Ransomware, içinde bulunduğumuz teknoloji çağının en sinir bozucu tehditlerinden biridir. Kişisel ve kurumsal bilgisayarlara, sunuculara ve cep telefonlarına bulaşarak sistem içerisindeki dosyaları kullanılmaz hale getiren, dosyalara erişimi engelleyen veya şifreleyen zararlı yazılımlara Ransomware denir. Bu zararlı yazılımın amacı kurbanı, verilerine tekrar erişimin sağlanması karşılığında fidye ödemek zorunda bırakmaktır. Zaten ismi de bu yüzden İngilizce “ransom” yani fidye kelimesinden gelmektedir.
Geçtiğimiz günlerde Quick Heal’in yayınladığı rapora göre bu yılın 2. çeyreğinde, Ransomware tespitlerinde %200′ lük sarsıcı bir artış görüldü. Rapora göre 2015 yılının 4 çeyreğinin kombinin de ise Ransomware tespiti yaklaşık %50 düzeyindeydi. Ek olarak TrendLabs’in veri güvenliği raporuna göre, 2016 yılının ilk 6 ayında Türkiye, Avrupa bölgesinde Ransomware saldırılarını en fazla yaşayan ülke olurken; dünyada ise üçüncü sırada yer aldı.
Şekil 1 – Quick Heal tarafından son 3 ay içerisinde algılanan Top 10 malware
Potansiyel Olarak İstenmeyen Uygulamalar ve Adware
İnternetin ücretsiz ve yaygın erişimi göz önüne alındığında, adware’lar yani reklam destekli yazılımlar korsanlar için nakit üreten bir makine haline gelmiştir. Adware ve PİU’lar şimdi yıkıcı işlevleri ile bezenmiş ve virüslü bilgisayarların “boot” sektör kayıtlarının zarar görmesini veya çalışmaz hale gelmesini sağlayan yetenekleriyle davranır. Ayrıca adware’lar, hedef sistemlere Ransomware bulaştırmak için giderek daha fazla kullanılmaktadır.
Ransomware türevleri yükselişte
Rapora göre Ransomware türevleri önümüzdeki çeyrek dönemde de artmaya devam edecek. Örneğin, CryptXXX Ransomware şimdi yeni ve daha gelişmiş türevleri ile hedefleri vuruyor. Locky ransomware de sürekli olarak yeni kodlama ve gizleme teknikleri ile güncellenmektedir. Buna ek olarak Domain Generation Algorithms(DGAs) 2016 yılının geri kalanında Ransomware ailelerine avantaj sağlaması açısından daha büyük bir tehdit haline gelebilir. DGA’lar ransomware’ların malware tespit yazılımlarından kaçmasına yardımcı olur çünkü hard coded değillerdir. Locky , DGA kullanan böyle bir zararlı yazılımdır.
Bir Servis olarak Ransomware (Ransomware-as-a-Service)
RaaS ivme alan bir başka trend. RaaS ile, malware yazarları, özelleştirilebilir kit ile birlikte online karaborsa aracılığıyla ransomware satmaktalar. İlgilenen siber suçlular ise ücretsiz olarak veya cüzi bir ücret karşılığında kayıt olarak indirebilmektedir. Bir defa özelleştirilen ransomware dosyası, ardından bir enfeksiyon çeşidi yoluyla yayılır.
Büyük dünya olayları üzerine hedeflenen güvenlik saldırıları
Hedeflenen saldırılar, genelde parasal veya siyasi kazanç için hassas bilgileri çalmak amacı ile yapılmaktadır. Yaklaşan ABD başkanlık seçimleri bu saldırılar için önemli bir odak noktası olması beklenmektedir.
Şekil 2 Top 10 exploits of Q2 2016
Mobil cüzdanlara bağlı güvenlik açıkları
Mobil cüzdanlar ve diğer ödeme teknolojileri ile online alışveriş basitleştirilmiştir. Ancak aynı zamanda bunlar korsanlar için yeni yollar açmıştır. Kredi kartı, veri hırsızlığı ve dolandırıcılığının bu ödeme uygulamalarının kullanımının artması sonucunda önümüzdeki aylarda artması bekleniyor.
IoT güvenlik açıkları
IoT cihazları kişisel ve iş faaliyetlerini her zamankinden daha kolay yapıyor. Ancak IoT pazarı büyüdükçe, güvenlik boşlukları saldırganlar için yeni fırsatlar açmaya başlıyor. Bir gün, termostatınız kötü amaçlı bir yazılım tarafından kilitlenebilir ve normale döndürmek için fidye ile bir kaç yüz dolar ödemek zorunda bırakılabilirsiniz.
Pen Test Partners adlı bir güvenlik firması bünyesinde çalışan iki hacker; Andrew Tierney ve Ken Munro, yakın bir zamanda gerçekleştirilen DefCon konferansında bir akıllı termostatı etkileyebilen fidye yazılımlarını ortaya çıkardı. İkilinin test ettiği termostatın geniş bir LCD ekranı ve bir SD kart girişi vardı. Bu bileşenler sayesinde kullanıcılar cihazın ayarlarını diledikleri gibi özelleştirebiliyor. Hacker’lar yaptıkları testlerde termostatın çalıştırdığı dosyaları kontrol etmediğini keşfettiklerini söylüyor. Bu durum da siber suçluların termostata rahatlıkla bir zararlı yüklemelerine ve bunu masum bir dosyaymış gibi göstermelerine olanak tanıyor.
