Son yılların önemli bir saldırı türü “Fidye (Ransomware)” saldırıları. Gittikçe yayılıyor ve şekil değiştiriyor. Önceleri “dosya/bilgisayar kilitleme” şeklinde gördüğümüz saldırılarının şimdilerde hizmet durdurma (dDOS) santajı için de kullanıldığı raporlanıyor [1].
Bir örnek verelim; 19 ocakta ülkemizin 2 büyük bankasına 6,5 Gbps boyutunda bir saldırı oldu ve arkasından bu 2 bankaya, bunun bir “demo” saldırısı olduğuna ve 35.000 TL eşdeğeri bitcoin ödenmez ise, 25 ocakta daha büyük bir saldırı yapılacağına dair fidye maili ulaştı. Mail şu şekildeydi;
Hi!
If you dont pay 10 bitcoin until 25. january your network will be hardly ddosed! Our attacks are super powerfull (Mirai botnet). And if you dont pay until 25. january ddos attack will starton all your servers internationaly and price to stop will double! We are not kidding and we will do small demo now on just one of your servers to show we are serious. It will not be strong just small flood to show we are not hoax. Pay and you are safe from us forever. Ignore, you go down longtime and price go up.
OUR BITCOIN ADDRESS: XXXXXXXXXXXXXXXXXXXXXXXXXXXX
Dont reply, we will ignore! Pay and we will be notify you payed and you are safe.
Cheers!”
25 ocakta daha büyük bir saldırı olmadı. Fidye saldırıları şekil değiştirirken, bazıları da sadece tehdit düzeyinde mi kalıyor?
Burada 2 konuya dikkat çekelim;
- dDos Santajı Yapılıyor; Fidye saldırılarını yapan yazılımların artık ücretli bir dDOS bileşeninin de olduğu görülüyor. Yani ya bilgisayarın/firmanın bir açığını bulup, sızarak dosyaları kilitleyebiliyorlar, ya da şirketin web sitesine gelen trafiği bloke edecek bir hizmet durdurma saldırısı yapıyorlar.
- Bir başka dikkati çeken husus şu; hizmeti durduracak büyüklükte saldırının karşılığı, -az ya da çok—bir rakamdır. Dolayısıyla bu saldırının yapılma tehditi “gerçek” olabileceği gibi, sadece “korkutarak ödeme yaptırma”ya yönelik olabilir.
Fidye saldırılarının başlangıcı 1989’lara kadar gidiyor [2]. İlk fidye yazılımı olarak kabul edilen PC Cyborg 189 $’lık “lisans ücreti”ni ödettirmeye yönelik geliştirilmişti. Bugünkü gördüğümüz anlamda şifrelenmiş fidye yazılımları ise 2005’den itibaren görülmeye başlandı.
Fidye yazılımlarının yaygın saldırı haline gelmesi ise, fidye parasını Bitcoin ile isteyen CryptoLocker [3] ile 2013 sonrasında başladı. Saldırıların kumanda edildiği sunucular Tor servislerini kullanan proxy servisleri olduğu için izlerinin takibi bir hayli zor.
Ocak ayında yayınladığımız Lostar söyleşisinin “Fidye saldırıları” ile ilgili bölümüne bakarsanız, Murat Lostar, 2016 yılında yeni bir eğilim gördüklerini, Fidye saldırılarında, paranın ödenmesi durumunda bile kilitlenen veri/dosyalara ulaşılamayabildiğine işaret ediyordu. Bunu da hatırlatalım [4].
[1] En Eski Saldırı Yöntemlerinden DDoS, 2016’nın Son Çeyreğinde Yeni Yetenekler Kazandı
[2] Ransomware
[3] Cryptolocker Gelmeden Verilerinizi Yedekleyin
Kaynak : 