Hacker'ların yeni şantaj virüsü: Cryptolocker
ABD ve Avrupa’nın ardından Türkiye’de de çok sayıda internet
kullanıcısını hedef alan Cryptolocker virüsü, her gün yeni
mağduriyetler yaratıyor. Botnet veya e-posta uzantısı yoluyla
bulaşan Cryptolocker, hızla büyüyen bir piyasa haline gelen siber
suçların en yeni ve sık rastlanan saldırılarından biri.
İlk olarak Eylül 2013’te tespit edilen Cryptolocker, bilgi çalmaya
odaklanan kötü amaçlı yazılımlara (malware) kıyasla, hedef aldığı
kişi ve organizasyonlara para amaçlı şantaj uyguluyor. Truva atı
sınıfına giren Cryptolocker, bu özelliğiyle ‘fidye yazılım’
(ransomware) olarak tanımlanıyor.
Cryptolocker, ortaya çıktığı dönemlerde en zararlı botnet’lerden
biri olan Zeus tarafından hızla yayıldı. FBI, 2010 yılında Zeus’u
ağırlıklı olarak Doğu Avrupalı hacker’ların kullandığını tespit
etmişti. Zeus sayesinde hacker’lerın 2007’den bu yana kazandığı
para ise 70 milyon doların üzerinde.
Cryptolocker’ın ilk versiyonu, bilişim uzmanı Emre Tınaztepe
tarafından deşifre edilmişti. Ancak fidye yazılımın 2014 sonundan
itibaren yayılmaya başlayan güncellenmiş hali, çok daha güçlü ve
henüz kırılamamış durumda. Güvenlik uzmanları Cryptolocker’ı
deşifre etmeye çalışırken, internet kullanıcılarının dikkatli
olması gerektiğini vurguluyorlar.
Nasıl çalışıyor?
Cryptolocker hakkında araştırma yapan siber güvenlik uzmanı
Süleyman Özarslan, Al Jazeera’ya fidye yazılımın çalışma prensibini
anlattı:
CryptoLocker saldırıları genel olarak oltalama (phishing)
e-postaları aracılığıyla yayılıyor. Bu tür sahte e-postalar
‘ttnet@turktelecom.org’ veya ‘ttnet@turktelekomfatura.info’ gibi
adreslerden gönderiliyor. Türk Telekom faturasının yanı sıra, Türk
Hava Yolları veya çeşitli bankalardan gönderilen e-postalar içinde
de gizlenebiliyor.
‘1984324329 nolu hesabınıza ait Aralık-2014 Dönemi Türk Telekom
Faturanız’ gibi başlık taşıyan e-postalar, okuyan kişide şüphe
yaratmayacak şekilde hazırlanıyor. E-postanın içeriği gerçek bir
fatura izlenimi sunuyor.
Dikkat edilmesi gereken husus, fatura tutarının yüksek gösterilerek
kişinin merakını uyandırması ve bu sayede e-postada yer alan
‘E-faturamı Görüntüle’ veya ‘E-fatura Ödeme’ gibi bağlantılara
tıklanmasının sağlanması.
Kullanıcı e-postadaki bağlantıya tıkladığında, aşağıdaki gibi
özenle hazırlanmış bir web sitesine yönlendiriliyor. CryptoLocker,
sadece Windows işletim sistemlerini etkilediğinden, başka bir
işletim sistemi kullanıyorsanız bu web sitesine giremiyorsunuz.
Sayfaya girdiğinizde sizden gelen HTTP isteğindeki user-agent
(tarayıcı bilgileri) alanı kontrol ediliyor. Eğer cep telefonu ya
da Windows dışındaki Mac OS X ve Linux gibi işletim sistemlerini
kullanıyorsanız yeniden yönlendiriliyor ve sayfayı
göremiyorsunuz.
Sayfa açıldığında Captcha kodu veya gösterilen sayıyı girmeniz
isteniyor, ardından indir butonuna bastığınızda
‘efatura_1984324329.zip’ gibi adlandırılan .zip uzantılı dosya
iniyor. Dosyayı açtığınızda, ‘efatura_1984324329.pdf.exe’ gibi ismi
olan ve asıl zararlı yazılımı içeren dosya çıkıyor.
Bu dosyayı çalıştırdığınızda, CryptoLocker bilgisayarınızda bulunan
dosyaları şifreliyor ve masaüstünüze bir not bırakıyor. Bu notta
dosyalarınızın CryptoLocker tarafından şifrelendiği, dosyaları
tekrar açabilmeniz için belirtilen miktarda parayı belli bir zaman
içinde ödemeniz gerektiği yazıyor.
Ödeme yapmak için ‘Click here to pay for recovery files’
bağlantısına tıkladığınızda aşağıdaki sayfa açılıyor. Bu sayfada
498 ABD Doları veya eşdeğerde Bitcoin ödemeniz gerektiği, bu ücreti
belirli bir sürede ödemezseniz, ücretin iki katına çıkacağı
belirtiliyor. Ayrıca, dosyaların şifresini gerçekten
çözebildiklerini göstermek için size sadece bir dosyayı ücretsiz
olarak eski haline getirebilmeniz için gerekli bilgiyi
veriyorlar.
‘Hacker ile haftalarca pazarlık yaptım’
Ankara merkezli bir medikal firmasında çalışan Zeynep Demirel,
Cryptolocker saldırısına maruz kalmalarının ardından bilgilerini
hacker’la uzlaşarak kurtarabildiklerini söyledi. Demirel, uzun süre
pazarlık yaptığını belirttiği hacker’ın karakteri hakkında da
bilgiler verdi:
“Hacker ofisin sunucuları ve tüm bilgi ağını ele geçirdi. Pazarlığı
20 bin Euro’dan açtı ve büyük bir firma olduğumuzu, bu parayı
rahatlıkla ödeyebileceğimizi söyledi. Kendisine belirttiği miktarda
ödeme yapamayacağımızı belirtip uzun bir uzlaşma sürecine girdim.
Diyaloglarımızın büyük kısmı güven unsuruna dayalıydı. Parayı
ödememiz halinde bilgileri geri vermeyeceği konusunda şüphe
duymamam gerektiğini belirtti. Bana düzgün iş yaptığını, bir
itibarı olduğunu, sahtekarlık yaparsa kendisine bir daha iş
verilmeyeceğini, sözünün eri olduğunu söyledi.”
Demirel, bir siber suç örgütüne bağlı olduğu sinyalini veren
hacker’ın diyalog uzadıkça tavrını yumuşattığını ifade etti:
“Hacker şifrelediği bilgilerin içeriğine ve son yedeklemelere kadar
bakmış. Uzun süredir yedekleme yapmadığımız için elinde koz vardı.
Yedekleme görevinin bana ait olduğunu ve istediği parayı ödemek
zorunda kalırsak işimden olacağımı söyledim. Dahası, kadın olduğumu
da öğrenince yumuşadı ve 1000 Euro’da anlaştık. Anlaştıktan sonra
Ukash üzerinden ödeme kodu gönderdi. Ödemeyi yapmamızın ardından
hem deşifre kodunu verdi hem de tüm güvenlik açıklarımızı
listeledi.”
‘Yazılım çok daha akıllı hale geldi’
Cryptolocker üzerinde Türkiye’de ilk araştırmaları yürüten isimler
arasında yer alan Emre Tınaztepe, fidye yazılımın ikinci
versiyonunda daha da güçlendiğine dikkat çekti:
“Söz konusu yazılımın ilk versiyonları, sızılan sistemlere hacker
tarafından bizzat yerleştirilirken son karşılaştığımız vakalarda bu
işlem tamamen otomasyon şeklinde çalışıyor. Zararlı yazılımların
kullandığı algoritmalar çok güçlü bilgisayarlarla bile binlerce yıl
çözülemeyecek asimetrik şifreleme algoritmaları olduğu için
istisnai durumlar hariç saldırgana para ödemeden dosyalarınızı geri
almak mümkün olmuyor. İstisnai durumlar ise saldırganların
şifreleme algoritmasını kullanırken yaptıkları hatalar olarak
beliriyor. Geçtiğimiz yıl karşılaştığımız bir vakada saldırganın
böyle bir hatasından faydalanarak, saldırgana para ödemeden
dosyalarınızı çözebilen bir program geliştirmeyi başarmıştık.”
Cryptolocker saldırıları neden arttı?
Hacker’ların büyüyen bir iş sektörü haline gelen siber suçlar
arasında Cryptolocker’ı tercih etmelerinde önemli sebepler yatıyor.
Kötü amaçlı yazılımlarla kontrol edilen bilgisayarların oluşturduğu
botnet’ler, aynı anda birçok hedefe saldırı düzenlenmesini
sağlıyor. Bu sayede hacker’lar hem zamandan kazanıyor hem de
saldırıların maliyeti düşüyor.
Cryptolocker ile saldırı düzenleyen hacker’ların neredeyse tümü,
yabancı ülkelerdeki şirket ve internet kullanıcılarını hedef
alıyor. Yakalanma riski de neredeyse sıfıra iniyor.
Hacker’lar genelde istenen ücret gönderildiği zaman dosyalar
üzerindeki şifreyi kaldırıyor ancak mağdurların hacker’a
güvenmesini sağlayacak hiçbir geçerli sebep bulunmuyor.
Nelere dikkat etmeli?
Süleyman Özarslan ve Emre Tınaztepe, internet kullanıcılarının hem
önemli bilgilerini kaybetmemek hem de yüksek meblağlarda fidye
ödememek için dikkat etmeleri gereken hususları şu şekilde
sıraladı:
– E-postaların hangi adresten gönderildiği kontrol edilmeli ve
bağlantılara tıklamadan önce iki düşünmek çok önemli,
– Her gün güncellenen bir antivirüs yazılımı bulundurmak önemli.
Kurumsal firmalar anti-Spam veya anti-Phishing Gateway ismi verilen
güvenlik ürünleriyle e-posta üzerinden gelecek tehditlerden
kullanıcılarını korumalı.
– Bilgisayarınızda ‘Dosya uzantılarını göster’ seçeneği aktif hale
getirilmeli,
– E-posta yoluyla gelen dosyaların ikonları ne olursa olsun,
çalıştırılabilir olması durumunda kesinlikle açılmaması
gerekiyor,
– Önemli veriler düzenli bir şekilde yedeklenmeli. Bunun için
verilerinizin bir yedeğini bilgisayarınıza takılı olmayan bir hard
diskte saklamanız veya bulut depolama hizmeti kullanmalısınız.