WannaCry
WannaCry, WannaCrypt, WanaCrypt0r 2.0, Wanna Decryptor, sürümleri ile Microsoft Windows'u hedef alan bir fidye virüsüdür. Mayıs 2017'de 99 ülkedeki 230.000 bilgisayara bulaşarak 28 dilde fidye talep eden geniş çaplı bir siber saldırı başlattı. WannaCry, enfekte olduğu bilgisayardaki dosyaları şifreleyip yeniden erişime açılabilmesi için fidye talep etmektedir. Saldırı, Europol tarafından "eşi benzeri görülmemiş" şeklinde nitelendirildi.
Resim 1: WannaCry Fidye talebi
Saldırı, İspanya'daki telekomünikasyon şirketi Telefónica, enerji şirketi Iberdrola ve kamu hizmeti şirketi Gas Natural'ın da aralarında bulunduğu, Renault, Nissan, FedEx, büyük kuruluşların yanı sıra İngiltere Ulusal Sağlık Servisi (NHS) Dışişleri Bakanlığı (Romanya), MegaFon (Rusya), İçişleri Bakanlığı (Rusya), Rusya Demiryolları (Rusya), Kamu Güvenliği Bürosu (Çin) ve Deutsche Bahn'i de etkiledi. En az 99 ülkedeki diğer hedeflerin de aynı zamanda saldırıya uğradığı bildirildi. Rusya İçişleri Bakanlığı, Rusya Acil Durum Bakanlığı ve Rusya telekomünikasyon şirketi MegaFon da virüsün binden fazla bilgisayara enfekte olduğunu bildirdi.
Nasıl gerçekleşebildi?
Saldırıdan sorumlu siber suçlular, ABD Ulusal Güvenlik Kurumu tarafından geliştirildiği iddia edilen bir ele geçirme yöntemini kullanarak Microsoft Windows işletim sistemindeki bir zayıflıktan faydalandı. EternalBlue olarak bilinen bu yöntem, WannaCry saldırısından önce Shadow Brokers adlı bir grup bilgisayar korsanı tarafından kamuya açık hale getirildi.
Microsoft, WannaCry fidye yazılımı saldırısı başlamadan neredeyse iki ay önce kullanıcıların sistemlerini bu güvenlik açığına karşı koruyan bir güvenlik yaması yayınladı. Ne yazık ki, birçok kişi ve kuruluş işletim sistemlerini düzenli olarak güncellemediğinden saldırıya karşı savunmasız kaldı. Microsoft Windows güncellemesini saldırıdan önce yüklememiş olanlar yamadan yararlanamadı ve EternalBlue'nun kullandığı güvenlik açığına karşı savunmasız kaldı.
İlk başlarda, insanlar WannaCry fidye yazılımı saldırısının bir kimlik avı saldırısı aracılığıyla yayıldığını düşündü (kimlik avı saldırısı, kullanıcıların virüslü bağlantılar veya ekler içeren spam e-postalarla kötü amaçlı yazılımları indirmek üzere kandırılmasıdır). Ancak WannaCry'ın çoğalmasını ve yayılmasını sağlayan açık, EternalBlue idi. Bu süreçte ele geçirilen bilgisayarlara WannaCry'ı çalıştırmak için DoublePulsar adındaki "arka kapı" yükleniyordu.
Etkileri
- Zararlı yazılım, İngiltere ve İskoçya'da Ulusal Sağlık Sistemi'nin (NHS) çökmesine neden oldu. 12 Mayıs'ta bazı NHS hizmetleri, acil durumlar dışında hasta kabul etmedi ve ambulanslar bekletildi. 2016'da İngiltere'deki 42 ayrı NHS tröstünde binlerce bilgisayarın hâlâ Windows XP çalıştırıldığı bildirildi. Rusya İçişleri Bakanlığı, Rusya Acil Durum Bakanlığı ve Rusya telekomünikasyon şirketi MegaFon da virüsün binden fazla bilgisayara enfekte olduğunu bildirdi.
- Kötü amaçlı yazılım içine sabitlenmiş bir "öldürme anahtarı", ilk bulaşmanın durdurulmasını sağladı, ancak öldürme anahtarı olmayan varyantların oluşturulmasına kadar geçen sürede çok sayıda daha cihazı enfekte etmiştir.
- 13 Mayıs 2017'de, Microsoft'un güncelleme desteği vermeyi çoktandır bıraktığı Windows XP, Windows 8 ve Windows Server 2003 için bir güvenlik güncelleştirmesi oluşturmak için olağan dışı bir adım attığı bildirildi.
WannaCry saldırısının nasıl bir etkisi oldu?
WannaCry fidye yazılımı saldırısı dünya genelinde 230.000 bilgisayarı etkiledi. Fidye yazılımı Avrupa'nın da ötesine yayıldı ve 150 ülkedeki binlerce bilgisayarı kullanılmaz hale getirdi. WannaCry fidye yazılımı saldırısı, dünya genelinde önemli bir finansal etki yarattı. Bu siber suçun dünya çapında 4 milyar dolarlık kayba yol açtığı tahmin edilmektedir.
Resim 2: Saldırıdan etkilenen ülkeler
WannaCry'ın ABD Ulusal Güvenlik Ajansı tarafından Microsoft Windows işletim sistemlerini kullanan bilgisayarlara saldırmak üzere geliştirilen EternalBlue'yu kötüye kullandığı düşünülmektedir. Temel güvenlik açığını gidermeye yönelik bir düzeltme yaması 14 Mart 2017'de yayımlanmış olmasına rağmen, güvenlik güncelleştirmelerinin uygulanmasının gecikmesi bazı kullanıcılar ve kuruluşları savunmasız bıraktı.
Peki kendinizi fidye yazılımlarından nasıl koruyabileceksiniz?
Yazılımınızı ve işletim sisteminizi düzenli olarak güncelleyin
Bilgisayar kullanıcıları, Microsoft Windows işletim sistemlerini güncellemedikleri için WannaCry saldırısının kurbanı oldular. İşletim sistemlerini düzenli olarak güncellemiş olsalardı Microsoft'un saldırıdan önce yayınladığı güvenlik yamasından faydalanabilirlerdi. Bu yama, EternalBlue tarafından WannaCry fidye yazılımını bilgisayarlara bulaştırmak için kullanılan güvenlik açığını ortadan kaldırdı. Yazılımınızı ve işletim sisteminizi düzenli olarak güncellediğinizden emin olun. Sisteminizi fidye yazılımlarına karşı korumak için önemlidir.
Şüpheli bağlantılara tıklamayın
Bilmediğiniz bir e-postayı açarsanız veya güvenmediğiniz bir web sitesini ziyaret ederseniz hiçbir bağlantıya tıklamayın. Doğrulanmamış bağlantılara tıklamak fidye yazılımı indirme işlemini başlatabilir.
Güvenilmeyen e-posta eklerini asla açmayın
Güvenli olduğundan emin olmadığınız e-posta eklerini açmayın. Göndereni tanıyor ve ona güveniyor musunuz? Ekteki dosyanın ne olduğu belli mi? Eklenen dosyayı almayı bekliyor muydunuz? Ekteki dosya görüntülenmesi için makroları etkinleştirmenizi istiyorsa o dosyadan uzak durun. Makroları etkinleştirmeyin veya eki açmayın. Bunlar, fidye yazılımlarının ve diğer kötü amaçlı yazılım türlerinin yayılması için yaygın olarak kullanılan yollardandır.
Güvenilmeyen web sitelerinden bir şey indirmeyin
Bilinmeyen sitelerden dosya indirmek fidye yazılımı indirme riskini artırır. Dosyaları yalnızca güvendiğiniz web sitelerinden indirin.
Bilinmeyen USB'lerden uzak durun
Kaynağını bilmediğiniz USB'leri veya diğer çıkarılabilir depolama cihazlarını bilgisayarınıza takmayın. Fidye yazılımları içeriyor olabilirler. Masada duran bir USB bellek: Fidye yazılımını önlemek için bilinmeyen çıkarılabilir depolama cihazını kullanmaktan kaçınmanız gerektiğini hatırlayın.
Herkese açık Wi-Fi ağı kullanıyorken VPN kullanın
Bilgisayar sisteminizi saldırılara karşı daha savunmasız hale getirdiği için herkese açık Wi-Fi ağındayken dikkatli olun. Kendinizi kötü amaçlı yazılım riskinden korumak için güvenli bir VPN kullanın.
İnternet güvenliği yazılımı yükleyin
İnternet güvenliği yazılımı yükleyerek bilgisayarınızı koruyun ve fidye yazılımlarını engelleyin. Kaspersky Sistem İzleyici gibi birden fazla karmaşık tehdide karşı koruma sağlayan kapsamlı bir çözümü tercih edin.
İnternet güvenliği yazılımınızı güncelleyin
İnternet güvenliği yazılımının (en son yamalar dahil) sunduğu maksimum korumayı alabilmeniz için yazılımı daima güncel tutun.
Verilerinizi yedekleyin
Verilerinizi harici bir sabit sürücü veya bulut depolama alanı kullanarak düzenli olarak yedeklediğinizden emin olun. Fidye yazılımı korsanlarının saldırısına uğramanız durumunda verileriniz güvende kalmış olur. Verilerinizi yedekledikten sonra harici depolama cihazınızın bilgisayarınızla bağlantısını kesmeyi unutmayın. Harici depolama cihazınızı düzenli olarak bilgisayarınıza bağlı tutmak cihazın da içindeki verileri şifreleyebilen fidye yazılımı ailelerine maruz kalmasına neden olur.
En kapsamlı fidye yazılımı korumasıyla rahat uyumak mı istiyorsunuz? Kaspersky ürünlerini kullanabilirsiniz.
Hazırlayan: Salim Furkan Demir
Kapak tasarımı ve düzenleme: Mihail Frolov