Son dönemde teknoloji haberlerinde sıkça duyduğumuz bir kavram oldu Ransomware. Özetle, kötü niyetli bir aktörün, sisteminize sızması, anahtar verilerinizi şifreleyip, kullanılamaz hale getirmesi ve serbest bırakmak için sizden para talep etmesi anlamına geliyor.
Siber saldırılar her daim olurken, ransomware neden öne çıktı peki? Önceleri küçük şirketlere yönelik iken, önce büyük şirketlere, ardından devlet kurumlarına saldırılar başladığı için. Son dönemin en büyük ransomware saldırılarını hatırlamak istersek, akla ilk gelen ABD’nin en büyük boru hatlarından biri olan Colonial Pipeline’a yönelik 7 Mayıs saldırısı akla geliyor.
Bu saldırı, tedbir olarak boru hattının günlerce kapalı kalmasına ve bölgeye gaz verilememesine sebep oldu. [1,2] Etkileri öyle büyük oldu ki, ABD Başkanı devreye girdi, FBI soruşturdu, ucunu Darkside grubuna ve Rusya’ya kadar sürdüklerini iletti. Benzer saldırılara sağlık sektörü, ve hatta hastaneler de sık sık maruz kaldı. [3] Bu saldırıların doğrudan insan hayatını tehdit eder hale gelmesi büyük endişe yaratıyor. [4] ABD siber güvenlik ajansı CISA, Ryuk adlı bir grubun peşine düştü. Talep edilen rakamlar 100-200 milyon dolar mertebesinde ve kripto para üzerinden talep ediliyor. En büyük 10 saldırı içinde sigorta şirketleri ve endüstri devleri de yerini aldı. [5]
Sorun o kadar büyüdü ki, önce şirketler arası [6], sonra devletler arası [7] toplantılara, kararlara ve mekanizmalara ihtiyaç duyuldu.
Peki gerçekten ne yapılabilir? İlk hareket, saldırılar hakkında bilgi paylaşmak ve birbirini uyarmak oldu. Ama Cisco Talos’un yöneticilerinden Matt Olney’nin tabiriyle bu “Bilgi güvenliği camiasında üzüntü ve iyi niyetlerini bildirmekten öteye gitmiyor.” [6] Öneri, saldırı üzerine yapılan çalışmanın detaylarını, tespit edilen zayıflıkları firmalar arasında ve devletle paylaşmak.
G7 ülkelerinin siber güvenlik konusundaki temsilcileri, ransomware saldırılarının özellikle Rusya kökenli olduğunu belirtti ve Rusya’nın bu konuda harekete geçmesini talep etti. [7] Daha önce, Amerikan istihbarat kaynakları bu gruplardan en az birinin (Evil Corp) Rusya iç istihbarat servisi FSB’nin koruması ve yönlendirmesi altında hareket ettiğini tespit etmişti.
Terörle mücadelede Taliban ve IŞİD’le nasıl uluslararası bir mücadele yürütüldüyse, ransomware konusunda da benzer bir koordinasyonun gerekli olacağı görülüyor. Öte yandan, rakip devletlerin bu saldırıların bazılarının arkasında olması, ya da göz yumması bu koordinasyonu zorlaştırıyor.
Ticaret savaşından olumsuz etkilenen Çin’in Tayvan’daki yarı-iletken firmalarına saldırıları desteklemesi, ya da petrol üreticilerinin birbirlerinin altyapılarına saldırması gibi senaryolar beklenmedik olmaz. Bu tip ilk devletler arası saldırı Stuxnet ile, İran’ın nükleer yakıt zenginleştirme tesislerine yönelik olmuştu. [8] Literatüre giren bu saldırı, yeni bir savaş metodunu dünyaya tanıtmıştı.
Her durumda, ransomware şüphelilerinin kırmızı bültenle aranmasını, istihbarat örgütlerince takip edilmesini, siber ya da fiziksel karşı müdahaleyi ve hatta uyuşturucu ticaretinde olduğu gibi organize uluslararası operasyonlarla müdahaleyi beklemeliyiz.
[1] The DarkSide of the Ransomware Pipeline
[2] What We Know About The Ransomware Attack On A Critical U.S. Pipeline
[3] Ransomware Attacks On The Healthcare Sector Are Skyrocketing
[4] The State of Ransomware in Healthcare 2021
[5] The 10 Biggest Ransomware Attacks of 2021
[6] Cisco Talos: It’s Time to Move Beyond Ransomware ‘Thoughts and Prayers’
[7] G7 calls on Russia to crack down on ransomware gangs
[8] Stuxnet