Ransomware Virüsleri Artık Web Sitelerine Saldırıyor

Ransomware Virüsleri Artık Web Sitelerine Saldırıyor
Ocak 18 15:23 2016 Yazıyı Yazdır

Ransomware, yani siber fidyecilik son yılların en etili saldırı yöntemlerinden biri. Ülkemizde fatura virüsü olarak da bilinen Cyrptolocker ve benzeri virüsler sayesinde bilgisayarlardaki tüm diskler -doğal olarak içindeki tüm fotoğraflar, videolar, belgeler vb. şifreleniyor. Bir başka deyişle diskler kilitleniyor ve saldırganların istediği ücret (fidye) ödenmediği sürece de bir daha eski haline dönmüyor. Her ne kadar çeşitli yöntemlerle bazı sürücüler deşifre edilmiş olsa da yeni geliştirilen algoritmalar sayesinde bu sıralar yapılan saldırılardan kurtulmak pek mümkün değil. Fidye, Bitcoin olarak talep edildiği için, saldırganların kimlikleri ve konumları da tespit edilemiyor. Bu yüzden paranın ödenmesinden sonra, disklerdeki şifrenin kaldırılması ise artık onların insafına kalıyor. Yani siz parayı ödeseniz dahi, verilerinizi geri getirmeyebilirler…

Ransomware’in Kısa Tarihi

Ransomware saldırıları eskiye dayanmaktadır ancak profesyonelce etkin olarak 2013 yılında ortaya çıktı. O günden beri de büyük bir hızla yayılmaya devam ediyor. Her ne kadar bilgi güvenliği uzmanları, kullanıcıları bu konu hakkında uyarsa da pek çok ülkede ransomware bulaşım oranı geçmişe göre çok daha fazla. Özellikle ticari firmalara büyük maddi kayıplar veren bu saldırılar, kimi zaman kişisel bilgisayarlara da bulaşabiliyor. Ancak artık saldırganların yeni bir saldırı hedefi daha var: web siteleri !

Son birkaç aydır yapılan geliştirmeler neticesinde, ransomware’ler artık web sitelerindeki dosyaları şifreleyebiliyor. Sunucuda bulunan dosyalara erişim engelleniyor. Üstelik, sitenin ana sayfasında yer alan bir uyarı ile sitenin rehin alındığı duyuruluyor. Hem işlevsellik hem de prestij açısından oldukça olumsuz sonuçlar doğuran bu saldırıya karşı dikkatli olmak gerekiyor.

Yeni türdeki bu kötü amaçlı yazılım ilk olarak geçtiğimiz kasım ayında Rus güvenlik firması Dr. Web tarafından keşfedildi. Etkilenen sunucuların ise çoğunlukla yazılımların eski sürümlerini kullanan, gerekli yamaların yapılmadığı sistemlerden oluşuyor. Dolayısıyla sunucu yöntecileri için en önemli aksiyon, sistemlerini güncellemek olacaktır.

Sunucu yöneticilerinin düştüğü hataların başında, gelen e-postalardaki “Teknik Destek” ibaresine aldanmak geliyor. WordPress ve Drupal gibi açık kaynak CMS’lerin kullanıldığı sunucularda dahi yeni bir sürümün geldiği, eklentilerle ilgili çeşitli teknik desteğin verileceği gibi e-postalara aldanılması sonucu ransomware’ler sisteme bulaşıyor ve sunucudaki tüm web sitelerini etkileyebiliyor. Yapılan araştırmalar, en fazla hedef haline gelen sistemin, Magento e-ticaret sistemi olduğunu gösteriyor.

AES Şifreleme

Saldırganlar sunucuyu eriştikten sonra, tüm siteyi AES şifreleme algoritması ile şifreliyor. Sunucudaki dosyaların isimleri de .encrypted uzantısına sahip oluyor ve bu noktadan sonra da tüm dosya yapısı değiştiğinden, dosya içeriğine erişilemiyor. Daha önceleri, timestamp ve son güncelleme verilerine bakarak dosyalardaki AES anahtarları bulunabiliyordu. Bunun farkına varan saldırganlar yeni algoritma üzerinde çalışmışlar ve artık sürekli olarak değişen bir anahtarla karşı karşıyayız. Bu anlamda şu an için dosyaları, saldırganların müdahalesi olmadan geri getirmenin bir yolu yok..

Virüsün bulaştığı bir web sitesinden görüntüler:

Dosyaların şifrelendiği hali;

ransomware-web1

Bırakılan fidye mesajı;

ransomware-web2

 

Yedekleme Çok Önemli

Web sunucunuzun bu yeni nesil ransomware’den etkilenmesi halinde şimdilik yapabileceğiniz tek şey, yedekleri geri yüklemek. Dolayısıyla sık aralıklarla yedek almak hayati önem taşıyor. Sunucunuza bir yedekleme hizmeti entegre etmeniz ve düzenli olarak yedeklenen dosyaları farklı bir fiziksel depolama alanında saklamanız gerekiyor. Eğer siz de bir sunucu yöneticisiyseniz, tüm güncellemeleri yapın ve RAID benzeri bir yapı ile yedekleri birden fazla yere alın. Sürücülerin aynı cihaz üzerinde olmaması, harici bir bağlantı ile depolama alanı olarak kullanılması gerekiyor. Aksi takdirde yeni nesil ransomware’in saldırıya geçmesi sırasında, sisteme bağlı olan tüm sürücüler enfekte oluyor. Şu an için saldırılar veritabanlarını etkilemiyor. Ancak yine de veritabanı yedeklerinin de aynı şekilde alınması faydalı olacaktır.

daha fazla yazı

Yazar Hakkında

Atalay Keleştemur
Atalay Keleştemur

1983 yılında İstanbul’da doğmuştur. İstanbul Teknik Üniversitesi mezunudur. PC World Türkiye dergisinde Yazılım Editörü olarak görev yapmış, daha sonra sırasıyla BYTE Türkiye dergisinde Yazı İşleri Müdürü, T3 Türkiye dergisinde Yayın Yönetmeni görevlerinde bulunmuştur. Türkiye Bilişim Güvenliği Derneği’nde Yönetici Üye olarak, siber güvenlikle ilgili farkındalık çalışmalarına katılmıştır. Türkiye Bilişim Derneği İstanbul Şubesi’nde Açık Kaynak Çalışma Grubu Başkanlığı göreviyle, Linux ve LibreOffice gibi açık kaynak yazılımlar hakkında Türkiye’de önemli katkılarda bulunmuştur. Farklı kurumlarda Sistem Yöneticisi ve Yazılım Geliştiricisi olarak çalışmıştır. Siber İstihbarat isimli kitabın yazarı olan Keleştemur, Siber Güvenlik ile ilgili çalışmalarını sürdürmektedir.

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.