Tatsız sürpriz: WANNACRY Virüsü
Sabah işe geldiniz ve bilgisayarınızı açtığınızda sizi bekleyen tatsız bir sürprizle karşılaştınız; WannaCry virüsü ile şifrelenmiş bir ekran. Yedekleme yapmış mıydınız? Bilgilere ulaşırlarsa neler olur? Güne böyle başlamak istemeyenlerdenseniz, birlikte WannaCry virüs saldırısını yakından tanıyalım.
Kurbanların bilgisayarlarını ele geçirerek, dosyalarının kilidini açmak için onları fidye ödemeye zorlayan kötü amaçlı yazılımlara fidye yazılımı denir. Temel bilgisayar işlevleri olan klavye, farenin devre dışı kalması ya da masaüstüne erişimin engellenmesi gibi durumlar da fidye yazılımlarına örnektir. Erişimin engellendiği bu tür de şifreleme pek yapılmadığından dosyalarınızın tahribatı söz konusu olmamaktadır. Ancak, dosyalarınızı şifreleyen fidye yazılımları, ödemeyi almadıklarında dosyaları kalıcı olarak sileceklerine dair not ileterek yaptıkları tatsız sürprizle durumu daha da içinden çıkılmaz bir hale getirmektedir. Siber suçlular, kendileri için karlı bir gelir kaynağı olarak gördükleri fidye yazılımları geliştirerek varlıklarını devam ettirirler. Fidye yazılımları, bilgisayarlarımızda e-posta ekleriyle, işletim sistemi ve ağ paylaşımlarındaki güvenlik açıklarıyla sinsice verilerimize sızarlar. Ve bu sızmayla sabit disk bölümlerini şifrelerler.
Verilerin kaybolmasına neden oldukları için hırsızlık olarak tanımlanabilen fidye yazılımlarından WannaCry (WannaCrypt olarak da bilinir) “Şifresini çözmek istiyor musunuz?” anlamında kullanılmaktadır. Microsoft Windows sistemlerindeki güvenlik açıklarını hedef alan fidye yazılım virüsü ilk kez 2017 Mayıs’ında saldırısını gerçekleştirdi. Güvenlik açığından yararlanan ve ağ paylaşım yoluyla hızla yayılan WannaCry saldırısının, sağlık hizmeti, ulaşım, enerji, telekomünikasyon, nakliye ve birçok sektördeki farklı işletmeyi olumsuz etkilediği bilinmektedir. Türkiye’deki en çarpıcı örneği ise günlük 1 Milyon TL kazancı olan bir e-ticaret sitesine yapılan saldırıdır. E-ticaret sitesine yönelik saldırı, siteyi kullanılamaz hale getirirken fiziki mağazalarda da kasa sisteminin çökmesine neden oldu. WannaCry saldırısında şifrelenmiş dosyaların iadesi için ise yaklaşık 300 Bitcoin (20 Milyon TL) istendi. Çözüm üretmek için uğraşan e-ticaret sitesi yetkilileri bu süreçte, fiziki mağazadaki müşterilerinin hesap makineleriyle toplanan fiyatlar ve manuel faturalar sebebiyle uzun bekleyişlerle mağazalardan ayrılmalarının ya da e-ticaret sitesine ulaşılamaması nedeniyle günlük kazançlarının kaybedilmesinin önüne geçemediler. Ayrıca, e-ticaret sitesi müşterileri hem kişisel verilerinin hem de kredi kartı verilerinin çalınmış olmasıyla ilgili yaşadıkları korkuları, sosyal medya aracılığıyla dile getirerek sitenin itibarını olumsuz etkileyen bir krize neden oldular.
WannaCry saldırısı, MRI (Manyetik Rezonans Görüntüleme) tarayıcıları, bilgisayarlar, kan depolama buzdolapları, ameliyathane ekipmanlarının tümünü etkilemiş olabilir. Bütün bunlar göz önüne alındığında saldırının sadece veri kaybına değil, işletmelerin itibarını da etkilendiğinden bahsetmek mümkündür. Vikipedia’nın verilerine göre, WannaCry, 2017 yılında 99 ülkedeki 230.000 bilgisayara bulaşarak 28 dilde fidye talep eden geniş çaplı bir siber saldırı başlattı (https://tr.wikipedia.org/wiki/WannaCry ). İlk Asya’da görülen WannaCry saldırısı kısa sürede Birleşik Krallık Ulusal Sağlık Hizmeti hastanelerini devre dışı bıraktığı gibi Japonya'da bulunan bir Honda Motor Company'nin kapanmasına kadar dünya çapında farklı işletmeler için hırsızlığın verdiği bir bozguna neden oldu. Virüs, sadece sıradan işletmelere değil, devlet kuruluşlarına ve ülkelere hizmet eden büyük firmalara da saldırı düzenlemiştir. Bu örnekleri; İspanya’daki Telekom şirketi Telefonica, enerji şirketi Iberdrola, kamu hizmeti şirketi Gas Natural, İngiltere’de Ulusal Sağlık Servisi, FedEx ve Deutsche Bahn şeklinde sıralamak mümkündür. Günümüzde halen devam etmekte olan bu virüs saldırısı farklı sektörlerdeki işletmelere zarar verebilmektedir.
Sağlık gibi insanlık için önemli bir sektörde ve diğer işletmelerin tümünde virüs sebebiyle şifreli dosyalara ulaşamamak günlük akışı etkileyebileceği gibi o anda oradan hizmet almak isteyen hastaların, hasta yakınlarının ya da farklı sektörlerdeki müşterilerin hizmet alamamaları işletme itibarını toplum gözünde olumsuz etkilemektedir. Verilerin yedekli olmaması, sistemin kullanılamıyor olması gibi durumlar işletmenin dijital dünyada gerçekleşmesi olası saldırılara karşı çözümünün olmadığını da ortaya koymaktadır. Maalesef fidye yazılımı saldırıları sonrasında işletmeler için en kötüsü sadece veri kayıplarıyla yola devam etmek değildir. Bunun yanında müşterilerinin/tüketicilerinin/danışmanlarının hizmetini verememelerinden dolayı oluşan olumsuz itibarı olumluya çevirmek için de uğraşmaları gereken bir süreci kapsamaktadır. İşletme itibarı, kurumların paydaşları yani çalışanları, ortakları, müşterileri tarafından algısını ve sahip olduğu değerleri ifade etmektedir. WannaCry saldırısı sebebiyle hizmet edemeyen işletmeler paydaşlarına ait verilerin çalınmasına sebep olabileceği gibi paydaşları tarafından algılanma süreçlerinde de olumsuz etkilenmektedirler. Ayrıca, itibarın kazandırılan bir şey olduğu göz önüne alınırsa, bu noktada, saldırıların işletmelerin itibarlarının da kaybolmasına neden olduğu söylenebilmektedir.
Fidye yazılım virüsleri bilgisayarlarınıza saldırı düzenlediğinde ekranınızda saldırganların bıraktığı bir yazı belirir. Şifreli dosyalara ulaşabilmeniz için sizden kripto para birimi bitcoin cinsinden fidye isterler. Paranın kendilerine nasıl iletileceğini ve iletim için size tanıdıkları zamanı da bu ekranda bildirirler. Aşağıda saldırı yapıldığında ekranda beliren yazı örneği yer almaktadır.
WannaCry saldırısı verilerinizi nasıl gasbediyor?
WannaCry, “The Shadow Brokers” adlı hacker grubu tarafından Microsoft Windows işletim sistemleri kullanıcı bilgisayarlarına saldırmak için geliştirilen EternalBlue ve Doublepulsar’ı kötüyü kullanmaktadır. WannaCry Doublepulsar saldırısı, güvenlik açığı EternalBlue’yu kullanarak ele geçirdiği bilgisayarlarda virüsü çalıştırmak için arka kapı anlamına gelen DoublePulsar’ı kullanmaktadır. Bu sebeple WannaCry virüsüne WannaCry DoublePulsar adı da verilmektedir. WannaCry DoublePulsar, Windows işletim sistemlerinde ağ üzerinden SYSTEM haklarıyla kod çalıştırılmasına izin veren ve SMS (server ve client arasında ağlar, yazıcılar, paylaşılan dosyalara erişimi sağlayan protokol-sunucu ileti bloğu-) servisini etkileyen MS17-010 kodlu zafiyetini kullanmaktadır. WannaCry, önce güvenlik açığı bulunan bilgisayarlara ulaşıp ardından sabit disk sürücüsünü şifreliyor ve ağ paylaşımlarıyla diğer bilgisayarlara yayılmayı gerçekleştiriyor. Dijital dünyada dolaşırken pencerelerin sizin kontrolünüz dışında açılması ya da size bağlı domainlere erişim sağlayan IP adreslerini kontrol ettiğinizde güvenlik açığının söz konusu olması durumları WannaCry Doublepulsar ile karşı karşıya olduğunuzu gösteren bazı örneklerdir. Sonuçta, saldırı yapan grup ekrana gelen bir uyarı ile şifreli dosyaların teslimini kripto para birimi bitcoin ile yapacağını bildiren bir fidye notu iletmektedir. Fidye ödenmezse şifreli dosyaların kalıcı olarak silineceğine dair uyarıyı da vermektedir. Bazı araştırmalara göre fidyeyi ödemesine rağmen kurbanların dosyaları alıp alamadığı da henüz net değildir.
WannaCry nasıl temizlenir?
WannaCry saldırısına uğrayan işletmelerin, bu yazılımı sistemden temizlemek için öncelikle fidye yazılım virüsünü kaldırmaya engel olacak yazılım ve işlemleri yok etmeleri gerekir. Sisteminizi tarayan ve çıkan sonuçta bu virüsleri bulan yazılımlar ilk temizliği yapar. Bu ilk müdahale, ilk çözümü oluşturur. Kullanılabilecek uygulamalar ile sistem çalıştırılır ve tarama gerçekleştirilir. Çıkan sonuçtaki log dosyasının okunması virüsten mağdur olan için sürecin detaylı analizini sağlar. Bunun sonunda yapılacak bir uygulama taraması da yeni bir temizliği gerçekleştirir. Birden fazla uygulama ve tarama süreci içeren bu temizleme yönteminde yaşanılan tatsız sürprizin tekrar etmemesi adına profesyonel siber güvenlik ekibimizle irtibat kurabilirsiniz.
WannaCry virüsünden korunma yolları
Microsoft Windows, 2017 Mart ayında bu güvenlik açığı için bir güncelleme yayımlamıştır. Ancak gerekli güncellemeyi yapmayan ve saldırılara karşı önlem almayan işletmeler maalesef bu saldırının mağduru olmuştur.
İşletmenizi WannaCry virüsünden korumak için yapabilecekleriniz şu şekildedir;
- İşletim sistemlerinizi ve yazılımlarınızı düzenli olarak güncellediğinizden, işletmedeki herkesin de güncellediğinden emin olun.
- İşletmeleriniz için önemli dosyalarınızı düzenli olarak yedekleyin. Bu yedekler birden fazla yapılıp en azından bir tanesi de sisteminizin dışında olsun.
- Sosyal mühendislik ve diğer saldırılardan korunmak için işletme çalışanlarınızı konuyla ilgili eğitin.
- Özellikle online çalışma ortamlarında klasörlere erişimlerin sınırlandırılması klasör erişimlerini kontrollü kılar.
- Göndericisini tanımadığınız ve güvenmediğiniz e-posta eklerini açmayın. İşletme içinde bununla ilgili uyarılarda bulunun.
- Güvenmediğiniz ve bilmediğiniz sitelerden dosya indirmeyin. Sadece güvendiğiniz siteleri kullanın ve işletmedeki diğer kişileri bu konuyla ilgili uyarın.
- Bilmediğiniz USB ve diğer portatif depolama cihazlarını kullanmayın.
- Wi-Fi ağları bilgisayar sistemlerinizi daha savunmasız hale getirir. Bu sebeple herkese açık Wi-Fi ağlarına dikkat edin. Şirket ağınıza Wi-Fi ağlarıyla bağlanmayın.
- İşletmenizin, şubelerinizin veya ofislerinizin siber güvenlik ihtiyaçları için geliştirdiğimiz Berqnet firewall cihazı ile kapsamlı bir koruma edinin.
- Siber güvenlik için işletmelerinizde yapılabilecekler için bir çalışma gerçekleştirin. Sonuçta, dijital dünyada saldırıların potansiyel kurbanı olabileceğini öngören ve bunun için çalışma yapan işletmeler saldırılardan kurtulabilmektedir. WannaCry saldırısında da görüldüğü gibi dijital dünyanın dinamiklerine göre yaşamayan işletmeler maalesef verilerini, itibarlarını, müşterilerini ve hatta hastalarını riske atabilmektedir. Oysa profesyonel bir destekle oluşturacağınız siber güvenlik kılavuzu bu olumsuzlukları yaşamanızın önüne geçecektir.
İşletmenizi ve İtibarınızı Siber Tehditlere Karşı Korumak İçin Berqnet Firewall Teklifi Alın
Berqnet firewall cihazı ile WannaCry bir felaket değil!
Pandemi sebebiyle uzaktan çalışmalar, uzaktan eğitim, uzaktan alışveriş yeni normalimiz oldu. Bu süreçte ağ paylaşımlarının, her bilgisayarın özellikli olarak siber saldırılardan korunmasının gerekliliği maalesef tatsız sürprizlerle görüldü. Bu sebeple işletmelerin dijital dünyada varlıklarını devam ettirmeleri ve işlerini düzenli yapabilmeleri için bu anlamda desteğe ihtiyacı olduğu söylenebilir. İşletme ölçeklerine uygun olarak, yerli ve alanında uzman AR-GE kadrosu tarafından geliştirilen Berqnet firewall cihazları siber güvenlik ihtiyaçlarınıza yönelik çözüm üretmektedir.
Berqnet firewall cihazı ile siz işlerinizle ilgilenirken işletme verilerinizi ve itibarınızı korumayı bize bırakabilirsiniz.
Sıkça Sorulan Sorular
Fidye yazılımı, siber saldırganların sisteme ya da dosyalarınıza ulaşabilmek amacıyla kullandıkları bir saldırı yöntemidir. Saldırganlar bu yöntemi kullanarak sisteme ya da ilgili dosyalara erişiminizi engelleyebilirler. Fidye yazılımıyla saldırganlar, sistem üzerinde depoladığınız verileri şifreler ve şifreyi kaldırmak için ise sizden fidye talep ederler. Siz, saldırganların talep ettiği fidyeyi ödeyene kadar tüm şifrelenmiş verileriniz rehin tutulur.
WannaCry fidye yazılımı, saldırganların siber saldırı yöntemlerinden biri olarak kullandıkları zararlı bir yazılımdır. Solucan adı verilen virüs yoluyla bilgisayarlara sızar. Genel olarak e-posta, forum siteleri, DVD, CD, kaynağı belli olmayan programlar ve korsan oyunlar yoluyla bulaşır.
Siber saldırganlar, 2017 yılında bir işletim sisteminin zayıflığından faydalanarak siber saldırı gerçekleştirdiler. WannaCry saldırısı yapılmadan önce, Shadow Brokers isimli bilgisayar korsanları Eternal Blue adlı yöntemini kamuya açık hale getirdi. İşletim sistemi güncel olmayan bilgisayarlar, güvenlik açığı sebebiyle saldırıdan olumsuz etkilendi. Bu saldırıda saldırganlar, 300 dolar değerinde bitcoin fidye talep etti. Ancak hemen arkasından talebini 600 dolara çıkardı. Saldırganlar, talep ettikleri tutarın 3 gün içinde ödenmemesi halinde tüm dosyaların kalıcı olarak silineceğini belirtti.
Bu tarz bir siber saldırıya maruz kalmanız halinde taleplere boyun eğmemenizde fayda vardır. Çünkü fidyeyi ödemeniz halinde şifrelerin kalkacağına ve dosyalarınıza yeniden erişebileceğinize dair bir garanti bulunmamaktadır. Yukarıdaki örnek vakada kullanıcılar istenen fidyeyi ödemiştir. Ancak sonrasında verilerini geri alıp almadıkları belli değildir. Kimi kullanıcıların dosyalarını geri alamadıkları iddiaları bulunmaktadır.
Windows işletim sisteminde EternalBlue MS17-010 vardır. WannaCry virüsü, EternalBlue MS17-010’u kullanır. Bu virüs, e-posta yoluyla gelen bir dosyayı açtığınızda ya da internette bir bağlantıya tıkladığınızda sisteme sızar. Windows SMB’de bulunan siber güvenlik açığını hedef alan virüs, aynı ağdaki diğer sistemlere de sızabilir.
Fidye yazılımlarından korunmak için belli başlı yöntemleri aşağıda bulabilirsiniz:
- Cihazınızın bünyesinde bulunan işletim sisteminin ve yazılımların daima güncel olduğundan emin olun.
- Çevrim içi çalışma ortamında dosyaların erişimini kısıtlayın. Böylece kimlerin erişimi sağlayabileceğini kontrol altına alabilirsiniz.
- Tanımadığınız biri tarafından gönderilen hiçbir e-postayı açmayın.
- Güvenilirliğinden emin olmadığınız hiçbir siteden dosya indirmeyin.
- Dosyalarınızı düzenli periyotlarla yedekleyin.
- Halka açık ağlarda şirket bilgilerinizi kullanırken VPN ya da Proxy gibi bağlantılarınızı şifreleyebileceğiniz yazılımları kullanın.
- Size ait olmayan ve güvenliğinden emin olmadığınız hiçbir depolama cihazını kendi bilgisayarınızda çalıştırmayın.
- Şirket ağında mutlaka siber saldırılardan koruyacak bir firewall cihazı kullanın.