Eyvah Hacklendim! Şimdi Ne Yapmam Gerekiyor?

Sanal ortamdaki kötü niyetli insanların veya oluşumlar tarafından sosyal medya hesaplarından, banka hesaplarına veya ticari bilgileri içeren şirket bilgisayarlarına kadar hassas bilgileri içeren tüm ortamlar hedef alınıyor. Yapılan araştırmalara göre ise siber saldırıların yaklaşık %99'u insan hatalarından faydalanıyor. Ayrıca veri gizliliğinin de önemi her geçen gün artıyor. Maruz kalınan saldırılarda işletmeler için ayrı bir yaptırım söz konusu olabilir. Bu noktada da ülkemizde kişisel verilerin korunmasını sağlamak, denetlemek ve gözetmek için Kişisel Verileri Koruma Kurumu (KVKK) görevlendirilmiştir.

Peki, böyle bir duruma neden olan eksiklikler nelerdir? Bu saldırılar nasıl önlenebilir?

İnternet iletişimimiz sağlanırken gösterilen zafiyetler, internetin açık ve şifresiz sistemler üzerinden çalıştırılması, yönetimdeki eksiklikler, zararlı yazılımları dağıtma yeteneği, kritik noktadaki sistemlere çevrimiçi erişme olanağı gibi sorunlar yüzünden farklı siber saldırılar söz konusudur.

Genel itibariyle yapılan belli siber saldırılar göz önünde bulundurulduğunda bunları; sosyal mühendislik teknikleri ile gerçekleştirilen oltalama (phishing) saldırıları, veri aldatmacası yapılması, bilinçsizce ve bilgisizce yapılan kullanımlar, kullanılan sistemlerde konfigürasyonun doğru olarak yapılmaması yüzünden meydana gelen zafiyetler, truva atı, virüs ve malware adlı zararlı yazılımlar, zararlı kod, spam veya zararlı ekler bulunduran e-posta saldırıları ve benzeri şekilde sıralamak mümkündür. Bugüne kadar yaşanmış en büyük 5 siber saldırı nedir merak ediyorsanız işte o saldırılar ve etkileri...

Bugüne Kadar Yapılan En Büyük 5 Siber Saldırı

Yapılan siber saldırıların çoğu normal saldırılardır. Fakat asıl siber saldırılar ve siber suçlar gözle görülemeyecek şekilde gerçekleştirilir. Bunun sebebine değinecek olursak; kötü amaçlı yazılımlar ve diğer yöntemler ile veri hırsızlığının en üst seviyeye kadar çıkartılmak istenilmektedir. Bu yüzden bu tarz siber saldırılar oldukça karmaşık ve büyük ölçekte yapılmaktadır. Son yıllarda gerçekleşen en çok dikkat çeken ve en büyük siber saldırılar şunlardır;

WannaCry

2017 yılında ortaya çıkan WannaCry adı verilen virüsün, Windows’un eski sürümlerinde bulunan güvenlik açığını kullanarak tüm dünyayı felç ettiğini söyleyebiliriz. Bu siber saldırı, çok sayıda sisteme fidye yazılımı ve kötü amaçlı yazılım yerleştirilmesi sonucu yaşanmıştır. Saldırı nedeniyle bazı hastanelerdeki tıbbi cihazlardan fabrikalardaki üretim yapan cihazlara kadar çok sayıda cihaz şifrelenerek üretimleri durma noktasına gelmiştir. Bu siber saldırı çok kısa bir sürede yaklaşık 150 ülkede 230.000 adetten fazla bilgisayara bulaşmıştır. Çoğu zaman gece saatlerini mesai saati olarak seçen saldırganlar, sabah bilgisayarlar açıldığı zaman etkilenen tüm sistemlere bir not defteri veya oluşturduğu html dosyası ile mesaj bırakarak kendilerine ulaşmalarını beklemektedir. Mesajın içeriğinde ise kısaca; “Oops, Your Files Have Been Encrypted” ya da “Your Files Are Encrypted” başlığı ile artık dosyalarınızın şifrelendiği ve erişilmesinin imkansız olduğu bilgisiyle beraber kripto para cüzdan ID’si aktarılıyor.

Saldırgan ödemenin yapılmasından sonra şifrelenmiş dosyaların çözümü için bir araç göndereceğini aktararak ödemeyi bekliyor. Bu olayda ABD’li taşımacılık şirketi Fedex, Fransız otomobil üreticisi Renault, telekomünikasyon firması Telefonica, birçok hastane ve önemli devlet kurumları maalesef iş göremez hale geldi.

NotPetya/ExPetr

NotPetya/ExPetr adlı siber saldırı gelmiş geçmiş en maliyetli siber saldırıdır. WannaCry ile aynı çalışma prensibine sahiptir. Yetkisiz erişim programlarını kullanarak ilerleyen bu siber saldırıda her şey çözülemeyecek bir şekilde şifrelenerek devre dışı bırakıldı. Genel olarak işletmeleri hedef alan bu saldırı WnnaCry ile kıyaslandığında daha az bilgisayara bulaşmış olsa bile çok daha fazla maliyetli bir siber saldırı olmuştur. Yaklaşık 10 milyar dolar civarında zarara neden olmuştur. 

Stuxnet

Stuxnet, en ünlü siber saldırılar arasında yer almaktadır. İran'da uranyum zenginleştirme santrifüjleri üzerine yapılmış olan bu siber saldırı, bu ülkedeki nükleer programının birkaç yıl yavaşlamasına neden olmuştur. Endüstriyel sistemlere karşı yapılan ilk siber saldırılar arasında yer alır. Asıl amacı bilgisayar ve laptop ile zarar vermek yerine özel bir görev için onlar üzerinden yayılmak olarak programlanmıştır. 

DarkHotel

DarkHotel siber saldırısı, konakladıkları otelde yer alan ağa bağlanan kişilerin yasal bir güncelleme yüklediklerini zannettikleri bir siber saldırı olmakla beraber bu zararlı yazılım kişilerin tuş vuruşlarını kaydederek (keylogger) dolandırıcılık saldırılarına neden olmuştur. Keylogger; kısaca; kullanıcının tüm klavye girişlerini ya da ekran görüntülerini kötü niyetli kişilere paylaşan casus yazılım yöntemidir. 

CryptoLocker Virüsü

Fidye zararlıları kategorisinde yer alan ve fidye virüsü olarak da bilinen CryptoLocker virüsü, çoğunlukla kurumlar, KOBİ'ler ve şirket gibi kuruluşlara karşı yapılan bir saldırı türüdür. Sistemde bulunan zafiyetlerden yararlanarak sistemdeki bilgileri ele geçirmek üzerine hedeflenen bu virüs elde edilen bilgileri kriptolayarak okunmaz duruma getirir. Okunamaz ve düzeltilemez durumda olan verilerin tekrar eski haline getirilebilmesi için bu saldırıyı yapan siber suçlular saldırı yaptıkları kurumlar ile iletişime geçerek bunun karşısında fidye talep ederler. Cryptolocker ülkemizde en çok rastlanılan fidye yazılım çeşitleri arasında yer alır. Bu saldırı çoğu zaman sahte e-mailler üzerinden kullanıcılara sahte faturaların iletilmesi ile gerçekleştirilmektedir. Bu tuzağa düşen kişiler, şifrelenerek kilitlenen verileri açabilmek için Bitcoin ile ödeme yapmaya zorlanmaktadır.

Cryptolocker Virüsüne Karşı Alınabilecek Tedbirler ve Bulaşması Durumunda Yapılabilecek İşlemler

Bu virüs tarafından dosyaların şifrelenmesi halinde yapılması mümkün olan fazla bir şey yoktur. Bu yüzden virüsün bulaşması en başından engellenmeli ve buna yönelik tedbirler alınmalıdır. Bunun için en başta web sitesi ya da e-posta üzerinden gelen yanıltıcı nokta ve bağlantıları açmamak gerekmektedir. Kurumlar tarafından gönderilen e-faturalar hiçbir zaman zip dosyası içerisine saklanmaz veya herhangi bir uzantılı dosya olarak gönderilmez.

Virüs tarafından ödeme yapılması için yönlendirilen adreslere itibar edilmemelidir ve para gönderim işlemi yapılmamalıdır. Çünkü parayı gönderseniz bile şifreyi size vereceklerinin garantisi yoktur. Ayrıca şahsın veya firmanın banka hesapları ve kredi kart banka bilgileri de tehlikeye girebilir.

Virüse yakalandığınızda tüm dosyaların şifrelemesi belli bir zaman alacağı için bu virüsün yol açtığı  “*.sifreli” ya da “*.encrypted” gibi uzantılı dosyalar görüldüğünde, bilgisayarın ivedi bir şekilde kapatılması ve tüm takılı belleklerin çıkartılması gerekmektedir. Bilgisayarı kapatmak için doğrudan fişini çekebilir veya laptop kullanıyorsanız power tuşuna basılı tutabilirsiniz.

Virüsten kurtulma adımları:

1. Virüsün sistemden temizlenmesi
2. Şifre indirilen dosyaların şifresiz hale döndürülmesi olarak iki aşamadan oluşur.

 

CryptoLocker virüsü, şifreleme için RSA-4096/AES-256 gibi oldukça güçlü şifreleme algoritmalarını kullanır. Brute force yöntemi kullanarak bu şifreleri kırmak için ilk olarak virüsün sızma yapmış olduğu sürücülerde veri kurtarma yazılımları kullanılarak silinen dosyaların orijinal hallerini geri getirilmesi denenmelidir. Diğer taraftan dosyaların başka bir kaynakta yedeğinin bulundurulması bu zararlı yazılımın etkisinden kurtulmanıza yardımcı olacaktır.

Virüs tarafından şifrelenen verileri tek tek geri getirmek çok uzun zaman alacağından Shadow Copy kullanarak bu verilerin yer aldığı dosyaları tarih bazlı görebilir ve toplu olarak geri yükleyebilirsiniz. Bunun için ShadowExplorer adlı ücretsiz yazılımı kullanabilirsiniz.

Bilgi Teknolojileri Uzmanları Tarafından Alınabilecek Başlıca Tedbirler

Tedbirlerin en başında iyi konfigüre edilmiş güvenlik duvarı (firewall) ile önlem alınmalıdır. Siber saldırganlar, en basit yol olarak sosyal mühendislik ile kullanıcı zaafını kullanarak ya da sistemlerin güvenlik açıklarını kullanarak özellikle işletmelerin bilgi sistemlerini tercih etmektedirler. Sosyal mühendislik ile fidye yazılımlarını kullanıyor, güvenlik duvarı olmayan bir yapı ile de işletim sistemlerindeki açıklarından faydalanılıyorlar (brute force attack). Siber saldırganlara karşı ilk adım, bilgi sistemlerini güçlü bir ağ arkasında bulundurmak olacaktır. Bunun için küçük işletmelerden orta ve büyük işletmelere kadar güçlü teknolojisi ve kolay kullanımıyla Berqnet firewall cihazlarını inceleyebilirsiniz.

İlginizi Çekebilir: İşletmem için hangi firewall cihazı uygun?

2020 yılından itibaren içinde bulunduğumuz pandemi sürecinin getirdiği uzaktan çalışma ortamı için en önemli kilit unsurlardan biri güvenli bir ağ oluşturulması ve çalışanların bu ortamdan şirket verilerine erişim yapabilmesidir. Birçok kişi için yabancı bir kelime olan VPN’nin, uzaktan çalışma kolaylığı ile artık bilinen bir kavram haline geldiğini söyleyebiliriz. Türkçe açılımı, sanal özel ağ anlamına gelen bu uygulama, firewall cihazları sayesinde kolay bir şekilde şirketinizdeki sistemlere erişim imkânı sağlıyor ve dışarıdan yetkisiz müdahalenin önüne geçmiş oluyor. Özetleyecek olursak; siber saldırılara maruz kalmamak için öncelikle firewall (güvenlik duvarı) cihazları arkasında korunmak, kullanıcıları bilinçlendirmek ve antivirüs yazılımları ile en uç noktayı kontrol altına alıp birçok çeşitli yedekleme ile önlem almak gerekiyor.

Güncel antivirüs programları kullanmak virüsü tespit etme konusunda oldukça önemlidir. Bunun dışında aşağıda yer alan hususlara da dikkat edilmelidir:

• Fidye amaçlı virüslerden etkilenen sistemlerden ciddi miktarlarda gelir elde etmesi nedeniyle virüsün farklı türleri de ortaya çıkmıştır ve tespit edilemeyen türevleri de bulunmaktadır. Bu durum nedeniyle virüse karşı etkili tedbirler geliştirilmelidir ve bu tedbirler derhal uygulanmalıdır.
• Antivirüs programları sahip olduğu davranışsal tespit yöntemi ile üst düzey bir tespit metodu olmasına rağmen her zaman virüsü tespit etmek amaçlı kullanılamamaktadır. Bunun sebebi virüs tarafından yapılan yeni dosya oluşturma ve silme işlemlerinin çoklu dosya taşıma sırasında yapılması nedeniyle antivirüs tarafından normal dosya taşıma işlemlerinde farklı algılanmaması sonucu sorunlar yaşanmasıdır. Bu sorunların önüne geçebilmek için işletim sistemi, kurulu programlar ve diğer eklentilere ait güncellemelerin düzenli bir şekilde yapılması gerekir.
• Dosya sunucu yedekleri daha sık alınmalı ve dosya sunucularında versiyonlama işlevi gören Shadow Copy fonksiyonu her zaman aktif olmalıdır.
• Kritik dosyaların yer aldığı dosya sunucusu bulunmayan sistemlerde kullanılan bilgisayarlarda belli aralıklarla mevcut verilerin üzerine yedekleme yapılmamalıdır.
• %AppData% klasörünün üzerinden bir yazılımın çalışmasını engellemek amaçlı bir çözüm bulunabilir. Bu çözümü grup politikası olarak uygulamak da mümkündür.
• Çalışan eğitimleri sürekli olarak yapılmalı ve ihmal edilmemelidir. Unutulmamalıdır ki dünyanın en iyi güvenlik ürünleri de kullanılsa siber saldırıların başlıca sebepleri arasında insan hataları listenin başında yer almaktadır.

Sonuç olarak:

Cryptolocker virüsü ülkemizde genel itibariyle sahte e-faturalar ve e-postalar üzerinden yayılmakta ve tehdit oluşturmaktadır. Bu duruma dikkat etmekle beraber, siber suçlu kişilerin virüsü yaymak için her zaman farklı ve yeni yöntemler bulma ihtimali göz ardı edilmemelidir.

Ne olursa olsun her zaman internetten gelmiş olan tüm dosyalara şüpheli dosya olarak yaklaşıp dosyanın kaynağı ve türü tam olarak tespit edildikten sonra dosyalar açılmalıdır.

Siber güvenlik konusu ile alakalı genellikle bilgi eksikliği bulunması nedeniyle bilgisayarlara virüs bulaşması oldukça kolay ve muhtemeldir. Siber güvenlikle alakalı temel tedbirlerin uygulanması hem sistemleri hem de bilgisayarları çoğu siber saldırıdan korumak için yeterlidir. Bu yüzden bilgisayar ve internet kullanıcıları arasında siber farkındalığın artırılmasına yönelik çalışmalar yapılması, kurumların siber güvenlik personellerinin uzmanlık seviyesinin yükseltilmesi gerekmektedir. Bu konular siber tehdit ve saldırılardan korunmak için oldukça büyük öneme sahiptir. Bunun dışında siber suçlar ile mücadelede etik hacker olarak adlandırılan kişilerden destek alınabilir. Bu kişiler devlet desteği ile yetiştirilmekte ve kendilerini geliştirmektedir. Herhangi bir siber saldırıya uğradığınızda siber suçlar ile mücadele birimlerine başvurmanız sorunun yasal çözümünün bulunması noktasında da gereklidir. Sizin hesaplarınızda yapılacak işlemler sonrası yasal olarak suça dâhil olmanız mümkün olabilir. Bu yüzden yetkililer ile birlikte ve iletişim içinde mücadele etmek oldukça önemlidir.

21 Mayıs 2021