Bilim-Teknoloji

Hacker'ların yeni şantaj silahı: Cryptolocker

Son zamanlarda çok sayıda internet kullanıcısı, özellikle de kurumlar Cryptolocker virüsünün hedefi oldu. Bilgilerini kurtarabilmek için hackerlara para ödeyenler de var. Al Jazeera virüsün nasıl yayıldığını ve korunma yollarını derledi.

Konular: Bilim-Teknoloji
Giderek artan Cryptolocker saldırıları internetin kabusu haline gelmek üzere. [Fotoğraf: Emisoft.com]

ABD ve Avrupa'nın ardından Türkiye'de de çok sayıda internet kullanıcısını hedef alan Cryptolocker virüsü, her gün yeni mağduriyetler yaratıyor. Botnet veya e-posta uzantısı yoluyla bulaşan Cryptolocker, hızla büyüyen bir piyasa haline gelen siber suçların en yeni ve sık rastlanan saldırılarından biri.

İlk olarak Eylül 2013'te tespit edilen Cryptolocker, bilgi çalmaya odaklanan kötü amaçlı yazılımlara (malware) kıyasla, hedef aldığı kişi ve organizasyonlara para amaçlı şantaj uyguluyor. Truva atı sınıfına giren Cryptolocker, bu özelliğiyle 'fidye yazılım' (ransomware) olarak tanımlanıyor.

Cryptolocker, ortaya çıktığı dönemlerde en zararlı botnet'lerden biri olan Zeus tarafından hızla yayıldı. FBI, 2010 yılında Zeus'u ağırlıklı olarak Doğu Avrupalı hacker'ların kullandığını tespit etmişti. Zeus sayesinde hacker'lerın 2007'den bu yana kazandığı para ise 70 milyon doların üzerinde.

Cryptolocker'ın ilk versiyonu, bilişim uzmanı Emre Tınaztepe tarafından deşifre edilmişti. Ancak fidye yazılımın 2014 sonundan itibaren yayılmaya başlayan güncellenmiş hali, çok daha güçlü ve henüz kırılamamış durumda. Güvenlik uzmanları Cryptolocker'ı deşifre etmeye çalışırken, internet kullanıcılarının dikkatli olması gerektiğini vurguluyorlar.

Nasıl çalışıyor?

Süleyman Özarslan, Picus Security Ar-Ge Yöneticisi.
Cryptolocker hakkında araştırma yapan siber güvenlik uzmanı Süleyman Özarslan, Al Jazeera'ya fidye yazılımın çalışma prensibini anlattı:

CryptoLocker saldırıları genel olarak oltalama (phishing) e-postaları aracılığıyla yayılıyor. Bu tür sahte e-postalar 'ttnet@turktelecom.org' veya 'ttnet@turktelekomfatura.info' gibi adreslerden gönderiliyor. Türk Telekom faturasının yanı sıra, Türk Hava Yolları veya çeşitli bankalardan gönderilen e-postalar içinde de gizlenebiliyor.

'1984324329 nolu hesabınıza ait Aralık-2014 Dönemi Türk Telekom Faturanız' gibi başlık taşıyan e-postalar, okuyan kişide şüphe yaratmayacak şekilde hazırlanıyor. E-postanın içeriği gerçek bir fatura izlenimi sunuyor.

Dikkat edilmesi gereken husus, fatura tutarının yüksek gösterilerek kişinin merakını uyandırması ve bu sayede e-postada yer alan 'E-faturamı Görüntüle' veya 'E-fatura Ödeme' gibi bağlantılara tıklanmasının sağlanması.

Kullanıcı e-postadaki bağlantıya tıkladığında, aşağıdaki gibi özenle hazırlanmış bir web sitesine yönlendiriliyor. CryptoLocker, sadece Windows işletim sistemlerini etkilediğinden, başka bir işletim sistemi kullanıyorsanız bu web sitesine giremiyorsunuz.

Sayfaya girdiğinizde sizden gelen HTTP isteğindeki user-agent (tarayıcı bilgileri) alanı kontrol ediliyor. Eğer cep telefonu ya da Windows dışındaki Mac OS X ve Linux gibi işletim sistemlerini kullanıyorsanız yeniden yönlendiriliyor ve sayfayı göremiyorsunuz.

Sayfa açıldığında Captcha kodu veya gösterilen sayıyı girmeniz isteniyor, ardından indir butonuna bastığınızda 'efatura_1984324329.zip' gibi adlandırılan .zip uzantılı dosya iniyor. Dosyayı açtığınızda, 'efatura_1984324329.pdf.exe' gibi ismi olan ve asıl zararlı yazılımı içeren dosya çıkıyor.

Bu dosyayı çalıştırdığınızda, CryptoLocker bilgisayarınızda bulunan dosyaları şifreliyor ve masaüstünüze bir not bırakıyor. Bu notta dosyalarınızın CryptoLocker tarafından şifrelendiği, dosyaları tekrar açabilmeniz için belirtilen miktarda parayı belli bir zaman içinde ödemeniz gerektiği yazıyor.

Ödeme yapmak için 'Click here to pay for recovery files' bağlantısına tıkladığınızda aşağıdaki sayfa açılıyor. Bu sayfada 498 ABD Doları veya eşdeğerde Bitcoin ödemeniz gerektiği, bu ücreti belirli bir sürede ödemezseniz, ücretin iki katına çıkacağı belirtiliyor. Ayrıca, dosyaların şifresini gerçekten çözebildiklerini göstermek için size sadece bir dosyayı ücretsiz olarak eski haline getirebilmeniz için gerekli bilgiyi veriyorlar.


‘Hacker ile haftalarca pazarlık yaptım’

Ankara merkezli bir medikal firmasında çalışan Zeynep Demirel, Cryptolocker saldırısına maruz kalmalarının ardından bilgilerini hacker'la uzlaşarak kurtarabildiklerini söyledi. Demirel, uzun süre pazarlık yaptığını belirttiği hacker'ın karakteri hakkında da bilgiler verdi: 

"Hacker ofisin sunucuları ve tüm bilgi ağını ele geçirdi. Pazarlığı 20 bin Euro'dan açtı ve büyük bir firma olduğumuzu, bu parayı rahatlıkla ödeyebileceğimizi söyledi. Kendisine belirttiği miktarda ödeme yapamayacağımızı belirtip uzun bir uzlaşma sürecine girdim. Diyaloglarımızın büyük kısmı güven unsuruna dayalıydı. Parayı ödememiz halinde bilgileri geri vermeyeceği konusunda şüphe duymamam gerektiğini belirtti. Bana düzgün iş yaptığını, bir itibarı olduğunu, sahtekarlık yaparsa kendisine bir daha iş verilmeyeceğini, sözünün eri olduğunu söyledi."

Demirel, bir siber suç örgütüne bağlı olduğu sinyalini veren hacker'ın diyalog uzadıkça tavrını yumuşattığını ifade etti:

"Hacker şifrelediği bilgilerin içeriğine ve son yedeklemelere kadar bakmış. Uzun süredir yedekleme yapmadığımız için elinde koz vardı. Yedekleme görevinin bana ait olduğunu ve istediği parayı ödemek zorunda kalırsak işimden olacağımı söyledim. Dahası, kadın olduğumu da öğrenince yumuşadı ve 1000 Euro'da anlaştık. Anlaştıktan sonra Ukash üzerinden ödeme kodu gönderdi. Ödemeyi yapmamızın ardından hem deşifre kodunu verdi hem de tüm güvenlik açıklarımızı listeledi."

'Yazılım çok daha akıllı hale geldi'

Cryptolocker üzerinde Türkiye'de ilk araştırmaları yürüten isimler arasında yer alan Emre Tınaztepe, fidye yazılımın ikinci versiyonunda daha da güçlendiğine dikkat çekti:

Zemana Baş Yazılım Mimari Emre Tınaztepe.
"Söz konusu yazılımın ilk versiyonları, sızılan sistemlere hacker tarafından bizzat yerleştirilirken son karşılaştığımız vakalarda bu işlem tamamen otomasyon şeklinde çalışıyor. Zararlı yazılımların kullandığı algoritmalar çok güçlü bilgisayarlarla bile binlerce yıl çözülemeyecek asimetrik şifreleme algoritmaları olduğu için istisnai durumlar hariç saldırgana para ödemeden dosyalarınızı geri almak mümkün olmuyor. İstisnai durumlar ise saldırganların şifreleme algoritmasını kullanırken yaptıkları hatalar olarak beliriyor. Geçtiğimiz yıl karşılaştığımız bir vakada saldırganın böyle bir hatasından faydalanarak, saldırgana para ödemeden dosyalarınızı çözebilen bir program geliştirmeyi başarmıştık."

Cryptolocker saldırıları neden arttı?

Hacker'ların büyüyen bir iş sektörü haline gelen siber suçlar arasında Cryptolocker'ı tercih etmelerinde önemli sebepler yatıyor. Kötü amaçlı yazılımlarla kontrol edilen bilgisayarların oluşturduğu botnet'ler, aynı anda birçok hedefe saldırı düzenlenmesini sağlıyor. Bu sayede hacker'lar hem zamandan kazanıyor hem de saldırıların maliyeti düşüyor.

Cryptolocker ile saldırı düzenleyen hacker'ların neredeyse tümü, yabancı ülkelerdeki şirket ve internet kullanıcılarını hedef alıyor. Yakalanma riski de neredeyse sıfıra iniyor.

Hacker'lar genelde istenen ücret gönderildiği zaman dosyalar üzerindeki şifreyi kaldırıyor ancak mağdurların hacker'a güvenmesini sağlayacak hiçbir geçerli sebep bulunmuyor.

Nelere dikkat etmeli?

Süleyman Özarslan ve Emre Tınaztepe, internet kullanıcılarının hem önemli bilgilerini kaybetmemek hem de yüksek meblağlarda fidye ödememek için dikkat etmeleri gereken hususları şu şekilde sıraladı:

- E-postaların hangi adresten gönderildiği kontrol edilmeli ve bağlantılara tıklamadan önce iki kere düşünmek gerekiyor,

- Her gün güncellenen bir antivirüs yazılımı bulundurmak önemli. Kurumsal firmalar anti-Spam veya anti-Phishing Gateway ismi verilen güvenlik ürünleriyle e-posta üzerinden gelecek tehditlerden kullanıcılarını korumalı.

- Bilgisayarınızda 'Dosya uzantılarını göster' seçeneği aktif hale getirilmeli (Denetim Masası>Görünüm ve Kişiselleştirme>Gizli dosya ve klasörleri göster),

- E-posta yoluyla gelen dosyaların ikonları ne olursa olsun, çalıştırılabilir olması durumunda kesinlikle açılmaması gerekiyor,

- Önemli veriler düzenli bir şekilde yedeklenmeli. Bunun için verilerinizin bir yedeğini bilgisayarınıza takılı olmayan bir hard diskte saklamanız veya bulut depolama hizmeti kullanmalısınız.

Kaynak: Al Jazeera

Müfit Yılmaz Gökmen

Bilim-Teknoloji yazarı Devamını oku

Yorumlar

Bu sitede yer alan içerikler sadece genel bilgilendirme amacı ile sunulmuştur. Yorumlarınızı kendi özgür iradeniz ile yayınlanmakta olup; bununla ilgili her türlü dolaylı ve doğrudan sorumluluğu tek başınıza üstlenmektesiniz. Böylelikle, Topluluk Kuralları ve Kullanım Koşulları'na uygun olarak, yorumlarınızı kullanmak, yeniden kullanmak, silmek veya yayınlamak üzere tarafımıza geri alınamaz, herhangi bir kısıtlamaya tabi olmayan (format, platform, süre sınırlaması da dahil, ancak bunlarla sınırlı olmamak kaydıyla) ve dünya genelinde geçerli olan ücretsiz bir lisans hakkı vermektesiniz.
;