Şifrelenen Verilerimizi Kurtarmak İçin İstenen Fidyeyi Ödeyelim Mi?

Dünya çapında birçok hacker için fidye yazılım enfeksiyonları çok kazançlı bir iş haline geldi. Bu zararlı yazılım örnekleri yıllardır görülmesine karşın saldırganlar başarı elde etmeye, yüksek finansal kazançlar sağlamaya devam ediyorlar.

ABD Başsavcısı Vekili Rod Rosenstein’ın 2017 Cambridge Cyber Zirvesi sırasında yaptığı açıklamaya göre, fidye yazılım saldırıları artık günlük bazda 100.000’in üzerinde bilgisayarı etkiliyor. Government Technology’nin raporuna göre, bu enfeksiyonların sıklığı ve kurbanların fidye taleplerini karşılaması, saldırganların yaklaşık 1 milyar dolarlık bir rakam gelir elde etmesini sağladı. Ancak, her saldırı aynı değil ve kurbanların kendilerinden talep edilen fidyeyi ödediği durumlarda dahi her veri kurtarılamadı.

Bilgisayar ekranında bir fidye yazılım saldırısı bilgisi belirdiğinde akla hemen gelen sorular: Kuruluş günlük faaliyetlerine nasıl devam edecek? Kullanıcılar önemli dosya ve verilere nasıl erişecek? Kuruluşun işleyişine devam etmesini sağlayacak yedek veriler mevcut mu?

Ancak bütün bu soruların başında şu geliyor: Fidye ödenmeli mi ödenmemeli mi?

Forbes dergisi güvenlik yazarı Lee Mathews Mart 2018 tarihinde yazmış olduğu yazısında diyor ki;

“Fidye yazılımı saldırısı çok korkutucu bir durum olabilir. Kurbanların birçoğu böyle bir saldırı ile karşılaştığında ne yapması gerektiğini bilemiyor. Ancak asla yapılmaması gereken bir şey varsa o da istenen fidyeyi ödemek. Bu, siber güvenlik uzmanlarının ilk fidye yazılım saldırıları ortaya çıktığından beri anlatmaya çalıştığı bir konu. Tekrar bulunamayacak aile yadigârı resimlerden, çok önemli kuruluş dosyalarına kadar her ne şifrelendiyse, bunlar sizin için çok önemli de olsa asla fidye ödenmemesi gerektiği söyleniyor ama malesef herkes bu tavsiyeye uymuyor.”

Forbes raporuna göre; fidye yazılım saldırılarının yayılması ve sıklığı hakkında ciddi şekilde bilgi sahibi olan FBI, 2016 yılında, kurbanların taleplere boyun eğmemesi ve saldırganların fidye taleplerini ödememesi gerektiğini belirtti. Kaspersky Labs’ın verilerine göre, fidye yazılım saldırılarında mağdur olan ve talep edilen fidyeyi ödeyen her beş şirketten yaklaşık bir tanesi söz verilen şifre çözme anahtarını alamadığı için bu tavsiyenin mantıklı olduğu da görülebiliyor. Bir diğer deyişle, fidye ödenen çoğu durumda kuruluşlar hem paralarından oluyor hem de kritik uygulama, dosya ve verilerine erişemez oluyor.

Bir başka Forbes yazarı Harold Stark “Yaşanan çoğu fidye yazılım saldırısında, uzun yıllardır toplanmış verilerin önemi çok yüksek ve buna oranla istenen fidye miktarı düşük kaldığı için, daha yasal kuruluşların haberi bile olmadan kurbanlar saldırganların taleplerine boyun eğmiş oluyor” diyor.

ZDNet haberine göre; Indiana merkezli Hancock Health hastanesinin sistemleri SamSam fidye yazılımı ile ele geçirildiğinde, saldırganlar tarafınca 55.000 Dolar veya 4 Bitcoin ödeme istendi. Çalışanlar ve kullanıcılar derhal uyarılmasına ve bilgilendirilmesine rağmen, hastanenin IT ekibi fidye yazılımın yayılmasını engelleyemedi. Söylenenlere göre bu saldırı hastanenin neredeyse tüm kilit önemdeki IT sistemlerini etkiledi, kullanıcılar e-postalarını kullanamaz oldu, elektronik sağlık sistemi kayıtları ve diğer iç platformlar kilitlendi. Bu durum 1400’den fazla dosyanın şifrelenmesi ve “Üzgünüm” (I’m Sorry) olarak adlandırılmasını içeriyordu. Bu örnekte seçilen olayda SamSam zararlı yazılımı, zafiyeti olan sunucuları buluyor ve ağdaki diğer cihazlara da yayılıyor, hızlı ve geniş çaplı bir saldırı düzenleyebiliyordu. ZDNet yazarı Charlie Osborne’nun belirttiği gibi, hackerlar fidye tutarına SamSam’in kurbanın altyapısında yayılma şiddetine göre karar veriyordu. Saldırının ve fidye talebinin yapılmasının ardından, hastane yöneticilerine istenen fidyeyi ödemek için bir hafta verilmiş ve aksi halde tüm dosya ve verileri kaybedecekleri söylenmişti. Kuruluşun verileri yedeklenmiş olmasına karşın – veri güvenliği için kilit önemde bir uygulama-, fidye ödemesinin yapılması kabul edildi. Bunun nedeni ise tüm veriler kurtarılabilecek olsa dahi, yedeklenmiş verilerin geri yüklenmesinin günler hatta haftalar alabileceğinin tahmin edilmesi ve acil bir çözüme ihtiyaç duyulmasıydı.

SamSam’den etkilenen Indiana’daki hastane fidye ödemesini yaptıktan sonra verilerini geri alabilmiş olmasına karşın her olay yaşayan kuruluş aynı derecede şanslı olmadı.

HealthcareITNews yazarı Bill Siwicki’ye göre, Kansas Kalp Hastanesi 2016 yılı ortasında gerçekleştirilen bir fidye yazılım saldırısının kurbanı oldu. Hastaların elektronik sağlık kayıtları sistemi içerisindeki verileri etkilenmezken ve günlük operasyonlar devam edebilir durumdayken, yetkililer yine de fidye ödemeye karar verdiler. Indiana Hancock Hastanesi’nden farklı olarak istenen “ufak” fidye tutarı ödendikten sonra da dosyalara ve verilere erişim sağlanamadı. Bunun yerine, saldırganlar ikinci bir fidye istediler. Kansas Kalp Hastanesi danışmanların uyarılarını dikkate alarak istenen ikinci fidyeyi ödemeyi reddetti ve etkilenen sistemlerin şifresi çözülemedi.

Bu hastanenin yaşamış olduğu durum onlara mahsus değil, örnekler gösteriyor ki, bilgisayar korsanları genellikle ilk olarak istenen “küçük” tutardaki fidye ödemesini aldıktan sonra ikinci ve daha yüksek tutarda bir fidye talebi ile geliyor.

“Bu gibi ödemeler için talepler artıyor ve asıl sorun kuruluşların istenen fidyeleri ödüyor olması” diyor Ryan Witt ve devam ediyor; “Fidye yazılımı saldırısı çok korkutucu bir durum olabilir. Kurbanların birçoğu böyle bir saldırı ile karşılaştığında ne yapması gerektiğini bilmiyor. Ancak asla yapılmaması gereken bir şey varsa o da istenen fidyeyi ödemek. Bu, siber güvenlik uzmanlarının ilk fidye yazılım saldırıları ortaya çıktığından beri anlatmaya çalıştığı bir konu. Tekrar bulunamayacak aile yadigârı resimlerden, çok önemli kuruluş dosyalarına kadar her ne şifrelendiyse, bunlar çok önemli de olsa fidye ödenmemesi gerektiği söyleniyor ama herkes bu tavsiyeye uymuyor.”

CyberEdge Group tarafınca yapılmış ve 1200 IT güvenlik uzmanı/yöneticisine yöneltilmiş anketin sonuçlarına göre; Fidye yazılım saldırısı sonucunda istenen fidye ödemesini yapan kuruluşların yalnız %19.1’i verilerini kurtarabilmiştir ve bu rakam saldırganlar tarafınca istenen fidyeyi ödemesine rağmen verilerini kurtaramayanlar ile neredeyse aynıdır (%19.6).

Şifrelenen verilerin fidye ödenmesine rağmen kurtarılamamasının da birkaç nedeni var; bazen zararlı yazılımın yaratıcısı olan kişinin tek amacı kurbanlarını korkutarak para almak oluyor ve en baştan bu verilerin şifresini kaldırmak gibi bir düşüncesi olmuyor. Bazense saldırgan istemeden verilere zarar vermiş oluyor, kullandığı zararlı yazılım şifrenin kaldırılmasını mümkün kılmıyor.

CyberEdge raporundan anlaşılabilecek bazı güzel haberler de var. Anket sonuçları gösteriyor ki kurbanların çoğunluğu (2/3’ü) fidye ödemesini kabul etmiyor. Bu kurbanların %86’sı kendileri yedekleme yaptığı dosyalardan verilerini kurtarabilmiş.

Anketten elde edilebilen diğer sonuçlar ise şöyle;

  • Ankete katılan 1200 IT profesyonelinin %55’i 2017 yılı içerisinde bir fidye yazılım enfeksiyonu yaşamış.
  • Fidye yazılım saldırısı yaşayan tüm kurbanların %61.3’ü fidye ödemesi yapmayı kabul etmemiş. Bunların %8’i verilerinin bir kısmını veya tamamını kaybederken, %53.3 oranında katılımcı verilerini kurtarmayı başarmış (yedekleme veya şifre çözme uygulamaları kullanılarak).
  • Fidye ödemesi yapmayı kabul eden %38.7’lik kısmın ise yarısından biraz azı (%19.1) saldırganların vermiş olduğu şifre ile verilerini kurtarmayı başarmış. Geri kalan %19.6 ise ödeme yapmasına rağmen verilerini kaybetmiş. Saldırganlar ödemeyi aldıktan sonra fidye yazılımının şifresini vermemiş, veya şifreyi vermiş ancak nasıl kullanılabileceğini belirtmemiş,

Her halükarda, rapor gösteriyor ki, fidye yazılım saldırısı kurbanlarının %27.6’sı fidye ödemesi yaparak veya yapmayarak verilerini tamamen kaybetmiş.

Benzeri birçok örnekte, incelemede ve raporda görülebileceği gibi, istenen fidye ödemesinin yapılması ile fidye yazılım saldırısının sona ereceğini düşünmek iyi bir strateji değil.

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*