Zararlı Yazılım ve Fidye Yazılımı (Ransomware)

Tehditler ve Korunma

👤 Güvenlik Uzmanı★ 2/3⏱ 14 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Sophos'un 2024 fidye yazılımı araştırmasına göre kuruluşların yaklaşık %59'u son bir yılda bir fidye yazılımı saldırısına uğradı ve kurtarma maliyetleri (fidye hariç) milyon dolarları buluyor. Çoğu saldırı tek bir tıklamayla, dikkatsiz açılan bir ekle başlıyor.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu derste zararlı yazılım (malware) türlerini — virüs, solucan, truva atı (trojan), casus yazılım ve özellikle fidye yazılımını (ransomware) — ve bunlara karşı katmanlı savunmayı işliyoruz. Soldaki interaktif sahnede (secMalwareDefense3D) bir zararlı yazılımın e-posta ekinden uç noktaya ulaşıp şifreleme başlatmaya çalışırken; antivirüs/EDR, uygulama beyaz listesi, en az yetki ve çevrimdışı yedek gibi savunma katmanlarının saldırıyı sırayla nasıl durdurduğunu canlı olarak incele; bir katman delinse bile diğer katmanların 'derinlemesine savunma' (defense in depth) ile saldırıyı nasıl yakaladığını gör.

Anlatım

ZARARLI YAZILIM (MALWARE) NEDİR? Malware (malicious software), bir cihaza veya ağa zarar vermek, veri çalmak, sistemi kontrol etmek veya erişimi engellemek için kasıtlı olarak yazılmış her türlü yazılımdır. Kurumsal ortamda malware; veri sızıntısı, iş kesintisi, finansal kayıp ve itibar zararının başlıca nedenlerindendir. Kötü amaçlı yazılım çoğunlukla oltalama e-postaları, sahte/korsan yazılımlar, zararlı web siteleri, virüslü USB bellekler ve yamasız (güncellenmemiş) yazılımlardaki açıklar yoluyla bulaşır. BAŞLICA ZARARLI YAZILIM TÜRLERİ • Virüs: Kendini meşru bir dosyaya/programa iliştirir; dosya çalıştırıldığında etkinleşir ve başka dosyalara yayılır. Yayılması için kullanıcı eylemi (dosyayı açma) gerekir. • Solucan (Worm): Kullanıcı eylemine gerek kalmadan ağ üzerinden kendi kendine yayılır; ağ açıklarından yararlanarak hızla binlerce cihaza bulaşabilir. • Truva Atı (Trojan): Faydalı/zararsız bir program gibi görünür (örn. sahte bir 'video oynatıcı' veya 'fatura.exe'), ama arka planda zararlı işlev çalıştırır. Kendi başına yayılmaz; kullanıcıyı çalıştırmaya kandırır. • Casus Yazılım (Spyware) / Keylogger: Kullanıcının bilgisi olmadan tuş vuruşlarını, parolaları ve ekran etkinliğini izleyip saldırgana gönderir. • Reklam Yazılımı (Adware) / İstenmeyen Yazılım (PUP): Genellikle ücretsiz yazılımlarla gelir; istenmeyen reklam gösterir, bazen casus yazılım taşır. • Rootkit: Kendini ve diğer zararlıları işletim sisteminin derinine gizleyerek tespiti zorlaştırır. • Botnet/Bot: Ele geçirilmiş cihazları saldırganın uzaktan yönettiği bir 'zombi ordusu'na dahil eder (DDoS, spam, kripto-madencilik için). • Fidye Yazılımı (Ransomware): Aşağıda ayrı ele alınır — bugün en yıkıcı türdür. FİDYE YAZILIMI (RANSOMWARE) — EN YIKICI TEHDİT Fidye yazılımı, kurbanın dosyalarını güçlü şifreleme ile kilitler ve şifre çözme anahtarı karşılığında (genellikle kripto para ile) fidye talep eder. Modern saldırılarda 'çifte şantaj' (double extortion) yaygındır: saldırgan dosyaları şifrelemeden ÖNCE çalar; fidye ödenmezse verileri internette sızdırmakla tehdit eder. Bazı gruplar 'üçlü şantaj' ile müşterileri/iş ortaklarını da tehdit eder. Tipik saldırı zinciri (kill chain): (1) İlk erişim — oltalama eki/bağlantı, çalınmış uzak masaüstü (RDP) bilgileri veya yamasız açık; (2) Yerleşme ve hak yükseltme; (3) Ağda yanal hareketle yayılma; (4) Yedekleri silme/şifreleme; (5) Verileri çalma; (6) Toplu şifreleme ve fidye notu. FİDYE ÖDEMEK NEDEN ÇÖZÜM DEĞİLDİR? Ödeme; verilerin geri geleceğini garanti etmez, suç ekonomisini besler, sizi tekrar hedef hâline getirir ve bazı yargı bölgelerinde yaptırım/yasal risk doğurabilir. Doğru çözüm: önleme + sağlam, test edilmiş yedek + olay müdahale planı. KATMANLI SAVUNMA (DEFENSE IN DEPTH) Tek bir kontrol yeterli değildir; birbirini destekleyen katmanlar kurulur: • İnsan katmanı: Farkındalık eğitimi, oltalama tatbikatları, şüpheli e-postayı bildirme refleksi. (Çoğu saldırı buradan başlar.) • Uç nokta koruması: Güncel antivirüs ve özellikle EDR/XDR (Endpoint Detection & Response) — davranış temelli tespit, anormal şifreleme etkinliğini yakalar. • Yama yönetimi: İşletim sistemi ve uygulamaları güncel tutmak; bilinen açıkların kapatılması solucan ve sömürü saldırılarını engeller. • En az yetki (least privilege) ve ağ bölümleme: Kullanıcılar yalnızca işleri için gereken yetkiye sahip olur; ağ segmentlere ayrılır, böylece bir bulaşma tüm ağa yayılamaz. • E-posta/web filtreleme: Zararlı ek ve bağlantıları kullanıcıya ulaşmadan engeller. • Yedekleme — 3-2-1 kuralı: Verinin 3 kopyası, 2 farklı ortamda, 1 kopya çevrimdışı/ağ-dışı (offline/immutable). Yedekler düzenli test edilir; ağa bağlı/yazılabilir yedek fidye yazılımı tarafından da şifrelenebilir. • Makro ve betik kısıtlama: Office makrolarının internetten gelen dosyalarda varsayılan kapalı olması, yaygın bir bulaşma yolunu kapatır. İŞ YERİNDE YAPILMASI GEREKENLER (DO) • Beklenmedik ekleri/bağlantıları açmadan önce gönderene başka bir kanaldan teyit edin; şüpheli e-postayı 'Bildir' düğmesiyle güvenlik ekibine iletin. • Yalnızca kurumun onayladığı kaynaklardan ve uygulama mağazasından yazılım kurun. • İşletim sistemi ve uygulamaların güncellemelerini (yamaları) geciktirmeyin. • Cihazınızda kurumsal antivirüs/EDR'nin açık ve güncel olduğundan emin olun. • Bir bulaşmadan ŞÜPHELENİRSENİZ cihazı hemen ağdan ayırın (kablo çekin / Wi-Fi kapatın) ve güvenlik/BT ekibine bildirin; silmeye/düzeltmeye kendiniz kalkışmayın. İŞ YERİNDE YAPILMAMASI GEREKENLER (DON'T) • Bilinmeyen .exe, .scr, makrolu Office (.docm/.xlsm) veya şifreli ZIP eklerini çalıştırmayın. • Sahte 'virüs bulundu, hemen tıklayın' açılır pencerelerine ve sahte güncelleme uyarılarına tıklamayın. • Korsan/crack yazılım, anahtar üreticisi (keygen) veya güvenilmez 'ücretsiz' araçlar indirmeyin — trojan taşırlar. • Bulduğunuz veya size verilen tanımadığınız USB belleği iş cihazınıza takmayın. • Antivirüs/EDR'yi 'yavaşlatıyor' diye kapatmayın veya güvenlik uyarılarını görmezden gelmeyin. • Ransomware fidyesini kendi başınıza ödemeye kalkışmayın; bu bir kurumsal/hukuki karardır. ISO 27001:2022 VE KVKK BAĞLANTISI • ISO/IEC 27001:2022 Annex A 8.7 (Protection against malware / Zararlı yazılımlara karşı koruma): zararlı yazılımı önleme, tespit ve farkındalık önlemlerini doğrudan zorunlu kılar. • Annex A 8.8 (Management of technical vulnerabilities): yama/açık yönetimi bu kontrolle istenir. • Annex A 8.13 (Information backup): düzenli, test edilen yedekleme — ransomware kurtarımının temeli. • Annex A 5.24-5.26 (Olay yönetimi) ve A 6.3 (Farkındalık/eğitim): olay müdahalesi ve kullanıcı eğitimi kapsamı. • KVKK (6698 sayılı Kanun) md. 12: veri sorumlusu kişisel verilerin hukuka aykırı işlenmesini ve verilere yetkisiz erişimi önlemek için uygun teknik ve idari tedbirleri almakla yükümlüdür; zararlı yazılımla şifrelenen/sızdırılan kişisel veri bir veri ihlalidir. KVK Kurulu'nun 'Kişisel Veri Güvenliği Rehberi' antivirüs, güncel yazılım ve yedekleme gibi tedbirleri önerir; ayrıca kişisel veri ihlalinde (ör. ransomware ile veri sızması) en kısa sürede (Kurul kararına göre tipik olarak 72 saat içinde) Kurul'a ve ilgili kişilere bildirim yükümlülüğü doğar.

📌 Senaryolar

📌 Senaryo 1 (Sahte fatura eki — trojan/ransomware ilk erişimi): Muhasebe çalışanı, tanımadığı bir tedarikçiden gelen 'Ödenmemiş Fatura.zip' adlı bir ek alıyor; içinde 'Fatura.pdf.exe' var.
  Doğru davranış: Eki AÇMAMAK; uzantının çift (.pdf.exe) olduğunu fark edip bunun yürütülebilir bir dosya olduğunu anlamak; e-postayı 'Bildir' düğmesiyle güvenlik ekibine iletmek ve göndereni başka bir kanaldan teyit etmek.
  Sonuç/Neden: '.pdf.exe' gibi çift uzantı, dosyayı belge gibi gösteren klasik bir trojan/ransomware tuzağıdır. Tek bir çift tık, şifreleme zincirini başlatabilir; eki açmadan bildirmek tüm ağı kurtarır.

📌 Senaryo 2 (Şifrelenmiş dosyalar ve fidye notu — olay müdahalesi): Bir çalışan, ortak ağ sürücüsündeki dosyaların açılmadığını, uzantılarının değiştiğini ve masaüstünde 'Dosyalarınız şifrelendi, ödeme yapın' yazan bir not olduğunu fark ediyor.
  Doğru davranış: Cihazı DERHAL ağdan ayırmak (ağ kablosunu çekmek / Wi-Fi'yi kapatmak), cihazı kapatmamak/silmemek ve hemen güvenlik/BT ekibine bildirmek; fidye notuyla etkileşime girmemek.
  Sonuç/Neden: Ransomware ağ üzerinden yanal yayılır; cihazı izole etmek diğer sistemlere bulaşmayı durdurur. Cihazı kapatmak/silmek delil ve olası kurtarma şansını yok edebilir. Fidye, kurumsal/hukuki bir karardır, çalışan ödemez.

📌 Senaryo 3 (Çevrimdışı yedek sayesinde kurtarma — 3-2-1): Bir departmanın dosya sunucusu ransomware ile şifreleniyor. Ekip, fidye ödemeden kurtarmak istiyor.
  Doğru davranış: Önceden alınmış, ağdan yalıtılmış (offline/immutable) ve düzenli test edilmiş yedekten sistemi temiz bir ortama geri yüklemek; saldırının nasıl girdiğini analiz edip açığı kapatmak.
  Sonuç/Neden: 3-2-1 kuralına uygun, ağa bağlı OLMAYAN bir yedek ransomware tarafından şifrelenemez; bu, fidye ödemeden iş sürekliliğini sağlar. Yedek test edilmemişse geri yükleme anında işe yaramayabilir — bu yüzden yedekler periyodik test edilir.

📌 Senaryo 4 (Korsan yazılım / keygen ile trojan bulaşması): Bir çalışan, ücretli bir tasarım programını satın almak yerine internetten 'crack'li sürümünü ve bir 'keygen.exe' indiriyor; kurulum sırasında antivirüs uyarısını 'yanlış alarm' sanıp kapatıyor.
  Doğru davranış: Korsan/crack yazılım indirmemek; yalnızca kurumun onayladığı lisanslı kaynaklardan kurmak; antivirüs uyarısını asla devre dışı bırakmamak ve gerekiyorsa lisans talebini BT'ye iletmek.
  Sonuç/Neden: Crack ve keygen dosyaları en sık trojan/spyware taşıyan kaynaklardandır; antivirüs uyarısını kapatmak, kurumun uç nokta korumasını bilerek delmek demektir ve cihazı ağ için bir giriş kapısına çevirir.

📌 Senaryo 5 (Sahte güncelleme/pop-up ve bulunan USB): Çalışan, bir web sitesinde 'Tarayıcınız güncel değil, hemen güncelleyin' diyen bir açılır pencere görüyor; ayrıca otoparkta üzerinde 'Maaş Bordroları' yazan bir USB bellek buluyor.
  Doğru davranış: Sahte güncelleme pop-up'ına tıklamamak (güncellemeler yalnızca yazılımın kendi resmi mekanizmasından yapılır); bulunan USB'yi ASLA bilgisayara takmamak, güvenlik ekibine teslim etmek.
  Sonuç/Neden: Sahte güncelleme pop-up'ları drive-by malware indirir; 'unutulmuş USB' (baiting) merakı kullanan klasik bir sosyal mühendislik tuzağıdır ve takıldığı anda zararlı kod çalıştırabilir.

Özet

• Malware türleri: virüs (dosyaya iliştir), solucan (kendi yayılır), trojan (faydalı görünür), spyware, rootkit, botnet ve en yıkıcısı ransomware. • Ransomware dosyaları şifreler ve fidye ister; modern saldırılar 'çifte şantaj' ile veriyi de çalar — fidye ödemek çözüm/garanti değildir. • Bulaşma çoğunlukla oltalama eki/bağlantısı, korsan yazılım, sahte güncelleme ve virüslü USB ile başlar. • Katmanlı savunma (defense in depth): farkındalık + güncel antivirüs/EDR + yama + en az yetki/ağ bölümleme + e-posta filtreleme + 3-2-1 yedekleme. • Bulaşma şüphesinde cihazı HEMEN ağdan ayır, kapatma/silme, güvenlik ekibine bildir; eki/bağlantıyı önce 'Bildir'. • ISO 27001 A.8.7 (zararlı yazılıma karşı koruma), A.8.8 (açık yönetimi), A.8.13 (yedekleme) ve KVKK md.12 ile veri ihlali bildirim yükümlülüğü temel dayanaklardır.

✅ Mini-Test (5)

1.Faydalı/zararsız bir program gibi görünüp arka planda zararlı işlev çalıştıran ve kendi başına yayılmayan zararlı yazılım türü hangisidir?

2.Fidye yazılımı (ransomware) saldırısına karşı en güvenilir kurtarma yöntemi aşağıdakilerden hangisidir?

3.Cihazınızda dosyaların şifrelendiğini ve bir fidye notu belirdiğini fark ettiniz. İlk yapmanız gereken nedir?

4.Fidyeyi ödemek, dosyaların geri geleceğini ve verilerin sızdırılmayacağını garanti eder.

5.ISO/IEC 27001:2022'de doğrudan 'zararlı yazılımlara karşı koruma'yı ele alan kontrol hangisidir?

🧩 Uygulama Soruları (5)

1.Bir iş ortağından gelen e-postada 'Sözleşme güncellemesi' başlığıyla makro etkinleştirmeniz istenen bir Word (.docm) eki var; e-posta adresinde küçük bir yazım farkı gözünüze çarpıyor. Doğru davranış hangisidir?

2.Şirket dizüstü bilgisayarınızda kurumsal antivirüs/EDR sürekli uyarı veriyor ve sistemi 'yavaşlatıyor' gibi görünüyor. En uygun davranış hangisidir?

3.Otoparkta veya lobide bulduğunuz, üzerinde ilgi çekici bir etiket olan (örn. 'Maaş Bordroları') bir USB belleği iş bilgisayarınıza takarak içine bakmanız güvenlidir.

4.Ransomware'in tek bir bulaşmış cihazdan tüm kurumsal ağa yayılmasını sınırlamak için en etkili önlem aşağıdakilerden hangisidir?

5.Bir ransomware saldırısı kurumdaki müşterilere ait kişisel verilerin de çalınıp şifrelenmesine yol açtı. KVKK açısından doğru yaklaşım hangisidir?

← Fiziksel Güvenlik ve Erişim Ko Veri Sızıntısı ve Yedekleme →

← Tüm modüllere dön · Güvenlik Sözlüğü