Fidye Yazılımı (Ransomware) nedir? — Bilgi Güvenliği Sözlüğü

Kötü Amaçlı Yazılım & Saldırılar

Fidye Yazılımı (Ransomware)

👤 Güvenlik Uzmanı★ 1/3⏱ 5 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

2017'de WannaCry fidye yazılımı, bir tek açıktan yararlanarak 150'den fazla ülkede 200.000'den fazla bilgisayarı saatler içinde kilitledi; hastaneler ameliyatları erteledi — tek bir tıklamanın bedeli bazen tüm kurumun çalışamaz hale gelmesidir.

Anlatım

NEDİR? Fidye yazılımı (ransomware), bulaştığı sistemdeki dosyaları güçlü şifreleme algoritmalarıyla erişilemez hale getiren ve kilidi açmak için kurbandan -genellikle kripto para cinsinden- fidye talep eden kötü amaçlı bir yazılımdır. Bir alt türü olan "locker ransomware" dosyaları şifrelemek yerine doğrudan ekranı/cihazı kilitler. Son yıllarda yaygınlaşan "çift gasp" (double extortion) yönteminde ise saldırgan verileri hem şifreler hem de kopyalayıp çalar; fidye ödenmezse çalınan verileri ifşa etmekle tehdit eder. NASIL ÇALIŞIR? 1) Bulaşma: Genellikle oltalama e-postasındaki zararlı ek/bağlantı, yamalanmamış bir güvenlik açığı, zayıf korunan uzak masaüstü (RDP) erişimi veya tedarik zinciri yoluyla sisteme girer. 2) Yerleşme ve yayılma: Zararlı, ağ içinde yatay olarak hareket eder (lateral movement), yetki yükseltmeye çalışır ve mümkün olduğunca çok sistemi ele geçirir. 3) Hazırlık: Yedekleri ve geri yükleme noktalarını (volume shadow copy) silmeye/bozmaya çalışır; bazen veriyi önce dışarı sızdırır (exfiltration). 4) Şifreleme: Dosyalar genellikle hibrit şifreleme ile kilitlenir — her dosya hızlı bir simetrik anahtarla (ör. AES) şifrelenir, bu simetrik anahtar da saldırganın açık anahtarıyla (asimetrik, ör. RSA) şifrelenir. Özel anahtar yalnızca saldırganda olduğu için kurban tek başına çözemez. 5) Fidye notu: Ekranda ödeme talebi, miktar, kripto cüzdan adresi ve süre baskısı (geri sayım) gösterilir. NEDEN ÖNEMLİ / İŞ YERİNDE Fidye yazılımı, kurumlar için en yıkıcı siber tehditlerden biridir: operasyonel durma (üretim/hizmet kesintisi), veri kaybı, fidye ve kurtarma maliyetleri, KVKK kapsamında veri ihlali bildirim yükümlülüğü ve itibar zararı doğurur. Hastane, belediye, fabrika ve KOBİ'ler sık hedeftir. Fidyenin ödenmesi verinin geri geleceğini GARANTİ ETMEZ ve gelecekteki saldırıları teşvik eder; bu yüzden uzmanlar genellikle ödememeyi önerir. DİKKAT / İYİ UYGULAMA • Düzenli, çevrimdışı/değiştirilemez (immutable) yedek alın ve 3-2-1 kuralını uygulayın; geri yükleme tatbikatı yapın. • İşletim sistemi ve uygulamaları güncel tutun (yama yönetimi); bilinen açıklar en sık giriş kapısıdır. • Oltalama farkındalığı eğitimi verin, e-posta eklerine ve makrolara karşı dikkatli olun. • MFA kullanın, RDP gibi uzak erişimleri internete açık bırakmayın, en az yetki ilkesini uygulayın. • Ağı bölümleyin (segmentasyon) ki bir sistem ele geçse bile yayılma sınırlansın. • Bir olay müdahale (incident response) planınız olsun; bulaşan cihazı derhal ağdan izole edin.

📌 Senaryolar

📌 Örnek 1: Bir hastanenin bilgi işlem çalışanı, "fatura" konulu bir e-postadaki Word ekini açar ve makroları etkinleştirir; saat içinde hasta kayıt sistemindeki tüm dosyaların uzantısı değişir ve ekranda fidye notu belirir.
  Açıklama: Bu klasik bir oltalama kaynaklı fidye yazılımı bulaşmasıdır. Zararlı makro çalışır çalışmaz dosyaları şifreler ve ağda yayılır. Doğru yanıt: cihazı hemen ağdan izole etmek, olay müdahale ekibini bilgilendirmek, fidye ödemeden çevrimdışı yedeklerden geri yüklemek ve giriş açığını (makro/e-posta) kapatmaktır.

📌 Örnek 2: Bir kurumun internete açık bıraktığı, zayıf parolalı RDP (uzak masaüstü) servisi kaba kuvvetle ele geçirilir; saldırgan içeri girip yedekleri sildikten sonra fidye yazılımını çalıştırır.
  Açıklama: Burada giriş vektörü oltalama değil, korumasız uzaktan erişimdir. Yedeklerin önce silinmesi tipik bir taktiktir — bu yüzden yedekler çevrimdışı/değiştirilemez tutulmalı, RDP internete kapatılmalı, VPN + MFA arkasına alınmalıdır.

📌 Örnek 3: Bir şirket çift gasp (double extortion) saldırısına uğrar; saldırgan hem verileri şifreler hem de daha önce kopyaladığı müşteri verilerini "ödemezseniz yayınlarız" diyerek tehdit eder.
  Açıklama: Modern fidye yazılımı kampanyalarının çoğu artık veriyi önce dışarı sızdırır. Bu nedenle yalnızca yedekten geri dönmek yeterli değildir; bir veri ihlali de söz konusudur ve KVKK kapsamında ilgili kişilere/kuruma bildirim yükümlülüğü doğabilir. Şifreleme ve gizliliğin korunması (veri sızıntısı önleme) birlikte ele alınmalıdır.

Özet

• Fidye yazılımı, dosyaları şifreleyip/cihazı kilitleyip fidye isteyen zararlı yazılımdır. • En sık oltalama, yamalanmamış açıklar ve korumasız uzak erişim (RDP) yoluyla bulaşır; ağda yayılır ve yedekleri silmeye çalışır. • En etkili savunma: çevrimdışı/değiştirilemez yedek (3-2-1), güncel yamalar, MFA ve oltalama farkındalığıdır. • Fidye ödemek verinin geri geleceğini garanti etmez ve önerilmez; "çift gasp" ile veri sızıntısı/ihlali de yaşanabilir.

✅ Mini-Test (3)

1.Fidye yazılımı (ransomware) bulaşmasına karşı en etkili korunma yöntemi aşağıdakilerden hangisidir?

2.Fidye yazılımı saldırısında talep edilen fidyeyi ödemek, dosyaların geri geleceğini her zaman garanti eder.

3.Fidye yazılımının kurum ağına en sık kullandığı giriş yollarından biri aşağıdakilerden hangisidir?

← Tüm sözlük terimleri · Farkındalık eğitimi