazılımlar dediğimiz yazılımlar bilgisayar virüslerini de kapsar, ancak bir
bilgisayar virüsünün oldukça temel iki özelliği mevcuttur. (Bülbül ve Bingöl, 2021,
sf.32).
Virüsler kendini çoğaltabilmeli.
Virüsler kendilerini çalıştırabilmeli. (Yürütebilmeli)
1.1 Virüslerin Çalışma Mantıkları
Bilgisayar virüslerinin amaçları yukarıda da belirtildiği üzere bir sisteme yerleşip,
olağanca hızla çoğalarak ve maksimum düzeyde sistemi ele geçirerek kontrol
sağlamaktır. Birçok farklı virüs türü bulunmakla birlikte, bu türlerin farklılığı saldırı
biçimlerinden, hedef aldıkları sistem dosyalarından veya yayılma biçimlerinin
farklılığından dolayı aynı şekilde isimlendirilmemiştir.
Örnek verecek olursa bir dosya virüsü ile bir ağ virüsünün amacı temel olarak aynıdır
ancak çalışma metotları ve saldırı lokasyonlarının farklı olması sebebi ile farklı
sınıflarda değerlendirilmektedirler. (Bülbül ve Bingöl, 2021, sf.32-33).
1.2 Kötü Yazılımın Tarihsel Gelişimi
1948 yılında John von Neuman1
, tarihte ilk defa kendini kopyalayabilen bilgisayar
programı fikrini ortaya atmıştır. Bu fikir günümüzde bilgisayar virüsleri ve kötü
yazılımların ortaya çıkmasında büyük bir etkiye sahiptir.
İlk Truva atı virüsü 1975 yılında John Walker tarafından geliştirilmiştir. Bahsedilen
yılda bir hayvanın adını bulma amacıyla oynanan oyunlar çok popülerdi ve bu virüs
bilgisayarlarda oynanan bu oyunlar sırasında ANIMAL adlı dosyanın yanında
PREVIDE adlı bir dosya daha gönderdi. PREVIDE oyun oynandığı esnada
bilgisayardaki tüm kullanıcı dizinlerine girerek ANIMAL’in bir kopyasını dizinlere
1
Macar-Amerikan matematikçi ve bilgisayar bilimcisi. (1903-1957)
9. 9
yerleştirdi. Bu konu hakkında bir fikir ayrımı bulunsa da çoğunluk bu vakanın ilk Truva
atı virüsü olduğunu düşünmektedir.
1982 yılında Elk Cloner adlı bir virüs geliştirildi. Bu virüs dünyanın ilk bilgisayar virüsü
olma unvanına sahiptir. 15 yaşındaki bir lise öğrencisi olan Rich Skrenta2
tarafında
geliştirilmiştir. Temel olarak bu kötücül yazılımda dosyalara zarar veren ya da istismar
eden bir uygulama bulunmamaktadır. Apple II. Sistemlerini etkileyen Elk Cloner, bir ön
yükleme virüsü olarak bilinmektedir.
Elk Cloner, bulaştığı sistemde bilgisayarın her 50. açılışında ekranda bir şiir
göstermekteydi.
Şekil 1.1: Elk Cloner virüsünün ekranda gösterdiği şiir.
2
Bilgisayar programcısı. Web arama motoru olan Blekko’yu yaratan Silikon Vadisi girişimcisidir. (1967-
günümüz.)
10. 10
İlk PC virüsü, 1986’da Pakistanlı iki kardeş tarafından geliştirilmiştir. Bu virüsü
yazmalarının amacı, kendi yazdıkları bir yazılımın korsan kopyalarını engellemekti.
Şekil 1.2: Brain virüsünün ekran görüntüsü.
1990’dan itibaren Makro virüsler 3
gelişmeye başladı. Bu virüsler, Excel ve Word
dosyalarını etkileyebilen betik dillerde hazırlanıyordu. Bu virüsün Excel ve Word
formatında dosyaları etkileyebilmeleri sadece Windows işletim sistemlerini etkilemekle
kalmadı, bunun yanında Word ve Excel dosyalarının Mac OS işletim sistemlerinde de
çalışmasından dolayı Macintosh bilgisayarlarda bundan etkilendi.
4 Mayıs 2000’de LoveLetter isimli yeni bir bilgisayar virüsü ortaya çıktı. Bu virüs,
kurbanların e-postalarına konu başlığı “I Love You” olan bir ileti gönderiyordu. Bu
postanın içeriğinde ise “LOVE-LETTER-FOR-YOU-TXT.vbs4
” adlı bir dosya yer
almaktaydı. Bu dosya bir solucan virüsü içeriyordu ve kurban bu dosyayı açtığı zaman
sistemindeki dosyalar virüsün dosyaları ile yer değiştiriyordu. Ayrıca kurbanın e-
postasındaki diğer kişilere de virüslü iletiyi göndererek yayılmasını kolaylaştırıyordu.
Love Letter virüsü olarak kayıtlara geçen virüs sosyal mühendisliğin etkisini kanıtlar
nitelikte bir virüs olarak bilinmektedir.
3
Yazılan kötü amaçlı kodların Excel ve Word gibi dosyalara makro olarak eklenmesiyle bulaşan bir virüs türüdür.
4
VBS (Visual Basic Script) dosya uzantısıdır. Web tabanlı uygulamalar geliştirmek için tasarlanmıştır. Ancak
zamanla Virüs yazımına elverişli olmasından dolayı zararlı yazılımlarda kullanılmaya başlanmıştır.
11. 11
Kasım 2001’de BadTrans adlı Outlook ve Outlook Express’i etkileyen bir e-posta virüsü
ortaya çıktı. Bu virüs bilgisayardaki dosyaları etkileyerek bilgisayarda bulunan gizli
bilgileri ele geçirmeyi amaçlamaktaydı.
Şekil 1.3: BadTrans virüsünün ortaya çıkmasını içeren 27 Kasım 2001 tarihli bir
internet haberi. (http://arsiv.ntv.com.tr/news/121342.asp)
Yeni tür bilgisayar virüsleri, cross-site betik virüsleridir.5
2005 yılından beri bu türde
pek çok virüs kayda geçmiştir. Bu virüsten en çok etkilenen platformlar arasında
MySpace ve Yahoo bulunmaktadır.
2014 yılında Open SSL’de oluşan bir güvenlik açığından dolayı ortaya çıkan HeartBleed
virüsü internet sunucularını büyük tehlikeye sokmuştur. Bu virüs, Open SSL’in çalışma
prensibini hedef almıştır ve istismar etmiştir.
5
Web uygulamaları ve web tarayıcılarının açıklarından faydalanarak geliştirilen bir virüs türüdür.
12. 12
1.3 Virüs Tipleri
1. Dosya Virüsleri
Dosya virüsleri kendilerini bir yürütülebilir dosyalara tutturur ve konak program
çalıştırıldığında etkinleşerek çalışmaya başlar. Bu türden virüsler sistem
hafızalarına kendilerini yerleştirebilir ve bu şekilde sistemde çoğalabilir. Virüs,
bulduğu programları bir sonraki çalıştırmada virüsü de çalıştıracak biçimde
değiştirir ve bunu tüm sisteme bulaşana kadar yapabilir.
Randex, Meve ve MrKlunky dosya virüsleri için verilebilecek örnekler
arasındadır.
2. Önyükleme Virüsleri
Bilgisayarların önyükleme sektörleri sabit diske ait bilgileri barındırır ve bir nevi
bilgisayarın başlatılmasını sağlar. Bu virüs türü zararlı kodları önyükleme
sektörüne yerleştirerek bilgisayar başlatılırken kendini sisteme yüklemeyi
garantiler. Ancak günümüzde disketler yerine CD-ROM kullanımının artması bu
virüslerin yayılımını durma noktasına getirmiştir. Bunun sebebi CD-ROM’ların
içerisindeki verilerin değiştirilemez olmasından kaynaklanmaktadır.
PolyBoot.B, AntiExe gibi virüsler bu türden virüslere örnek olarak gösterilebilir.
3. Makro Virüsler
Betik diller kullanılan uygulamalar yoluyla bulaşan virüsler, makro virüsler
olarak adlandırılmaktadır. MS Office’e ait Word, Excel, PowerPoint gibi
uygulamalar en çok etkilenen uygulamalar olarak göze çarpmaktadır. Ayrıca bu
uygulamalar işletim sistemi tabanlı uygulamalar olmadığı için Windows dışında
diğer işletim sistemlerinde de desteklenmesi durumunda çalıştırılabilmektedir.
Bu uygulamaların sahip olduğu bu özellik makro virüslerinin yayılmasını
kolaylaştırmaktadır.
4. Ağ Virüsleri
Yerel ağlar ve internet yoluyla bulaşabilen virüsler; kaynak paylaşımı, sürücü
veya dosya paylaşım yoluyla bulaşabilmektedir. Yeni bir sisteme bulaşan ağ
virüsü, sistemin bulunduğu ağlardan iletişimde olduğu diğer sistemlere
sıçrayarak yayılmayı sürdürebilir. Yayılma politikası bakımından dosya
virüsleriyle benzerlik göstermektedir.
5. Yazılım Bombası
13. 13
Yazılım bombalarının çalışma mantığını bir saatli patlayıcıya benzetmek
mümkündür. Saatli bombalar belirli bir süre sonrasında kendisini otomatik
olarak patlatabilen bombalardır. Yazılım bombaları da konaktayken belirli
şartlar yerine getirildiği takdirde (bu şartlar zaman veya başka bir değişken şart
olabilir) etkinleşmektedir.
6. Sentinel
Sentinel virüsleri bilgisayarınıza pek çok farklı yoldan bulaşabilmektedir. Ancak
bu virüsün asıl olarak sisteminize yerleşme amacı, yaratıcısı olan sisteme sizin
sisteminizi kullanma hakkı vermesidir. İkinci bir kişinin sisteminizi ele
geçirmesi, kendi çıkarları için kullanması ve yasa dışı eylemleri sizin
sisteminizde gerçekleştirme eylemi sizin sisteminizi Köle sistem yapar.
Saldırgan bu eylemi birçok bilgisayarı ele geçirerek koordineli olarak
gerçekleştirirse kendisine bir bot bilgisayar topluluğu kurabilir.
Sentinel virüsleri genellikle hedef bir sisteme DDOS saldırısı yapmak için
kullanılmaktadır.
7. DOS Virüsleri
Bilgisayarınızın donanımını hedef alan bilgisayar virüsleridir. Çoğunlukla .bad
uzantılı olmaktadırlar ve açıldıktan sonra bilgisayarın donanımını bozmaya ya
da devre dışı bırakmaya çalışırlar.
1.4 Bilgisayar Virüslerinin Geleceği
Bilgisayar virüsleri yukarıda da ifade edildiği üzere 60 seneyi aşkın bir süredir var
olmaktadır. Ortaya çıkış anından itibaren teknolojik gelişimler, yazılım gelişimleri ve
en önemlisi insanın merak duygusuyla son derece hızlı bir şekilde gelişerek hayatımıza
entegre olmuştur.
Günümüzde her geçen gün yeni bir teknolojik atılım olması, internet ve ağların
kullanımının yaş sınırı fark etmeksizin artması gibi etmenler sonucunda bilgisayar
virüslerinin ve kötü yazılımların gelişiminin de doğru orantıyla artması beklenmektedir.
Ancak önemli bir konu, virüs ve kötü yazılımların gün geçtikçe yaygınlaşmasıyla ortaya
çıkan korunma ihtiyacıdır. Bu virüslerden korunma ihtiyacını büyük güvenlik firmaları
yazdıkları anti virüs ve yönetim programlarıyla durdurmayı hedeflemektedir.
14. 14
Bu sebeple; bilgisayar virüsleri, kötü amaçlı yazılımlar ve kötü amaçlı yazılımcılar
gelecekte de internet kullanıcılarını tehdit etmeyi sürdürecektir. Bu tehditlerden
korunmanın yolu ise, bilgi güvenliği bilincine sahip internet kullanıcılarından
geçmektedir.
2. RANSOMWARE (FİDYE YAZILIMLARI)
Ransomware, Türkçe adıyla fidye veya şantaj yazılımları anlamına gelmektedir. Son
yıllarda çok büyük bir tehdit olarak kurumsal veya kişisel bilgisayar kullanıcılarını
tehdit etmektedir. Özellikle kötü yazılımlar kullanarak para kazanmak konusunda çığır
açmıştır ve diğer kötü yazılımların aksine genellikle bilgisayara veya bilgisayarda
kullanılan bir veriye zarar vermeyi hedeflemez. Fidye saldırganlarının gerçek hedefi;
hedef sistemi başarılı bir şekilde ele geçirmek ve sistemde bulunan önemli verilere el
koyarak karşılığında maddi bir kazanç elde etmektir. Bu yönüyle Ransomware
saldırılarının gerçek bir kaçırılma vakasından farkı yoktur.
Fidye yazılımları saldırganın saldırma biçimine göre farklı şekilde isimlendirilebilir.
Örneğin bir bilgisayardaki kritik gizlilikteki bir veriyi veya yoğun olarak kullanılan bir
veriyi şifreleyerek bunun karşılığında para talep edebilir. Ya da direkt olarak bir sistemi
ele geçirip kullanımını engelleyerek tekrar kullanıma açmak için para talep edebilir. Bu
yönleriyle Ransomware saldırılarını sırasıyla ikiye ayırmak mümkün olmaktadır.
Kripto
Locker
Temel motivasyonu para kazanmak olan bu saldırılarda farklı senaryolarda
gelişebilmektedir. Özellikle internet kullanımının artması ve zararlı yazılımların
kullanımının kolaylaşması gibi durumlardan dolayı büyük ve küçük ölçekte birçok fidye
saldırısı yapılabilmektedir. Bu saldırıların büyük ölçekli olanları çok daha fazla maddi
kazanç vaat edebilir. Fakat fidye saldırıları küçük ölçeklerde kişisel çıkarlar için de
yapılabilir.
Temel olarak Ransomware bir bilgisayar virüsünden ziyade, virüsün bir etkisi olarak
tanımlanabilir. Bunun nedeni saldırganın isterse sistemimizi tahrip etmeyi ya da sistemi
kullanmayı (botnet ya da zombi olarak) seçmek yerine açık bir biçimde kontrolü ele
15. 15
aldığını ve kontrolü ele almamız için ödememiz gereken fiyatı söylemesinden
anlayabiliriz. Kısacası fidye yazılımlarını virüs olarak tanımlamak doğru olmayacaktır.
Şekil 2.1. Saldırı karmaşıklığı ve yetenek gereksinimi eğrisi.
Yukarıda görülen grafikte 1980 ve 2000 yılları arasındaki veriler göz önünde
bulundurularak siber saldırıların karmaşıklığı ve saldırganların bilgi seviyeleri ele
alınmıştır. Bu grafik, bilgisayar kullanıcılarının yıllar geçtikçe ne kadar kolay bir şekilde
saldırı planlayabildiğini açıkça göstermektedir. Bu grafik ışığında Ransomware
saldırıları hakkında şunları ifade edebiliriz; siber saldırıların BruteForce6
gibi basit
saldırılarda bile bilgi seviyesinin yüksek olduğu zamanlardan otomatik yönetilebilen
karmaşık saldırılara evrilmesi yalnızca 20 yıl almıştır, saldırı karmaşıklığı arttıkça
saldırganların teknik bilgi seviyesinde düşüş gözlemlenmiştir bu da artık birçok PC
kullanıcısının isterse saldırı yapabileceği anlamına gelmektedir. Sonuç olarak;
Ransomware saldırıları sistemlerin istismar edilmesi sonucunda meydana gelir, bu
durumda saldırıların artması Ransomware saldırılarının da artmasını dolaylı olarak
sağlamaktadır.
6
Bir parolayı rastgele sayı ve harf dizileri girerek kırma saldırılarıdır. Türkçeye kaba kuvvet saldırıları olarak
geçmiştir.
16. 16
2.1. Trojan (Truva Atı) Virüsü
Trojan ya da Türkçe karşılığı Truva Atı virüsü adının anlamını birebir taşıyan bir
virüstür. Bu adı Truva mitinde gerçekleşen olaydan almıştır. Truva atı olayında kısaca
antik dönemde savaşta olan iki devlet bulunmaktadır. Bu devletlerden birisi savaşta
olduğu devlete artık barış sağlamak amacıyla büyük bir at heykeli göndermektedir.
Ancak dahice tasarlanmış bir stratejinin ürünü olan bu devasa at, içerisinde yüzlerce
asker barındırmaktadır. Bu hediyeyi memnuniyetle kabul eden diğer devlet atı
surlarından içeri alır ve şehrin merkezine taşır, böylelikle kale içten fethedilmiş olur ve
savaş kolaylıkla kazanılır.
Trojan virüsünü de tıpkı bu olayda olduğu gibi düşünebiliriz. İnternette gezerken veya
e-posta kutunuzu kontrol ederken sebepsiz yere önünüze çıkan ve bir ödül ya da para
kazandığınızı belirten uzantılarla karşılaşabilirsiniz. Bu uzantılar tıklandığı zaman arka
planda kötü amaçlı bir yazılımı dolaylı olarak sisteminize yükleyebilir. Bu durum
saldırganın sizin rızanızla sisteme girmesi anlamına gelmektedir. Sisteme giren kötü
yazılım; dosyalarınıza erişebilir, verilerinizi şifreleyebilir, sisteminizi kullanabilir hatta
sisteminizi donanımsal olarak etkileyebilir. Tahmin edilebileceği üzere Truva yoluyla
sisteminize giren saldırganlar şifrelediği verilere veya sistemlere yeniden erişebilmeniz
için sizden fidye de talep edebilir. Bu da bir Ransomware saldırısına uğradığınız
anlamına gelmektedir.
Truva atı virüsü, sisteme girip kendisini çoğaltan sıradan bir virüs değildir. Sisteme
zarar verebilmesi için kurbanın ilgili bağlantılara tıklaması ve zararlı yazılımı indirmiş
olması gerekmektedir. Bu yönüyle toplum mühendisliği ile paralel olarak çalışmaktadır.
Geçmişten günümüze en iyi bilinen ve en çok kurban toplayan Truva atı virüsü
“Waterfall.scr” adlı Truva atıdır. Bahsi geçen bu program Windows sistemlerde şelale
görüntülü bir ekran koruyucu olduğunu iddia etmektedir. Kurban bu programı
indirdiğinde saldırgana kendi sistemine uzaktan erişim sağlama imkanını da vermiş olur.
İyi bilinen bazı Truva atları şunlardır:
Sub7
PoisonIvy
Bifrost
PandoraRat (Türk yapımı)
JRat, ProRat (Türk yapımı)
17. 17
Truva atları sistem güvenliğinizi kritik derecede tehdit etmektedir ancak Truva
atlarından korunmanın bazı basit yolları da bulunmaktadır. Truva atlarından
korunmanın yollarını şu şekilde sıralamak mümkündür:
Spam e-postalar ve şüpheli görünen e-postaları kesinlikle açmadan direkt olarak
silmek.
E-posta eklerini otomatik olarak açan eklentileri devre dışı bırakmak.
Bir anti-virüs yazılımı kullanmak ve planlı taramalar yapmak. Birçok anti-virüs
yazılımı Truva atlarını kolaylıkla tespit edip güvenli bir şekilde kaldırabilir.
Sistem güncellemelerini düzenli olarak yapmak. İşletim sistemleri virüs
tehditlerinin farkındalardır ve yayımladıkları genel yamalarda Truva atları için
alınan önlemler bulunabilir.
P2P (Peer to Peer) veya yerel ağı paylaşan programların kullanımı denetlenmeli
ve kısıtlanmalı. Bu tür programlar diğer sistemlerle dosya paylaşımını mümkün
kıldığından birçok saldırganın mesken tuttuğu yerlerdir.
2.1.1. Bulaşma Yolları
Trojan virüsünün sistemlere bulaşmasının birçok yolu vardır. Saldırganlar, bu
yazılımları kurbanların bilgisayarlarına sokmaya çalışırken birtakım teknikler
kullanırlar, bu teknikler sizin sisteminizi zorla alı koymaya yönelik değildir.
Sosyal mühendislik yöntemleri ile bilgisayarınıza sızarak sizin zararlı yazılımı
çalıştırmanızı sağlarlar.
Bu yazılımların bazı bulaşma yollarını şu şekilde sıralayabiliriz:
1. E-Posta
Saldırganlar, kurbanların posta kutularına zararlı yazılım içeren bir posta
yollarlar. Bu postalar genellikle insanların merak edip açmak isteyeceği
ve ilgisini çeken içeriklere sahip olurlar. Bir bankaya, sosyal medya
platformuna ya da sadece bir oyuna ait posta olabilir. Kurban bu postayı
açıp içeriğindeki ilgili uzantıları takip ederse sistemine zararlı yazılımı
sokmuş olur.
2. WEB
18. 18
Zararlı yazılımlar internette dolaştığınız güvenli veya güvenli olmayan
sitelerdeki bağlantılar yoluyla bulaşabilir. Çoğunlukla forum ve erotik
web sayfalarında bulunan bir takım yanıltıcı bağlantılarla zararlı yazılımı
sisteminize sokabilirsiniz. Bu bağlantılarda genellikle; bir virüs tarama
programı, bedava oyun, erotik film, sahte butonlar ve tehdit mesajları
bulunur. Bu bağlantılara gittiğiniz zaman zararlı yazılımı sisteme
indirmiş olursunuz.
Şekil 2.2. Trojan barındırma ihtimali bulunan bir sahte pencere.
3. Harici Donanımlar
Zararlı yazılımların harici bellekler ve CD’ler ile başka sistemlere
bulaştırılması mümkündür. Harici donanımlar ile bulaşmaya yönelik en
isabetli ve en belirgin örnek AİDS Truva Atı olabilir.
4. Fidye Yazılım Hizmeti (RaaS: Ransomware as a Service)
Yukarıda maddeler halinde belirtilen yöntemler saldırganın bilgisine ve
teknik kabiliyetine biraz da sosyal mühendislik becerisine
dayanmaktadır. RaaS konusunda ise bilgi, teknik ve sosyal mühendislik
becerilerine sahip olmayan ancak saldırgan olan bir başka kullanıcı,
fidye yazılımını bu konularda uzman olan saldırganlardan temin eder.
Bunu bir tetikçi tutmaya benzetebiliriz. Tıpkı bir ürün satın almaya
19. 19
benzeyen bu durumda fidye yazılım paketi satın alınır ve kurbanın
bilgisayarına bulaştırılmış olur.
2.2. Fidye Yazılımların Tarihçesi
Tarihteki ilk Fidye yazılımı 1989 yılında geliştirilen AİDS Truva Atıdır. Çevrimdışı
ortamda geliştirilip harici donanımlar yoluyla dağıtılmıştır. İlk çevrimiçi yayılım ise
2005 yılında ortaya çıkan GPCoder yazılımıdır. Bu iki yazılım günümüzde var olan
fidye yazılımları kadar gelişmiş olmasalar da ilk yazılımlar olmaları onları bir ilham
kaynağı haline getirmiştir. Bu şekilde fidye yazılımlar temel mantıklarını taklit ederek
çoğalmıştır ve gelişmiştir.
İlk vakalar olması sebebiyle AİDS Truva atı ve GPCoder yazılımını biraz daha detaylı
olarak ifade edebiliriz.
AİDS Truva Atı: 1989 yılında Dünya Sağlık Örgütünün bir konferansında ve
İngiltere’deki bir bilgisayar dergisinin ek kısmında disketler dağıtıldı. Bu disketler
AİDS hastalığı hakkında bilgiler içeriyor ve bir kullanıcı formu barındırıyordu. Bu
disketler kullanıcılar tarafından bilgisayarlarına yerleştirildi ve çalıştırıldı bunun
sonucunda 90 ülkede 20 bin kullanıcı zararlı yazılımdan etkilendi.
Etkilenen kullanıcıların karşılaştıkları mesaj şu şekildeydi:
“Bu disketi bilgisayarına yükleyenler, PC Cyborg Corporation'a bu programları
kiralamanın bedelini tam olarak ödemeyi kabul eder. Bu lisans sözleşmesini ihlal
etmeniz durumunda, PC Cyborg, PC Cyborg Corporation'a ödenecek borçları geri
almak için gerekli yasal işlemleri yapma ve kullanımınızı sona erdirmek için program
mekanizmalarını kullanma hakkını saklı tutar. Bu program mekanizmaları diğer
program uygulamalarını olumsuz yönde etkileyecektir. Bu lisans sözleşmesinin
şartlarına uymamanız, vicdanınızı ve hayatınızın geri kalanında sizi rahatsız edebilir ve
bilgisayarınız normal şekilde çalışmayı durdurur. Bu ürünü başkalarıyla paylaşmanız
kesinlikle yasaktır."
20. 20
Şekil 2.3. AİDS Truva atının kullanıcı ekranında gösterdiği uyarı mesajı.
GPCoder: 2005 yılında ortaya çıkmıştır ve Windows işletim sistemi kullanan sistemleri
etkilemiştir. GPCoder, AİDS Truva atına benzeyen fakat bulaşma yollarında daha farklı
yollar izleyen bir Truva atıdır. Bir iş bulma ve kariyer sitesi olan Monster.com adlı
sitenin üye bilgilerini ele geçirerek tüm üyelere e-postalar yollamaya başlamıştır.
Aslında hepsi sahte olan bu e-postalar kullanıcılara ulaştığında daha önce ziyaret
ettikleri ve hali hazırda iş arayan insanlar tarafından kullanıldığı için bu durum fark
edilmemiştir. Sonuç olarak bu kullanıcılar, e-posta yoluyla sistemlerine bu Truva atını
sokmuşlardır. Kurbanların verileri şifrelenmiştir ve tüm kullanıcıların sistemlerinde .txt
uzantılı bir mesaj bırakılmıştır. Mesajda kurbanların ödeyeceği fidye miktarı ve nasıl
ödeme yapacakları hakkında bilgiler yer alıyordu.
Yollanan orijinal e-posta da şunlar yazmaktaydı:
“Merhaba! Job.ru web sitesinde yayınladığınız özgeçmiş ile ilgili olarak size yazıyoruz.
Sizin için uygun olabilecek açık bir pozisyonumuz var. ADC Marketing LTD (UK)
Moskova'da bir ofis açıyor ve uygun adaylar arıyor. Yakında sizi -karşılıklı uygun bir
zamanda- bir mülakata davet edeceğiz. Teklifimizle ilgileniyorsanız, lütfen ekteki formu
doldurun ve bana e-postalayın.“
Saygılarımla, Viktor Pavlov İK Yöneticisi
Olayın sonucunda bir çözüm sağlayıcı firma 660 bitlik RSA şifreleme anahtarlarını
kırarak kurbanları kurtarmıştır.
21. 21
Tarihçeye Genel Bakış:
1998 – AİDS Truva Atı
2005 – GPCoder
2010 – WinLock
2012 – Reveton
2013 - Crypto Locker
Crypto Locker 2.0
Crypto Bit (Anonimliği artırmak için TOR7
sunucuları kullanılmıştır)
2014 – Crypto Wall (Crypto Locker’ın bir başka sürümü)
SynoLocker (Depolama cihazları hedef alındı)
SimpLocker (İlk kez android bir cihaza Ransomware saldırısı yapıldı)
2015 – Tesla Crypt (PC oyunlarının içerdikleri zafiyetler kullanılmıştır)
Vault Crypt (PC oyunlarının içerdikleri zafiyetler kullanılmıştır)
Chimera (Dosyaları yayınlamak ile tehdit edildi)
Crypto Wall 2.0 – 3.0 (TOR kullanıldı)
2016 – Crypto Wall 4.0 (Dosya adları da şifrelendi)
Locky (Şifrelediği dosyaları “.locky” uzantılı olacak şekilde değiştirdi)
SamSam (Hastane ve okul gibi devletin kritik önem taşıyan kurumlarını hedef
almıştır.)
7
TOR (The Onion Routing) kullanıcılara internette anonim arama yapma imkanı sunan açık kaynaklı bir
tarayıcıdır.
22. 22
2017 – WannaCry
Petya
SynAck
2.3. Fidye Yazılım Türleri
Fidye yazılımlar, dosyaları veya direkt olarak bir sistemi etkileyebilir. Bu bağlamda
dosyaları ve sistemleri nasıl etkilediklerine göre sınıflandırılmışlardır.
Locker (Kilitleyici Fidye Yazılımlar)
Bu yazılımlar hedef sisteme girdikten sonra herhangi bir kritik veriyi ya da
dosyayı şifrelemez. Locker türü fidye yazılımları bilgisayarın kullanımını büyük
oranda kısıtlayarak fidye talep eder. Genellikle bu saldırılarda kurbanın
bilgisayarı kullanması neredeyse tamamen engellenir buna Mouse ve klavye gibi
donanım aygıtları da dahil olabilmektedir. Saldırgan, yalnızca kendi belirlediği
adımları takip edebilecek ve fidye mesajını okuyup ödeme yapabilecek kadar
kullanım izni verir.
Crypto (Şifreleyici Fidye Yazılımlar)
Locker türü fidye yazılımlarının tersine bilgisayarın kullanımını kısıtlamaz.
Eriştiği sistemdeki kritik dosyaları şifreleyerek karşılığında ödenecek bir fidye
belirler. Bu şifreleme işlemleri yakın tarihte çok daha kırılgan yapıda
olabiliyordu. Örneğin 2005 yılında gerçekleşen GPCoder saldırısında 660 bitlik
RSA şifreleme anahtarı kırılarak kurbanların verileri kurtarılmıştı. Günümüzde
ise daha güçlü şifreleme yöntemleri kullanıldığından bu şifreleri kırmak çok
güçleşmiştir.
ScareWare (Korku İstismarı)
Bazı kaynaklarda korku istismarı olarak Türkçeye çevrilmiştir. Tam anlamı
“Scare” korku, “Ware” yazılım kelimelerinden gelmektedir, ancak kullanıcıyı
korkutarak ödeme alma temelli bir tür olduğu için korku istismarı olarak dile
getirilebilmektedir. ScareWare saldırılarında bilgisayar veya herhangi bir dosya
23. 23
sistemi zararlı yazılımlar tarafından etkilenmez ancak etkilendiği iddia edilir. Bu
iddia saldırganın ekranınıza rahatsız edici sıklıkta pop-up’lar bırakması ve ele
geçirildiğinizi iddia etmesiyle gerçekleşir. Bazı saldırganlar kullanılan
bilgisayardan çocuk pornosu ve yasa dışı örgütlerle iletişim gibi suçlar
işlendiğini söyleyerek de fidye alabilmektedir.
ScreenLocker (Ekran Kilitleyici fidye yazılımlar)
Bu tür saldırılar normal bir Ransomware saldırısı olarak görünür. Saldırgan bir
fidye miktarı ve ödeme yöntemini kurbanın bilgisayarına bırakarak ekranını
kilitler ve yalnızca mesajı görüntülemesine fırsat verir. Ancak bu tür saldırılar
bilgisayarın ön yükleme belleğini etkileyemediği için bilgisayar yeniden
başlatıldığında kilitli ekran açılmış olur. (https://sparta.com.tr/makaleler/fidye-
yazilimi-cesitleri/)
LeakWare
Bu fidye yazılımı sisteminizdeki kritik dosyalara erişir. Saldırgan bu belgeleri
kopyalayarak elde eder ve hayati derecede kritik olan verileri yayımlamak ile
kurbanı tehdit eder. Belirli bir fidye karşılığında kopyaların silindiği iddia edilir
ancak bu tamamen saldırganın inisiyatifinde olan bir durumdur. Ödemeyi
yaptıktan sonra aynı belgelerle bir kez daha fidye talep edilebilir.
Mobil Fidye Yazılımları
Bilinen Ransomware saldırılarının yaklaşık %40 kadarı mobil cihazlara
yapılmıştır. Bu oran Android işletim sistemlerinin popülerleşmesinden sonra
hızlıca artışa geçmiştir. Hatta bazı yeni vakalarda Android TV’ler, giyilebilir
ürünler ve ev eşyaları üzerinden Ransomware saldırıları gerçekleştiği
bilinmektedir.
Mobil fidye yazılımlarında çoğunlukla kurbanın ekranı kilitlenir ve belirli bir
fidye karşılığında kilit açılır. Bu saldırıların gelişmesiyle şifrelemeler yalnızca
ekranlara değil cihazdaki dosyalara da yapılmaya başlandı. Özellikle “Android
Defender” adlı bir uygulama, güvenlik uygulaması olduğunu iddia ederek birçok
sisteme zararlı yazılım bulaştırmıştır.
24. 24
2.4. Ransomware Saldırısının Anatomisi
Modern Ransomware saldırıları; geçmişte yapılanlara kıyasla çok daha komplike bir
yapıya sahiptir ve günümüzde saldırı başına elde edilen fidye miktarı, geçmiştekini bir
hayli geride bırakmıştır.
Geçmişte saldırganların bilgi seviyelerinin düşük olması, organizasyon yapılarının
kurumsallıktan uzak olması, teknik ve taktik olarak zayıf olunması yüzünden
zafiyetlerin tespit edilip istismar edilmesinin güç olması gibi etmenlerden dolayı bu
saldırılar şu anki konumundan uzaktaydı.
Ancak bugün bu saldırıları düzenleyenler hedef seçiminden istenilecek fidye miktarının
belirlenmesine kadar oldukça profesyonel tutumlar sergilemektedir. Artık
standartlaşmış bir yapıya sahip olan Ransomware saldırıları genellikle 5 adımdan
oluşmaktadır.
1. Yayılma
2. Bulaşma
3. Kontrol
4. Şifreleme
5. Fidye Talebi
Bu adımlarda gerçekleşen aksiyonlar ve uygulanan yöntemler şu şekildedir:
Yayılma Evresi: Bu evrede zararlı yazılımın bir sisteme girmesi ya da kurban
tarafından o sisteme sokulması gerekmektedir. Bu durum genellikle e-posta yoluyla
gerçekleşmektedir. Daha önce de bahsedildiği üzere, zararlı bir bağlantı veya ek taşıyan
e-posta kurbana yollanır ve bu e-postanın açılması beklenir. Bunun haricinde
Typosquating8
gibi yöntemlerde kullanılabilir.
Bulaşma Evresi: Bu evrede sisteme giren kötü yazılım çalıştırılmıştır. Zararlı kod
blokları işleme girmiştir ve sistem hakkında bilgi toplamaya başlamıştır. Öncelikle
bulaşılan makinenin bir sanal makine mi yoksa fiziksel bir makine mi olduğu tespit
edilir. Ardından işletim sisteminin koruması ve anti virüs yazılımı devre dışı bırakılarak
sistemde fark edilebilirlik durumu ortadan kaldırılır.
8
Orijinalinden farklı ancak benzer bir alan adı taşıyan sahte bir web adresi üzerinden kullanıcı bilgilerinin ele
geçirilmesidir.
25. 25
Kontrol Evresi: Bulaşılan sistemdeki işlemlerin kontrolü ve iletişim kurulması için,
komut kontrolü ve iletişim kanalı gerekmektedir. Kontrol evresinde hedef sistem
üzerinde fidye talebi yapılması için çalışmalar başlamış olur. Hedef sistemdeki
bulaşılacak dosya türleri, çalışma zamanı ya da bulaşma tamamlanmadan önce bir
miktar daha sistemde yayılmak gibi kararlar verilir.
Şifreleme Evresi: Fidye yazılımın türüne göre (Crypto, Locker) dosyalar şifrelenebilir,
kullanıcının bilgisayarı kitlenebilir veya kullanımı istenilen ölçüde kısıtlanabilir.
Fidye Talebi Evresi: Sürecin son adımında kurbanın sistemine içinde ödeme
yöntemleri ve uyarı mesajlarını barındıran bir bilgilendirme mesajı bırakılır. Bu mesajın
bırakılmasının ardından saldırganın rolü son bulur ve kurban ödeme yapmayı kabul eder
ya da pazarlık yoluyla ödenecek miktarda indirim yapılmasını sağlamaya çalışır.
Saldırganın bu evreden sonra yapacağı tek görev (bu durum kesin olmamakla birlikte)
ödemeyi aldıktan sonra şifrelediği dosyaların anahtarlarını vermesidir.
Şekil 2.4. Siber ölüm zinciri.
2.5. Ransomware Saldırılarında Aksiyon Alma
Günümüzde sistemlerimizi siber tehditlerden tamamen koruyacak bir güvenlik yazılımı
bulunmamaktadır. Bu yüzden ne kadar önlem alınsa ve koruma sağlansa da her zaman
tehditlere açık konumdayız.
26. 26
Ancak bir saldırının nasıl yapıldığını ve bir saldırganın nasıl düşündüğünü hayal
edebilmek, sistemlerimizin korumasını bir üst seviyeye taşıyabilir. Bu yüzden bir
Ransomware saldırısından (bu önlemlerin bazıları diğer saldırı çeşitleri için de önlem
olarak sayılabilir.) korunmak için alınabilecek bazı aksiyonlar bulunmaktadır. Bunları
şöyle sıralayabiliriz:
Henüz saldırı gerçekleşmemişken
Saldırı esnasında
Saldırı sonrasında
Henüz saldırı gerçekleşmemişken: Günümüzdeki saldırıları önlemek için geleneksel
AV ve SandBox çözümleri artık yetersiz kalmaktadır. Bu yüzden henüz çalıştığımız
kurumda ya da çalıştığımız başka bir sistemde saldırı gerçekleşmediyse, gelecek
saldırıları önlemek için alınacak oldukça etkili uygulamalar bulunmaktadır.
Bu uygulamaların en başında yedekleme gelmektedir. Yedeklemeler, bir Ransomware
saldırısına uğradığımızda şifrelenen verilerimizi yedekten alarak kurtarmamızı sağlar.
Yedeklemeler hususunda dikkat edilmesi gereken unsurlar; kurtarılacak yedekleme
verilerinin test edilmesi, yedekleme verilerinin saldırganların erişemeyeceği bir yerde
tutulması, yedekleme işlemlerinin düzeni ve takibinin sağlanması için yedekleme
politikaları düzenlenmesidir.
Yedeklemeler son derece güven veren bir önlem olsa da bir kurumda alınacak önlemler
yedekleme ile sınırlı kalmamalıdır. Ağ Yapısının Yönetimi konusu sistem güvenliği
için son derece önem teşkil eder. Ağ yapısının gerektiği biçimde yönetilmesi ve
güvenlikte bir parça olabilmesi için; kurumun güncel ağ topolojileri çıkarılmalı ve
incelenmeli, yapılandırma teknolojileri takip edilmeli, yazılımlara ve web adreslerine
erişim sağlayan izinler ve yetkiler tek merkezden verilmeli, sistem hatalarının takibi,
sistem performansının takibi ve uç nokta güvenliği için izleme ve raporlama
yapılmalıdır. Firewall, IDS/IPS ve WAF ağ yapısına entegre edilmelidir.
Bilgisayar yazılımları ve internet ortamında sürekli olarak bazı zafiyetler ortaya
çıkmaktadır. Bu zafiyetlerin istismar edilmemesi için bilgisayarlara gelen güncellemeler
düzenli olarak yapılmalı ve sistemler güncel tutulmalıdır. Bunun için de kurumda Yama
ve Güncelleştirme Yönetimi yapılmalıdır. Birçok firma kendi ürünlerinde ortaya çıkan
27. 27
zafiyetleri gidermek için düzeltmeler yapar ve bu düzeltmeler güncelleştirme veya yama
olarak karşımıza çıkar. Bu durumun takibinin yapılması ve sistemli, bütünleşik bir
biçimde uygulanması saldırılar için koruma sağlayabilir.
Ransomware saldırıları için bilgisayarımıza bir Trojan virüsünün bulaşması gerektiğini
ve bu virüsünde çoğunlukla zararlı bağlantı bulunduran e-postalar (Spam mail) yoluyla
bulaştığını biliyoruz. Anti Spam servisleri kullanmak e-posta kutusuna gelen spam
postaları engelleyerek bu ortamdan zararlı yazılım bulaşmasını önleyebilir.
Tüm teknik ve fiziki önlemler alındıktan sonra aslında en çok dikkat edilmesi gereken,
hatta belki de bu güvenlik zincirinin en zayıf halkası olan insan faktörü devreye
girmektedir. İnsan, her zaman hataya açık ve duygusal bir varlık olduğu için üstünde
fazlasıyla durulması gereken bir unsur olmaktadır. Yalnızca BT çalışanları için değil,
kurumda bulunan ve kurum donanımları ile internete erişebilen her bir insana siber
güvenlik kültürü empoze edilmeli ve bu tehditler her bir bireye anlatılmalıdır. Bunun en
pratik ve başarılı yoluysa kurum çapında düzenlenmesi gereken Güvenlik Farkındalığı
Eğitimleridir. Bu eğitimler sonucunda tüm personel asgari düzeyde bilgiye sahip olarak
kurumda insan faktörü bir nebze de olsa hafifletilmiş olur.
Saldırı esnasında: Yukarıda bahsedilen ve saldırılar gerçekleşmeden önce
uygulanması gereken önlemler alınsa bile Ransomware saldırılarından yüzde yüz
korunmak mümkün değildir. Bu yüzden bir gün böyle bir vaka ile karşı karşıya kalmak
kurumlar ve çalışanları için sürpriz olmamalıdır.
Bir Ransomware saldırısı esnasında sistemdeki dosyalar şifrelenebilir veya direkt olarak
makine kilitlenerek fiziki kullanım kısıtlanabilir. Bu durumda sistemi istismar eden
saldırgan; almak istediği fidye tutarı, ödeme şekli ve saldırı hakkında kısa bir
bilgilendirme içeren .txt dosyasını sisteme bırakır ya da direkt masaüstü arka plan
görseli yaparak tüm bilgisayarı kitler.
Bu aşamadan sonra herhangi bir AV yazılımı veya diğer koruma yöntemleri kesinlikle
işe yaramaz çünkü artık saldırgan verileri/sistemi ele geçirmiştir. Bundan sonra karar
verilmesi gereken kilit konu, istenilen fidyenin ödenip ödenmeyeceği hususudur. Bu
ihtimalleri ele alacak olursak;
28. 28
Fidyeyi Ödemeyi Reddetmek:
Bir Ransomware saldırısı esnasında alınacak aksiyonlardan ziyade, saldırgan
karşısında bir duruş göstermek ve bunu saldırganın yaptığı gibi profesyonelce
yapmak oldukça önemlidir. Saldırganın sistemde tüm hakları elde ederek verileri
ele geçirmesinden sonra bizden istediği fidyeyi ödemeyi reddetmenin pek çok
riski bulunur. İlk olarak fidyeyi ödemeyi reddedip yaptığımız yedeklemelere
dönmenin kaybolan operasyon zamanını arttırması ve bunun sonucunda ortaya
çıkacak finansal zarar göz önünde bulundurulmalıdır. Bunun haricinde
yedeklemelerin yapılma periyotları (günlük, haftalık, aylık) sonucunda
oluşabilecek veri kayıpları da hesaba katılmalıdır.
Saldırıyı yapan saldırgan tarafından yeni bir atak planlanarak saldırıya uğrama
ihtimali de bulunmaktadır. Saldırgan zaten bir kere girebildiği bir sisteme
önlemleri arttırmamız halinde bile açıkları kullanarak yeniden girebilir. Bu
durum çok daha büyük zararlara yol açabilir.
Fidyeyi Ödemeyi Kabul Etmek:
FBI’a göre bir fidye saldırısında kesinlikle fidyeyi ödememeniz gerekmektedir.
Bunun sebebi ise verilecek ödeme, yeni saldırıları finanse etmede kullanılarak
çok daha fazla Ransomware saldırısı düzenlenmesini sağlayabilmesidir.
Fidyeyi ödemeyi kabul etmek hakkında bilinmesi gereken en önemli husus;
ödemeyi gerçekleştirdikten sonra verilerimizin tamamını veya bir kısmını geri
alabileceğimiz yanılgısıdır. Saldırganlar zaten ellerinde olan veriler için
ödemeyi aldıktan sonra aynı veriler için sizden bir kez daha para talep edebilir.
Bu ele geçirilen veriler ise artık kesinlikle güvende değildir. Saldırganlar bu
verileri illegal yollarla diğer saldırganlara satabilir ya da darkweb forumlarında
yayınlayabilir.
Göz önünde bulundurulması gereken bir diğer husus; zararımızın (veri
ihlalinden gelecek olan cezalar, zaman, üretim, itibar) istenen fidyeye oranıdır.
Fidye ödemesi yapılmadan önce bu karşılaştırmalar yapılarak pazarlık
yapılabilmektedir.
Ayrıca saldırganın istediği fidyeyi rahatça alabilmesi, psikolojik olarak onu
yeniden saldırmaya motive edebilir.
29. 29
Saldırı sonrasında: Saldırı gerçekleştikten sonra yapılması gereken ilk işlem hasarın
kontrol edilmesidir. Kaybolan verilerin ne miktarda olduğu, hangi kritiklik seviyesine
sahip olduğu belirlenmelidir. Ardından saldırının nasıl ve ne yolla yapıldığı belirlenerek
gerekli önlemler alınmalıdır. Bulaşan zararlı yazılımın kaynağı belirlenerek analiz
edilmelidir. Zararlı yazılımın SandBox analizinin yapılması, nasıl bir davranışta
olduğunu belirlemek için oldukça önem teşkil etmektedir. Bu da bir sonraki saldırılar
için önlem olarak değerlendirilebilir.
Hasar kontrol edildikten sonra sistemler temizlenerek şifreli verilerin şifreleri
kaldırılmalıdır. Bu işlem sistemli temizleme olarak adlandırılabilir. İlk olarak bulaşan
sistemler tam güvenlik için format atılarak yeniden kurulmalıdır. Ancak bu uygulama
şifrelenen verilerin şifrelerini kaldırmaz, sadece zararlı yazılımın daha fazla dosya
şifrelemesinin önüne geçer. Yeniden kurulan sistemlerde silinen dosyalar, veri kurtarma
yazılımları ile bir harici disk ortamında geri getirilmeye çalışılabilir.
Sonuç olarak saldırı sonrasında asıl amaç; kurtarılabilecek tüm verileri kurtarmak, adli
bir inceleme ile zararlı yazılımın analizini yapmak, oluşan tehdidi anlamak, kurumda
saldırının izlerini en kısa zamanda silerek yeniden normalleşmek ve bir daha hedef
konumuna gelmemek için tüm yasal standartlara uyarak denetlemeler ve uzman
önlemler almak.
2.6. Ransomware Saldırılarının Motivasyonları
Bu konu Ransomware saldırılarının motivasyonlarını kapsayan, ayrıca gerçekleşen
diğer saldırıların da motivasyonlarını ele alan bir konudur. Büyük pencereden
bakıldığında bir siber saldırının temel olarak iki farklı motivasyonu bulunabilir:
Maddi Motivasyon
Manevi, Sosyal Motivasyon
Bu iki durum ele alındığında siber saldırıların büyük çoğunluğunun maddi bir
motivasyona sahip olduğunu dile getirebiliriz. Maddi motivasyona sahip saldırıların da
tamamına yakını Ransomware saldırıları olarak değerlendirilmektedir.
30. 30
Bu bağlamda Ransomware saldırılarının her sene %750 oranında artış gösterdiği de
tespit edilmiştir. (Bitdefender Report, 2020)
Ransomware saldırılarının ilk ortaya çıktığı ve henüz günümüzdeki kadar aktif olmadığı
dönemlerde saldırganların, saldırının kapsamı ve karmaşıklığı gözetilmeksizin sürekli
aynı fidye miktarını talep ettiği belirtilmiştir. (Önal, 2021)
Saldırganların uzun süreler boyunca talep ettikleri fidye miktarı 5000 USD olarak sabit
kalmıştır. Ancak sonrasında bu tutarın 8000 USD’ye çıkması, diğer saldırganların da bu
durumdan etkilenmesine ve saldırılardan elde edilen fidye miktarlarının artmasına yol
açmıştır.
Öte yandan siber saldırılarda manevi motivasyonlar da bulunmaktadır. Bu saldırılara
örnek verecek olursak; ideolojik, siyasi, prestij ve merak amaçlı saldırıları örnek
verebiliriz. Özellikle günümüzde Rusya ve Ukrayna arasındaki devam eden savaşta
birçok siber saldırı düzenlenmektedir. Bu saldırılar siyasi olarak sınıflandırılabilir. Bu
saldırılarda taraf olmayan (Rus veya Ukraynalı olmayan) ancak belirli bir safta yer alan
(Ruslara veya Ukraynalılara destek veren) diğer saldırganların saldırılarını ise ideolojik
saldırı olarak ifade etmek yanlış olmayacaktır. Bu tarz ataklar çoğunlukla karşı sisteme
hasar verme, devre dışı bırakma, donanımlarını kullanılamaz hale getirme, servislerini
meşgul ederek kullanımını kısıtlama (DDoS) gibi saldırılardır.
Şekil 2.5. Saldırı nedenlerini gösteren pasta grafiği: (www.radware.com)
31. 31
Yukarıda da görüleceği üzere pastanın neredeyse çeyrek dilimindeki saldırılar fidye
saldırısı olarak yapılmıştır.
Şekil 2.6. Saldırı nedenlerini gösteren çizgi grafiği.
Yukarıda gösterilen grafik 2002-2004 yılları arasındaki saldırılardan elde edilen
verilerden ortaya çıkarılmıştır. Bu grafikte özellikle dikkat çeken koyu mavi çizgiler,
eğlence amaçlı düzenlenen saldırıları ifade etmektedir. Aynı dönemlerde yapılan diğer
saldırı türlerinden çok daha fazla olması, insanların bu konuya meraklı olmalarını ve bir
arayış içine girdiklerini açıkça ifade etmektedir. “Canı sıkılan meraklı çocuklar” olarak
adlandırılan modern dünya gençleri için siber saldırılar ve hacking kavramı her zaman
yeni bir arayış, motivasyon, maddi kazanç ve prestij kazanma yolu olmuştur.
3. FİDYE PAZARLIKLARI
Fidye pazarlığı kavramı, Ransomware kavramıyla son derece ilintilidir. Ortaya çıkma
sebebi direkt olarak fidye yazılım saldırılarının hasarlarını hafifletmek ve saldırıya
uğrayan kurbanların daha az veya tamamen fidye ödemekten kurtulmasını sağlamaktır.
Geçmişte bu pazarlıklar şimdikilerine nazaran çok daha basit ve kısa şekilde
yapılıyordu. Ancak günümüzde son derece profesyonel olan saldırganlar, bu pazarlık
32. 32
masalarından kozları ellerinde tuttukları için amaçları olan parayı bir şekilde alarak
kalkabilmektedirler.
3.1. Fidye Pazarlığı Nedir?
Fidye pazarlığı kavramı, Ransomware saldırılarında kurban ve saldırgan arasında geçen
müzakereyi ifade etmektedir.
Bu müzakerelerden önce saldırgan saldırısını tamamlamış ve şifrelemesi gereken
verileri veya kilitlemesi gereken sistemleri kilitlemiştir. Bu çok değerli veriler veya
firma için hayati önem taşıyan sistemleri geri alabilmek için kurbanların, saldırganlar
tarafından talep edilen fidyeyi ödemesi gerekmektedir. Ancak bu meblağlar her zaman
kurbanların ödeyebileceği miktarlar olmayabilir. Her ne kadar saldırganlar, modern
pazarlıklarda şirketlerin cirolarına ulaşarak ödenebilecek bir fidye istese de hiçbir firma
bu fidyelerin tamamını ödemek istemez. (Firmaların ciro bilgilerine SAP yazılımına
sızarak elde etmektedirler.)
Bu noktada devreye fidye pazarlığı adımı girmektedir. Genellikle saldırganların
belirttiği bir mesajlaşma ortamında anlık konuşmalar gerçekleştirerek iki taraf bir
müzakereye girer ve ödenecek fiyat konusunda uzlaşmaya çalışır. Buradaki en önemli
noktalardan birisi bu pazarlıkları yapacak olan kişilerin yetkinlikleridir. Bu konuda
uzmanlığı veya yetkinliği bulunmayan kişilerin böyle pazarlıklara oturması masadan
çok daha büyük zararlar ile kalkılmasına sebep olabilir.
3.2 Pazarlık Aşamaları
Fidye pazarlığına başlamadan önce bu pazarlık sürecinin sağlıklı geçmesi ve minimum
hasar ile atlatılması için takip edilmesi gereken bazı adımlar bulunmaktadır.
Fidye pazarlığı aşamaları genel olarak 5 adımdan oluşmaktadır.
33. 33
Şekil 3.1 Fidye Pazarlığı adımlarını gösteren şema.
Teknik Ayrıntılar: Teknik ayrıntılar adımında öncelikle belirlenmesi gereken husus
güvenlik açığının giderildiğinden emin olunmasıdır. Bu konuda emin olabilmek
saldırganların sistemde ne kadar hasar bıraktığını ve bu hasarı stabil hale getirebilmek
için gereklidir. Bu kontrol sağlandıktan sonra saldırganların sistemin ne kadarını
şifrelediğini veya kilitlediği kontrol edilmelidir. Bu kontrol sonucunda tüm sistemin
şifrelenmediği tespit edilirse pazarlık sırasında bu bir koz olarak kullanılabilir. Tüm
sistem şifrelenmediyse tüm fidyeyi ödemek zorunda kalmayabilirsiniz. Son olarak
saldırganların iletişim için kullandığı ve size belirttiği mesajlaşma portalına erişiminizi
kontrol edebilirsiniz.
Araştırma ve Tanıma: Bu adımda bulaşan yazılım türünü belirlemek (Locker, Crypto
gibi) ve uzman bir ekip veya bu konuda tecrübeli danışman firma ile iletişime geçmek
son derece önemlidir. Ayrıca size saldıran fidye çetesinin kimliğini tespit edebilmek,
pazarlık sırasında size yardımcı olabilir. Fidye çetesinin kimliğini belirleyebilmek,
düşmanınızı tanıyarak ona göre bir aksiyon almanızı sağlayabilir. Çünkü her ne kadar
karanlık tarafta olan insanlar olsalar da bazı çeteler yaptıkları işi son derece ciddiye
alırlar ve sözlerinde dururlar. Ancak çok daha amatör ve bir iş anlayışına sahip olmayan
saldırganlar talep ettikleri fidyeyi aldıktan sonra vaat ettikleri anahtarları sizinle
paylaşmayabilirler.
34. 34
Şekil 3.2 En aktif Ransomware saldırı grupları.
Ek olarak, çetenin önceki saldırılardaki tutumları incelenerek nasıl bir pazarlık yapısına
sahip olduğu ve pazarlık sırasındaki davranışları tespit edilerek müzakere için çok daha
hazırlıklı bir hale gelinebilir.
Müzakere: Saldırganlar ile müzakere yapacak aşamaya gelindiğinde asla
unutulmaması gereken şey, onların bu duruma son derece profesyonel yaklaştıklarıdır.
Kesinlikle duygusal çağrışımlardan etkilenmezler ve sizin durumunuz onlar için bir şey
ifade etmez. O yüzden saldırganlarla iletişim halindeyken siz de bu duruma son derece
soğuk kanlı ve profesyonel yaklaşmalısınız. Görüşmeler esnasında saldırganları
şüphelendirecek şekilde görüşmeyi uzatmak onları kuşkuya düşürüp görüşmeyi
sonlandırmaya yönlendirebilir. Unutulmaması gerek diğer bir husus ise bu görüşmede
iplerin sizin değil saldırganların elinde olduğudur. Bu yüzden müzakere sırasında keskin
ve katı tavırlardan uzak durmalısınız. Elbette bu saldırganların istediği her isteğe pozitif
bir yanıt vermeniz gerektiği anlamına gelmemektedir, ancak onlara iyi veya kötü bir
ödeme yapılacağını söylemek ve bu konuda onları ikna etmek görüşmelerin devamlılığı
açısından önemlidir. Sonuçta saldırganlar için bir maliyet ve kar durumu bulunmaz,
onlar için önemli olan tek şey masadan para ile ayrılmaktır.
Saldırganlar tarafından size verilecek olan çözücü anahtarın düzgünce çalıştığından
emin olmak da sizin için son derece önemlidir. Bunun için karşı taraftan bunun bir örnek
ile size ispat edilmesini talep edebilirsiniz. Ayrıca ödemeyi yapmadan önce şifrelenen
35. 35
dosyalarınızın güvenliğinden de emin olmalısınız. Sonuç olarak; gerçek hayatta önemli
bir insan kaçırılıp teslim edilmesi için fidye istendiğinde zarar görüp görmediği teyit
ediliyorsa, sizin de bu durumdaki tavrınız bu şekilde olmalıdır.
Ödeme: Saldırganlar ile yapılan müzakere sonucunda belirli bir miktarda fidye
ödemeniz gerekecektir. Ödenecek miktar konusunda müzakere aşamasında saldırganlar
ile uzlaştıktan sonra bu ödemenin hangi yolla yapılacağı belirlenir. Saldırganlar
genellikle ödemelerini BTC olarak isterler, bunun sebebi kurbanların ödemeyi kolay bir
şekilde yapabilmesidir. Çünkü BTC’nin dönüşümü ve aktarımı diğer kripto para
birimlerine göre daha kolaydır.
Bu durumlar gelişirken mesaj platformundaki konuşmaları ve ödeme yaptığınıza dair
kanıtları dışarı aktararak belgelemeniz sizin için mantıklı olabilir. Bu belgeleri sigorta
işlemleri için kullanabilirsiniz.
Ödeme aşamasında bilinmesi gereken bir diğer husus ise verilerinizin ağınız
şifrelenmeden önce sızdırılması durumudur. Eğer verileriniz ağ şifrelenmeden önce
sızdırıldıysa, saldırganların bunlarla size şantaj yapıp yapmayacağı tamamen onların
inisiyatifine kalmıştır. Fakat şu da bilinmelidir ki saldırganların bu davranışı onların
prestijini düşürecektir. Bu yüzden genellikle saldırgan grup böyle bir yol izlemez.
Son olarak yaşadığınız bu durum bir veri ihlali durumudur. Bu yüzden bu alandaki
denetleme kurumları tarafından bazı yaptırımlara maruz kalabilirsiniz. Bunun sebebi
elinizdeki kritik verilerin güvenliğinin sizin sorumluluğunuz altında olmasıdır. Bu
verileri kullanarak, işleyerek ve depolayarak onları güvende tutacağınızı taahhüt etmiş
olursunuz.
Otopsi: Tüm süreç son bulduktan sonra ağın böyle bir atakla bir kez daha karşı karşıya
gelmemesi için ve ortaya çıkan maddi hasarın belirlenmesi için bazı incelemeler ve
analizler yapılmalıdır. İlk olarak en kısa zamanda bir pentest yapılmalı ve pentest
sonuçları uzmanlar tarafından incelenerek zayıflıklar hızlıca güçlendirilmelidir.
Firmanın; iş ortağı, müşterisi ve saldırı sonucu etkilenebilecek tüm bireyleri bu durum
hakkında bilgilendirilmelidir. Bu bilgilendirme saldırının kapsamını, nasıl
gerçekleştiğini ve olayın tasvirini içermelidir. Bilgilendirme mesajı iletilen kişilerde
kurum için güven sorunu oluşturabileceğinden, aldığınız önlemleri ve saldırı sonrasında
36. 36
yapılan güvenlik önlemlerinin arttırılması konusunu ele alarak kişilerin güvenini
sağlamak gerekmektedir.
3.3. Fidye Pazarlığını Kimler Yapmalı?
Tahmin edilenin aksine, bu pazarlıkların yapılması konusunda sorumlu olan kişiler
firma sahipleri veya yönetim kurulları değildir. Fidye pazarlık aşamasına gelindiğinde
bunu yapacak olan kişiler genellikle saldırıya uğrayan sistemlerin güvenliğinden
sorumlu olan kişiler veya bu konuda tecrübesi olan kişilerdir.
Şirketlerin hizmet aldığı danışman firmalarda bu tarz durumlar için görüşme
yapabilecek kabiliyette personeller bulunabilir. Bu yüzden hizmet alınan danışman
firmalarla görüşmek ve destek istemek bir seçenek olabilir.
Günümüzde fidye pazarlık uzmanlığı için eğitim veren veya bu tarz bir pozisyonda
eleman arayan firmalar olmadığı için spesifik olarak bir kişinin bu görevi üstlenmesi ve
üstesinden gelmesi pek de olanaklı değildir. Ancak bazı firmalarda siber saldırlar için
hazırlanan eylem planlarında (bir eylem planları var ise) her personelin bir görevi ve
acil durumlarda alması gereken aksiyonlar belirlenmiştir. Bu tarz önlemler alan bir
firmada fidye pazarlık masasına oturacak kişi seçilirken bazı kriterler göz önüne alınır:
Pazarlığı yapacak kişinin uzmanlık veya daha üstü bir seviyede ağ ve güvenlik
bilgisine sahip olması gerekmektedir.
Pazarlık yapacak kişinin bu süreci yönetecek yetkinliğe ve teknik bilgiye sahip
olması önemlidir.
Kriz yönetimi konularında tecrübeli ve eğitim almış kişilerin tercih edilmesi bir
avantaj olarak sayılabilir.
Kişilik olarak serinkanlı ve kendisini düzgün ifade edebilen kişilerin seçilmesi
sürecin diyalog kurulan kısmında bir artı olarak gösterilebilir.
Genel olarak yukarıda ifade edilen becerilere sahip kişiler, fidye pazarlığı konularında
acil durum planlarına pazarlıkçı olarak gösterilebilirler. Ancak unutulmamalıdır ki bu
bahsedilen durum, kendi yerel kaynakları ile uğradığı saldırıyı absorbe edebilecek
firmalar için daha uygundur. Bu kaynaklara sahip olmayan firmaların pazarlık konusu
için direkt olarak bir uzmanla iletişime geçmesi ve süreci o uzman aracılığı ile
ilerletmesi çok daha sağlıklı olacaktır.
37. 37
3.4. Ransomware Saldırılarında Fidyenin Belirlenmesi
Fidye pazarlıklarında talep edilen fidye; mağdurun saldırgana ödediği ve karşılığında
şifrelenmiş dosyaları için bir çözücü anahtar aldığı maddi tutar, meblağ olarak ifade
edilebilir.
Fidyenin belirlenmesinde önemli olan bazı durumlar bulunmaktadır. Bu durumlar,
istenilen fidyenin fiyatının belirlenmesinde son derece önem teşkil etmektedir.
Şifrelenen dosyaların kritikliği
Saldırganın görüşmeler sırasındaki güven veren tavırları
Mağdur tarafın istenilen fidyeyi veya pazarlık sonucu oluşan tutarı ödemeye razı
olması
Yukarıda ifade edilen durumlar, fidye pazarlıkları sırasında saldırganın size getireceği
teklifin belirlenmesinde doğrudan etkili olmaktadır. Özellikle saldırganların şifrelediği
dosyaların kritiklik seviyesi ile istenilen fidye miktarı arasında kesinlikle bir doğru
orantı bulunmaktadır.
Carbon Black9
Report, Ekim 2017’e göre Ransomware saldırısına uğrayan kurbanların
%52’si fidyeyi ödemeyi kabul etmektedir. Bu durum kurbanların yarısından azının
fidyeyi ödemediğini göstermektedir. Fidyeyi ödeyen kurbanların büyük bir kısmı
verilerine tekrar kavuşabilmektedir. Ancak ödemeyen %48’lik kesimin verilerini tekrar
alıp alamadığı bilinmemektedir.
Şekil 3.3. Bazı fidye çetelerinin pazarlık oranları ve pazarlığa başlangıç tutarlarını
gösteren bir tablo. (f-secure, 2017)
9
ABD merkezli bir siber güvenlik şirketidir.
38. 38
Carbon Black’in aynı raporunda, kurbanların %59’unun ise yalnızca 100 USD ve
altındaki fidyeleri ödeyebilecekleri belirlenmiştir.
Saldırganlar kurbanlarından ödeme alabilmek için bazı ödeme tekniklerini de
kullanmaktadır. Bu teknikler arasında fiyat farklılaştırması tekniği işe yarayan ve
olumlu sonuç veren tekniklerden birisidir. Fiyat farklılaştırması genel olarak üç farklı
yoldan yapılır:
Kişiselleştirilmiş fiyatlar
Fiyatların paket olarak sunulması
Mağdurları sınıflandırarak, her sınıf için bir fiyat belirlenmesi
Saldırganlar uyguladıkları bu fiyatlandırma politikaları ile kurbanlarından aldıkları
ödeme oranlarını arttırmayı hedeflemektedirler. Ancak daha önce de ifade edildiği gibi
unutulmaması gereken konu, saldırganların ne pahasına olursa olsun masadan para
olmadan kalkmamak istemeleridir. Saldırganların masayı devirip maddi bir karşılık
almadan görüşmeleri terk ettiği son derece nadir görülen bir durumdur. Bu nedenle
saldırılar sırasında pazarlıkları ılımlı bir şekilde ve profesyonelce yapmak ödenecek
olan fidye miktarında ciddi miktarlarda düşüş sağlayabilir.
3.5. Ödeme Yöntemleri
Fidye saldırılarında ödeme yapılırken, saldırganlar genellikle kendi güvenliklerini ön
planda tutarlar. Bu nedenle geleneksel ödeme yöntemleri son derece nadir olarak
görülmektedir. Bunun yerine ise saldırganlar için en güvenli ve en kolay ödeme yöntemi
olan BTC kripto para birimi kullanılır.
Bir kurban BTC olarak fidyesini ödemek istediği zaman, saldırganın kendisi ile
paylaştığı bir BTC adresine kararlaştırılan tutarı gönderir. Saldırganın penceresinden
bakacak olursak; gönderilen bu fidyelerin toplanması ve güvenli bir başka adrese
aktarılması sorunu bulunmaktadır. Bu yüzden saldırganlar tüm fidyeleri bir anahtar
adreste toplarlar. Bu anahtar adresin ancak bilinen bir küme içerisinde yer alması
saldırganların para akışının takip edilmesini sağlayabilir.
Saldırganların genellikle fidyeleri BTC olarak toplamasındaki önemli etkenler arasında
sadece güvenlik ve kolaylık yer almamaktadır. Bu kripto para biriminin değerinin
artması da saldırganları ödemeleri bu yolla alma konusunda son derece cezbetmiştir.
BTC’nin değerinin 2017 senesinde inanılmaz derece artması ve bu bağlamda son
39. 39
yılların en büyük fidye saldırılarının da (WannaCry, Petya) bu sene içerisinde yapılmış
olması elbette ki tesadüf değildir. Bahsi geçen sene içerisinde BTC’nin değeri tam 1579
kat artmıştı.
Şekil 3.4. BTC’nin 2017 senesindeki yükselişini gösteren grafik.
(https://tr.investing.com/crypto/bitcoin/chart)
3.5.1 Saldırganların BTC Tercihi
Fidye saldırılarında, saldırganların ödeme için BTC’yi tercih etmelerindeki bazı
faydalar yukarıda ifade edilmiştir. Bunların yanında bazı diğer tercih sebepleri
de bulunmaktadır. Bu sebepleri şu şekilde ifade edebiliriz: (www.bitcoin.org)
Anonimlik
Bir saldırganın ödemelerini almak için oluşturacağı bir BTC hesabında
kimlik doğrulaması yapmasının gerekli olmaması, onun gizliliğini
sağlaması anlamına gelmektedir.
Süreçlerin otomatikleştirilmesi
Fidyelerin toplanması aşamasında saldırganlar sürecin tüm kontrol ve
takibini sağlayan bir yazılım yazarak bu süreci otomatikleştirilmiş bir
hale getirebilirler. Bu da çok daha az eforla çok daha fazla iş yapmalarına
olanak sağlar.
Para iadesi yapılmaması
Bitcoin’de yaptığınız bir işlemin iptali veya iadesi söz konusu değildir.
Bu da saldırganlar için bir artı yön olarak sayılabilir. Yalnızca işlemdeki
alıcı tarafın talebi ile bir işlemin iadesi mümkün olmaktadır.
40. 40
İzlenebilirlik
BTC cüzdanının sahip olduğu özellikler, mağdurların yolladıkları
ödemelerin takip edilmesini mümkün kılmaktadır.
Uygunluk
BTC, yukarıda ifade edilen sebeplerden kaynaklı olarak saldırganlar için
biçilmiş kaftandır. Bu para biriminin sahip olduğu özellikler yasadışı
para transferi için son derece uygun bir ortam hazırlamaktadır.
3.6. Ödemelerin Güvenliği ve Geleceği
Ransomware saldırılarında fidye pazarlıklarının bir diğer boyutu ise, kurbanların
yaptıkları ödemelerin güvenliğidir. Bu güvenlikten kasıt; yapılan ödemenin karşılıksız
kalması ve çözücü anahtarların alınamamasıdır. Unutulmamalıdır ki, bu saldırılarda
yapılan ödemeler saldırganları finanse etmektedir ve bu saldırıların sıklaşmasında
önemli bir rol oynamaktadır. Bu sebeple saldırganlara ödenecek fidye miktarının çok
daha altında tutarlara firmanızın ya da sisteminizin siber güvenliğine yatırım yapmak
her zaman çok daha mantıklı olacaktır.
Ödemelerin güvenliği hususunda Escrow servisleri son zamanlarda ön plana
çıkmaktadır. Bu servisler aslında emanetçi bir kurum olarak düşünülebilir. Escrow
servisleri sayesinde saldırganla yapılan alışveriş sırasında, ödemeyi direkt saldırganın
kendisine yapmak yerine, bir Escrow servisine yaparak saldırganın ancak anahtarı
verdiği taktirde ücreti alabileceği bir ortam oluşturulabilir.
Güvenliğin geleceği konusunda ise bir diğer beklenti ise Escrow servisine benzer
mantığa sahip kripto para birimlerinin oluşmasıdır. Beklentiye göre; bu işlemler için
oluşturulacak para birimleri yalnızca saldırganın (veya bir kişinin belirli bir şartı
sağlaması sonrası) çözücü anahtarı yollaması sonucu ilgili kripto para birimini
kullanabilmesini mümkün kılar. (https://www.youtube.com/watch?v=EFeheWdjMSQ,
Yıldız, 2021)
41. 41
Ödemelerin güvenliği konusunda bir de saldırganların penceresinden bakacak olursak,
bu kişiler için en büyük tehdit, alınan ödeme yoluyla izlerinin bulunması ve kimlik
tespitlerinin yapılmasıdır. Bu yüzden bugüne kadar yoğun şekilde BTC ile ödeme alan
fidye çeteleri, artık BTC’nin mahremiyet konusundaki açıklarından dolayı yeni bir para
birimi arayışına girmişlerdir.
2014 senesinde ortaya çıkan ve BTC’nin gizlilik odaklı bir muadili olabilecek Monero
para birimi saldırganlar tarafında popüler olmaya başlamıştır. Bu para birimi birçok
açıdan BTC’den çok daha zor takip edilen ve gizlilik konusunda çok daha katı olan bir
para birimidir. Örneğin, şeffaflık konusunda son derece açık olan BTC; işlemlerin hangi
cüzdanlara dahil olduğu, miktarı ve para akışı gibi hususlarda takip edilebilmektedir.
Ancak Monero tüm bu ayrıntıları gizleyerek kullanıcısı için gizliliği ön planda
tutmaktadır. Ayrıca Monero da işlem yapmak için tek seferlik adresler oluştururlar, bu
adreslerdeki ödemelerin akışını da yalnızca taraflar görebilir. BTC’de de bu tarz bir
özellik bulunsa da bu bir ekstra özelliktir ve varsayılan olarak gelmez.
Monero para birimi RingCT özelliğine sahiptir. Bu özellik iki işlevden oluşmaktadır:
halka imza ve gizli işlem. Bu özelliğin çalışma prensibinde, yapılan her işleme yem
olarak 10 adet fon ekler. Bu da işlemi analiz eden kişi için gerçek işlemi bulmayı
neredeyse imkansız hale getirir. Ek olarak Monero, kullandığı algoritmik şifreleme
metodu ile paranın gerçekte ne kadar el değiştirdiğini bulmayı engeller. ZeroLink
adında benzer bir işlem BTC’de de bulunmaktadır, ancak ne olursa olsun BTC işlem
tutarını gizlemez ve işlemler daima açık blok zincire kaydedilir. Bu da aslında gizli
olmadığı ve takip edilebilir olduğu anlamına gelir. (https://www.ozztech.net/siber-
guvenlik/siber-suclular-neden-fidye-talepleri-icin-moneroya-geciyor/ ,2021)
Sonuç olarak; yakın gelecekte saldırganların BTC’den vazgeçerek Monero veya çalışma
prensibi Monero’ya benzer olan para birimleri ile ödeme alarak, gizliliklerini arttırması
ve korumaya alması beklenmektedir.
42. 42
Şekil 3.5. Monero’nun 5 yıllık piyasa hareketliliği ve USD olarak değeri.
(https://www.google.com/search?client=opera&q=Monero&sourceid=opera&ie=UT
F-8&oe=UTF-8)
4. ANKET ÇALIŞMASI
Çalışmanın bu bölümünde yukarıda ayrıntılı olarak incelenen konular ile alakalı bir
anket yapılmıştır. Anket toplam 10 sorudan oluşmaktadır ve sorulan sorular, insanların
farkındalığıyla alakalı bilgi edinebilmek amaçlı hazırlanmıştır. Anket çalışmasının
yapılmasındaki amaç; insanların elde edilen bulgulardan ne kadar haberdar olduğunu,
tehlike unsurlarını tanıyabilmeleri, koruma yöntemlerini kullanmaları gibi durumlar
hakkında somut ve birinci elden bir kaynak üreterek fikir sahibi olmaktır.
Anketin uygulandığı katılımcı kitlesinin özellikleri şu şekildedir:
En küçük katılımcı 18, en büyüğü ise 40 yaşlarındadır.
Toplam 50 kişi ankete katılım sağlamıştır.
Soruları cevaplayan katılımcılar; günlük hayatta bilgisayar ve internet
teknolojileri ile ilişkilidir.
Anketi cevaplayan katılımcıların cinsiyet oranı belli değildir. Kadın veya
erkek olmaları bu ankette dikkate alınmamıştır.
43. 43
Anket hazırlanırken Google Anketler servisinden yararlanılmıştır. Anketin yapıldığı
sayfaya gitmek aşağıdaki uzantıyı kullanabilirsiniz:
(https://docs.google.com/forms/d/19qIiT7E4FzumXEraG9uV2miNGZkVGv_FbGEP
pMTTHew/edit)
4.1. Sonuçlar
Soru 1
Şekil 4.1. Birinci anket sorusu.
Günümüzde internete bağlantı sağladığımızda, kendimizi daha önce hiç gitmediğimiz
tenha bir sokaktaki gibi hissedebiliriz. Tıkladığımız her bağlantı, indirdiğimiz her
dosya bizim için bir tehdit unsurudur. Bu soruda da katılımcıların verdikleri cevaplara
göre, katılanların büyük bir çoğunluğu kendini güvende hissetmemektedir. Bu
güvensizlik hissi, insanların internette çok daha dikkatli davranmasına sebebiyet verir.
Bu güvensizlik hissiyatı ise kullanıcıları güvenlik önlemleri almaya teşvik edebilir. Bu
sebeple internette gezinirken her bağlantıya ve siteye potansiyel tehlike gözüyle
yaklaşmak, internet ortamındaki güvenliği arttırabilmektedir.
44. 44
Soru 2
Şekil 4.2. İkinci anket sorusu.
Bahsi geçen kavramın %70 oranında bilinmemesi, kullanıcıların farkındalık
seviyelerindeki düşüklüğü ifade etmektedir. Bilgisayarın ve internetin artık yalnızca
mühendisler, ağ yöneticileri ve güvenlik personelleri gibi işi gereği kullanan insanlar
tarafından kullanılmadığı bilinmektedir. Bu yüzden tüm insanların bir şekilde belirli
cihazlar yardımıyla internete çıktığını söyleyebiliriz.
Sonuç olarak interneti kullanan herkes, getirdiği risklerden ve tehditlerden haberdar
olmalıdır. Bu da ancak farkındalık ve bilgi güvenliği eğitimleri ile mümkündür.
Soru 3
Şekil 4.3. Üçüncü anket sorusu
45. 45
Ransomware kavramı, özellikle siber güvenlik konularıyla ilgilenen bireylerin çok
daha sık duyduğu ve karşılaştığı bir kavramdır. Bu sebeple olacak ki, kullanıcıların
tamamına yakını Ransomware kavramının ne olduğunu bilmemektedir. Ancak
günümüzde internetin ve dünyanın gittiği noktaya bakacak olursak, bu saldırıların
artması ve herkesin bir şekilde tehlikeye gireceği hususu ön plana çıkmaktadır.
Her bir veri sızıntısı ya da kullanıcı verilerinin çalınması işlemi bir zafiyet doğurur.
Bu zafiyetlerden beslenen kötü niyetli kişiler, elde ettikleri kritik veya kişiye özel
verilerle, kişilere veya kurumlara şantaj düzenleyebilirler. Günümüzde verinin
saklanması ve korunması gibi konuların da sürekli olarak gündemde olması ve ülkemiz
başta olmak üzere birçok ülkede veri sızıntılarının raporlanması tehlikenin boyutunu
bizlere açıkça göstermektedir.
Soru 4
Şekil 4.4. Dördüncü anket sorusu
Bu kavramın Ransomware kavramından çok daha fazla bilinir olmasının sebebi,
örneklemdeki insanların bu tarz bir konuya olan ilgilerinden kaynaklanıyor olabilir.
%20’lik kesimin ise bu kavramı gerçek hayattaki fidye pazarlığı ile karıştırmış olma
ihtimali oldukça yüksek görünmektedir.
46. 46
Soru 5
Şekil 4.5. Beşinci anket sorusu
Bu soruda, cihazlarına Trojan bulaşan ve bulaşmayan katılımcıların oranından çok bu
durumdan haberi olmayan kullanıcıların fazla olması son derece endişe vericidir.
Cihazınıza bir Trojan bulaştığında, sıradan anti virüs yazılımı ile Trojan’ı bulup
cihazdan silmek zor değildir. Bu yüzden bu %40’lık oran, katılımcıların aslında bu
tehdidi göz ardı ettiğinin bir kanıtıdır. Diğer bir açıdan bakacak olursak, bilinçli bir
kullanıcı internet ortamında gezdiği sitelerde bir Trojan bulunup bulunmadığını yine
bir AV yazılımı ile saptayabilir. Ya da direkt olarak bir siteden dosya indirirken
SandBox kullanarak tehdidi cihaza sokmadan fark edebilir.
Sonuç olarak cihaza Trojan bulaşmasından ziyade bu bulaşmanın farkında olmamak
çok daha tehlikelidir. Çünkü Trojan, kullanıcı odaklı bir virüstür ve kullanıcının
yazılımı aktif etmesi ile harekete geçmektedir.
47. 47
Soru 6
Şekil 4.6. Altıncı anket sorusu
Bu soruda kullanıcıların neredeyse yarısının lisanslı bir anti virüs yazılımı kullandığını
görebiliyoruz. Bu oldukça önemli ancak bir o kadar da zayıf kalmış bir oran. Lisansız
kullanan katılımcıların ise büyük ölçüde lisans anahtarına bütçe ayıramamış olması
muhtemeldir. Bu tür yazılımların lisansları genellikle dolar ile satılır, bu yüzden
normalde olması gerekenden çok daha yüksek fiyatlar ile karşılaşılabilir. Bazı anti
virüs yazılımlarının ücretsiz sürümleri bulunmaktadır. Bu sürümler kapsamlı ve
planlanmış tarama gibi hizmetler sunmasalar da temel görevleri yerine getirebilirler.
Bir bilgisayar kullanıcısının hiçbir anti virüs yazılımı kullanmaması ise belki de en
tehlikeli durumlardan birisidir. Şahsi bir bilgisayara sahip olan herkesin giriş
seviyesinde bile olsa bir anti virüs yazılımı kullanması gerekmektedir. Bu yazılımları
kullanmamak, bir savaş alanında zırhsız ve korumasız gezmeye benzetilebilir.
48. 48
Soru 7
Şekil 4.7. Yedinci anket sorusu
Herkesin sıklıkla ziyaret ettiği ve güvenliğinden şüphe duymadığı bazı web siteleri
bulunmaktadır. Bu siteler bile bazen risk teşkil edebilirken, ilk kez ziyaret edeceğimiz
bir web sitesinde kişisel bilgilerimizi girmek veya bir bağlantıya tıklamak ne kadar
güvenilir olabilir? Güvenliğinden kuşku duyduğumuz bazı dosyalar, dokümanlar,
URL’ler hatta domain ve IP adreslerinin bile güvenliğini test edebileceğimiz web
tabanlı uygulamalar ya da masaüstü programlar bulunmaktadır.
Bunun yanı sıra bazı dosyaların güvenli sanal makinalarda açılmasını sağlayan
SandBox uygulamaları da bulunmaktadır. Bu şekilde güvenemediğiniz ancak açmanız
gereken bazı belgeleri güvenli bir şekilde sanal makinalarda açabilirsiniz. Bu
bahsedilen uygulamalara örnek olarak VirusTotal10
, Hybrid Analysis11
ve AnyRun12
verilebilir.
Katılımcıların bu konuda %40 oranında bu uygulamalardan haberdar olmaması ve
%30’a yakın bir oranda da böyle bir güvenlik kontrolüne ihtiyaç duymaması,
bilgisayar kullanıcılarının sistem güvenliği konusunu ne kadar göz ardı ettiğini açıkça
ifade etmektedir.
10
https://www.virustotal.com/gui/home/search
11
https://www.hybrid-analysis.com
12
https://app.any.run/#register
49. 49
Soru 8
Şekil 4.8. Sekizinci anket sorusu
Parolaların güvenliği günümüzde önemli bir sorun olarak karşımıza çıkıyor. Bu
şifreler sayesinde tüm mobil işlemlerimizi ve kişisel hesaplarımızı güvende tutarız.
Ancak insanlar için bu kadar büyük anlamlar ifade eden bu şifreler, maalesef hala son
derece tahmin edilebilir karakter dizilerinden seçiliyor ve tahmin edilmesi oldukça
kolay oluyor. Şifrelerimizi unutmadan, basit bir açık kaynaklı yazılım kullanarak, daha
komplike şifreler yaratıp bunları bu sistemlerde saklayabiliriz. Bu yazılımlar arasında
en bilinen olanlardan olan KeePass, son derece sade ve kolay bir ara yüze sahiptir.
Temel olarak tüm parola yönetim araçlarında mantık aynıdır; tüm şifrelerinizi yönetim
aracına kaydedersiniz, uygulamaya giriş yapmak için bir ana anahtar (master key)
belirlersiniz ve artık şifrelerinizi aklınızda tutmak yerine bir yönetim aracında saklamış
olursunuz. Bu tarz yöntemler kullanarak; sosyal medya, kişisel mail adresleri ve
bankacılık gibi önemli şifrelerinizi güvende tutmuş olursunuz.
Ankete göz attığımız zaman katılımcıların sadece %18’inin parola yönetim araçlarını
kullandığını görüyoruz. Şifrelerin sürekli unutulduğu ve tahmin edildiği bir döneme
göre son derece düşük bir oran olabilir fakat bu da bir ihtiyaca bağlıdır. Sadece telefonu
ile internete bağlanan ve sosyal medya hesapları hariç bir hesaba sahip olmayan
insanların bu tarz araçları kullanmalarına gerek olmayabilir. Çok daha fazla kişisel
hesaba sahip olup, karmaşık şifreler kullanan ve bunları düzenli güncelleyen yani
parola hijyenine dikkat eden insanlar için bu araçlar çok daha kullanışlı olmaktadır.
50. 50
Soru 9
Şekil 4.9. Dokuzuncu anket sorusu
Bir hesaba şifre koyarken; ardışık sayılar, doğum yılımız, adımız, tuttuğumuz takım
gibi tahmin edilebilir bilgileri parolada barındırmamak kullanacağımız parolanın
gücünü arttıracaktır. Parolamızın güçlü olması ise hesabımızın kaba kuvvet (Brute
Force) saldırılarından ve sözlük saldırılarından etkilenmemesi anlamına gelecektir.
Ayrıca bir hesabın şifresinin direkt sosyal mühendislik metotları ile de çözülebileceği
hesaba katılırsa en güvenli yöntem; bir rastgele şifre oluşturucudan belirli
parametrelere uygun şifreler almaktır. İnternette bunu yapabileceğiniz birçok site
bulunmaktadır. Örnek: https://passwordsgenerator.net
Bu soruda katılımcıların yüksek oranda parola kuvvetine dikkat etmesi oldukça olumlu
bir sonuç olarak görülmektedir. Parola seçerken parolanın gücünden çok hatırlanması
için çaba gösteren %34’lük kesim ise bir önceki soruda bahsedilen bir parola yönetim
aracının kullanımı ile güçlü parolalara sahip olabilir ve bu parolaları unutmadan
saklayabilirler.
51. 51
Soru 10
Şekil 4.10. Onuncu anket sorusu
Bu soruya verilen yanıtlar, kullanıcıların internette yapılan şantaj taktiklerinden
haberdar olduğunu ve saldırganların tekniklerini bildiklerini gösteriyor. Soruya göre
gelen mailin direkt olarak silinmesi, bu tarz durumlarda yapılacak en doğru
aksiyondur. Bir saldırganın sizinle gerçek bir saldırı sırasında mail ile iletişime
geçmeyeceğini bilmelisiniz. Bu sebeple size gelen şantaj mailleri de aslında asılsız
olan ve literatüre “Phishing” yani oltalama olarak geçen mailler olarak değerlendirilir.
Sisteminizde yaptığınız tüm hareketlerden eminseniz, gerekli güvenlik önlemlerini
aldıysanız ve yasadışı web sitelerinde dolaşmıyorsanız siz de katılımcıların %32’si
gibi gelen bu mailin son derece asılsız ve gerçeği yansıtmadığını anlayabilirsiniz.
İnternetteki yerinizi ve dolaştığınız yerleri bilmek, sizi şüphe etmekten kurtarabilir.
Sonuç olarak hiçbir illegal ortamda bulunmadıysanız, size yapılan şeyin bir şantaj
olduğunu anında anlayabilirsiniz.
52. 52
SONUÇ
Yapılan bu çalışma, Fidye saldırılarını ve bu saldırıların getirdiği sonuçları ele almaya
gayret göstermiştir. Fidye saldırılarının birer sonucu olarak değerlendirilebilecek olan
Fidye pazarlıkları konusu ve Fidye saldırılarına sebebiyet verebilecek olan Trojan
(Truva Atı) virüsleri, detaylıca incelenmeye çalışılmıştır.
Öte yandan bir zararlı yazılımın (Malware) nasıl bir yapıya sahip olduğu, özelliklerinin
neler olduğu gibi konulara değinilerek, Trojan ve diğer virüslerin mantıkları ifade
edilmeye çalışılmıştır. Çalışmada da belirtildiği gibi, Ransomware bir virüs olarak
değerlendirilmez ancak bir virüs yoluyla bulaştığı söylenebilir. Bu sebeple koruma ve
defans yapılırken üzerinde yürünen zeminin bilinmesi açısından virüsler ve zararlı
yazılımlar hakkında bilgi sahibi olmak son derece önemlidir.
Bir sistemin önce Trojan virüsünden etkilenmesi, sonrasında bir Fidye saldırısına maruz
kalması günümüzde EDR yazılımları ile engellenebilir. Ancak çözüm bulunamayan bir
konu olan insan faktörü hala sistemler için tehdit oluşturmaktadır. Bu sorun yüzde yüz
çözülemeyeceği gibi, insan kaynaklı tehditleri sıfıra yaklaştırmak ve bunun için firma
veya kurum kapsamında farkındalık eğitimleri vermek faydalı olabilir.
Günümüzde fidye pazarlıkları saldırgan ve mağdur tarafın birer müzakerecisi ile
yapılmaktadır. Bu müzakere sonucunda kurban fidyeyi ödeyecekse saldırganın belirttiği
BTC adresine ödemeyi yapmalıdır. Bu ödemenin ne kadar zaman içerisinde yapılacağı
ve ödeme ile ilgili diğer ayrıntılar saldırgan taraf tarafından iletilir. Yakın geçmişte bazı
saldırganların ödemeyi artık klasikleşmiş olan BTC ile değil, Monero adlı bir para birimi
ile istediği görülmüştür. Bu para biriminin BTC’ye kıyasla gizlilik ve takip edilemezlik
özelliklerinin çok daha güçlü olması, saldırganları bu para birimi ile ödeme almaya
teşvik etmiştir.
Çalışmanın son kısmında yapılan anket çalışması kaliteli bir örneklem ile
yapılmamasına rağmen verdiği sonuçlar, bu konu hakkında yapılan diğer anket
çalışmalarına yakın sonuçlar vermiştir. Özellikle katılımcıların AV yazılımları kullanma
durumu ve parola gücüne verdikleri önem konularında genel davranış biçimi anket
sonucundaki gibidir.
53. 53
Son olarak çalışma kapsamında edinilen en büyük çıkarımlar; Ransomware
saldırılarının gerçekleşme evreleri, bulaşma şekilleri, Trojan virüsleri ile olan ilişkileri
kapsamında bir sisteme bulaşma yolları, etkileri, savunma yolları, bulaşma öncesinde,
sonrasına ve sırasında alınacak aksiyonlar, saldırı sonrasında alınacak önlemler, fidye
pazarlıkları, pazarlık aşamaları ve güvenli ödeme yöntemleri olarak ifade edilebilir.
54. 54
KAYNAKÇA
Akademik Yayınlar:
Canbek G, Sağıroğu Ş, Bilgisayar sistemlerine yapılan saldırılar ve türleri: bir
inceleme, Erciyes Üniversitesi Fen Bilimleri Enstitüsü Dergisi, Cilt:23, 2007, sf: 3-4.
Çeliktaş S. Güncel siber güvenlik tehditleri: fidye yazılımlar, Cyberpolitik Journal
Vol. 3, No. 5, 2018, sf: 110,111,119-127.
Çoban, S, Hackerlık kavramı, modeller ve medyada hackerlığın sunumu, Bilişim
Teknolojileri Online Dergisi, Cilt/Vol: 11, 2019, sf: 44-47.
Kılıç Ç, Dünden bugüne fidye yazılımların (ransomware) gelişimi ve geleceği, Bilgi
Üniversitesi, İstanbul
Web Kaynakları:
Aksan S, Siber dünyanın yeni çıkmazı: Sanal fidye, Erişim tarihi: Mart 2022,
https://www.trthaber.com/haber/gundem/siber-dunyanin-yeni-cikmazi-sanal-fidye-
593889.html
Başakçı G. Siber güvenlik saldırılarının motivasyon ve amaçları, Erişim tarihi: Mayıs
2022, https://www.bgasecurity.com/2019/05/siber-guvenlik-saldirilarinin-motivasyon-
ve-amaclari-bolum-5/
BTC Turk, Peer to Peer (P2P) nedir? P2P ağı nasıl çalışır?, Erişim tarihi: Nisan
2022, https://www.btcturk.com/bilgi-platformu/peer-to-peer-nedir-p2p-agi-nasil-
calisir/
Grustniy L, Fidye yazılımı destanı, Erişim Tarihi: Şubat 2022
https://www.kaspersky.com.tr/blog/history-of-ransomware/9509/
https://tr.wikipedia.org/wiki/Bilgisayar_virüsü
Kaspersky, Bilgisayar virüslerinin kısa geçmişi ve gelecekte beklenenler, Erişim taihi:
Şubat 2022, https://www.kaspersky.com.tr/resource-center/threats/a-brief-history-of-
computer-viruses-and-what-the-future-holds
Logix, How screen locker ransomware works, Erişim tarihi: Mart 2022,
https://logixconsulting.com/2019/12/13/how-screen-locker-ransomware-works/
Mebaysan, Siber Güvenlik, Erişim tarihi: Mart 2022,
https://github.com/mebaysan/SiberGuvenlik
Numérique T. Fidyeyi ödemeniz mi gerekiyor? Önce pazarlık yapın. Erişim tarihi:
Mart 2022, https://www.tremplin-numerique.org/tr/besoin-de-payer-la-rancon-
negocier-dabord
55. 55
Ozztech, Siber suçlular neden fidye talepleri için Monero’ya geçiyor?, Erişim tarihi:
Mayıs 2022, https://www.ozztech.net/siber-guvenlik/siber-suclular-neden-fidye-
talepleri-icin-moneroya-geciyor/
Sigortacı Gazetesi, Türk şirketler artan fidye yazılımı saldırıları nedeniyle büyük
maddi kayıplar yaşıyor, Erişim Tarihi: Şubat 2022,
https://sigortacigazetesi.com.tr/turk-sirketler-artan-fidye-yazilimi-saldirilari-nedeniyle-
buyuk-maddi-kayiplar-yasiyor/
Sparta Bilişim, Fidye yazılım (Ransomware) çeşitleri, Erişim tarihi: Nisan 2022,
https://sparta.com.tr/makaleler/fidye-yazilimi-cesitleri/
Tidy J, Büyük siber fidye saldırısının arkasındaki çete 70 milyon dolarlık Bitcoin
istiyor, Erişim tarihi: Nisan 2022, https://www.bbc.com/turkce/haberler-dunya-
57726727
Tidy J. Hackerşar California üniversitesinden 1,1 milyon dolar fidye aldı, Erişim
tarihi: Mart 2022, https://www.bbc.com/turkce/haberler-dunya-53229336
Wikipedia, Bilgisayar virüsü, Erişim tarihi: Şubat 2022,
Wikipedia, Fidye virüsü, Erişim tarihi: Mart 2022,
https://tr.wikipedia.org/wiki/Fidye_virüsü
Wikipedia, Tor (Anonim Ağ), Erişim tarihi: Nisan 2022,
https://tr.wikipedia.org/wiki/Tor_(anonim_ağ)
Basılı Kitaplar:
Bülbül İ, Bingöl P. E , 2021. Etik Hackerlığa giriş. İstanbul: Hayy Kitap
Ünal A. N, 2015, Siber güvenlik ve elektronik bileşenleri. Ankara: Nobel
Diğer Web Kaynakları:
www.passwordsgenerator.net
www.bitcoin.org
www.getmonero.org
https://www.google.com/search?client=opera&q=Monero&sourceid=opera&ie=UTF-
8&oe=UTF-8
https://tr.investing.com/crypto/bitcoin/chart