Fidye yazılımları nasıl çalışır ve neden bu kadar güçlüler?

Emotet, spam e-postalar aracılığıyla sızan ve ustaca kandıran bir truva atı olarak biliniyor.

Fidye yazılımları nasıl çalışır ve neden bu kadar güçlüler?
TT

Fidye yazılımları nasıl çalışır ve neden bu kadar güçlüler?

Fidye yazılımları nasıl çalışır ve neden bu kadar güçlüler?

Emotet olarak adlandırılan bir truva atı (malware) son haftalarda yayılan en yaygın fidye yazılımı olarak ortaya çıktı. Emotet ve diğer zararlı yazılımların yarattığı tehlikeyi engellemek için önce bunların çalışma şekillerini anlamalıyız.

Fidye yazılımları (Ransomware)
Fidye yazılımları, her tür ve boyuttaki kuruluşlar ve kurumlar için büyük bir tehdit olarak görülüyor. Siber güvenlik şirketi Sophos tarafından yayınlanan ‘The State of Ransomware 2020’ adlı küresel araştırmanın sonuçları, geçtiğimiz yıl kurum ve kuruluşların yüzde 51'inin fidye yazılımı saldırılarına maruz kaldığını ve tek bir saldırının ve etkilerinin bıraktığı tahribatı gidermenin ortalama maliyetinin küresel düzeyde yaklaşık 761 bin doları bulduğunu gözler önüne serdi.
Uluslarrası alanda çeşitli fidye yazılımları bulunuyor. Ancak en yaygın ve tehlikeli olanı ve güvenlik şirketi Mimecast'in bu yıl için hazırladığı ‘Intelligence Threat’ raporuna göre fidye yazılımı saldırılarının baş aktörü Emotet.
Dark Reading adlı internet sitesinde yer alan habere göre bu saldırıların en çok hedef aldığı ülkelerin başında Almanya, Avusturya, İsviçre, ABD, Birleşik Krallık ve Kanada geliyor.

Fidye yazılımının kamuflajı
Peki, nedir bu Emotet?
Emotet, bir truva atı, yani bir malware yazılımıdır. Bir hizmet sağlayıcı kılığına bürünmüş kötü amaçlı bir yazılımdır. Bu da bilgisayar korsanlarının şirketlere ve kişilere yönelik doğrudan saldırılarda kullanmak için bu yazılımı birkaç yüz dolara bir paket olarak satın alabileceği veya aylık bir abonelik ücreti ile indirebileceği anlamına geliyor. Virüs genellikle spam e-posta aracılığıyla gönderilen kötü amaçlı komut dosyası, makro etkin belge dosyaları veya Outlook hesaplarındaki ya da bulut depolama alanlarındaki bir bağlantı listesi gibi gelebilir.
Danışmanlık şirketi olan Ernst & Young (EY) siber güvenlik uygulamaları direktörü Keith Mularski, Emotet’in fidye saldırısına başlamadan önce hedef alınan noktaya yerleştiği ve 30 ila 45 gün boyunca herhangi bir faaliyette bulunmadan kaldığı bilgisini verdi.
Emotet'in kötü amaçlı yazılım bileşenlerini sistemlere kadar taşıdığından oldukça etkili olduğunu söyleyen Mularski, güvenlik duvarları gibi geleneksel güvenlik araçlarının onu engelleyemediğini, çünkü güvenlik duvarının izleyemediği şifreli kanallar kurduğunu, ardından Emotet hedef dosyaları kontrol edip şifrelediği anda dolandırıcıların Bitcoin gibi takip edilemeyen bir elektronik para birimiyle ödenen bir fidye talep ettiğini söyledi.
Siber güvenlik şirketi Sophos’un önde gelen güvenlik danışmanlarından John Shier’e göre siber suçlular, Emotet’i, kendilerini müşterilerine sigorta desteği gibi hizmetler sunan bir firma gibi göstererek kullanıcıların bilgisayarlarına gönderiyorlar.

Saldırı süreci
Peki, kötü yazılım nasıl çalışıyor?
Bu, genellikle kullanıcının e-posta aracılığıyla gelen bir bağlantıya tıklamasıyla meydana gelen kimlik avı saldırısı şeklinde oluyor. Bu bağlantı, kullanıcıyı ‘yemi’ taşıyan bir siteye veya hizmete yönlendiriyor. Kötü amaçlı komut dosyası veya makro etkin belge dosyaları bilgisayara yerleştikten sonra diğer bağlı bilgisayarlar için arama başlıyor ve daha fazla kötü amaçlı yazılım yayılıyor. E-posta ile yapılan bu tür saldır için genellikle Microsoft Outlook kullanılıyor.
Emotet’in hedef sisteme ulaştığında parolaları kırmak ve güvenli verilere erişmek için hesaplara şiddetli saldırılar başlattığını ve ardından bu dosyaları kontrol edip şifrelemek için çalıştığını belirten John Shier, siber suçluların şifrelenmiş verilere erişip hedeflerine kilitlendikten sonra ‘ele geçirilmiş’ dosyaların kodlarını çözme ve düzenleme ücreti olarak birkaç bin ile milyon dolar arasında değişen fidyeler istediklerini söyledi. The State of Ransomware 2020 araştırmasının sonuçları, kuruluşların yüzde 94'ünün verilerinin kontrolünü yeniden ele geçirmeyi başardığına ancak saldırı başına ortalama maliyetin 732 bin 520 doları bulduğuna işaret ediyor.

Etkili darbe
Peki, Emotet neden bu kadar etkili?
Emotet’in birçok farklı versiyonu bulunuyor. Ayrıca bulunmasını ve engellenmesini zorlaştıran bir tasarıma sahiptir. Bilgisayar sistemlerine girmek için sosyal mühendislik tekniklerini kullanan bu virüs yakalanmama konusunda oldukça usta. Dahası, Emotet’in saldırısı sürekli olarak geliştiriliyor. Shier’e göre bazı versiyonları, siber dolandırıcıların kamuoyuna duyurmakla tehdit ettikleri bankacılık bilgilerini veya son derece hassas kurumsal verileri çalmayı hedefliyor. Bu şekilde tehdit etmek karşı tarafı fidyeyi ödemeye itecek ek bir teşvik oluşturuyor.
Virüsün sisteme girmesini sağlayan ilk e-posta, bir çalışan  veya şirketteki üst düzey bir yönetici gibi güvenilir bir kaynaktan gönderilmiş gibi görünebilir. Ya da bir internet sitesi veya yasal hizmet gibi görünen bir bağlantı içerebilir. Emotat, virüsü yaymak için doc, docx ve exe gibi farklı dosya türlerinin yanı sıra ZIP gibi dosya sıkıştırma tekniklerini kullanıyor. Çünkü bu şekilde ağda dolaşırken dosyanın gerçek adını gizliyor.
Bu dosyalar, kullanıcıların güvenebileceği şirketlerinden gelecek bir gönderi halinde olabilir veya kullanıcıları ‘faturanız’ veya ‘ödeme ayrıntıları’ gibi ikna edici başlıklar kullanarak kötü amaçlı dosyaları tıklamaya yönlendirebilir.
Ayrıca son zamanlarda, yeni tip koronavirüsü (Kovid-19) öne çıkaran ve genellikle aynı şirketten gelen ve kötü niyetli yazılımlar içerebilen normal dosyalar olan yasal e-postalarla gelen bazı mesajlar da ortaya çıktı.
Emotet’in diğer bir üstün özelliği de sızdığı sistemi izleme kabiliyeti. Örneğin, bir virüs sanal makineye ne zaman yerleşmesi gerektiğini bilir ve kötü amaçlı yazılımları yakalayan antivirüs  taramalarında algılanmamak için uykuda kalır.
Fakat Emotat gizli güncellemeleri almak için hazırlanan sunucuları kullanır. Bu da bilgisayar korsanlarının kötü amaçlı yazılımı güncellemesine ve diğer malwarelerin sisteme yerleştirmesine olanak tanır.
Virüs, bilgisayar temizledikten sonra dahi yeniden ortaya çıkabilir.

Emotet’e karşı mücadele
Peki, Emotet’e karşı nasıl mücadele edilir?
Uzmanlar, bu virüsün bilgisayarınıza bulaşma riskini azaltmanın ve neden olduğu sorunlara karşı koruma sağlamanın bazı yolları olduğunu söylüyorlar.
Öncelikle, şüpheli e-postaları algılayan ve engelleyen bir güvenlik programı kullanmalısınız. Ağa bağlı olan tüm yönetilen ve yönetilmeyen cihazlar da güvenli hale getirilmelidir. Güçlü parolalar, iki aşamalı kimlik doğrulama, düzenli güvenlik güncellemesi yapma ve casus yazılım algılama yazılımının kullanımı gibi ek güvenlik önlemleri de uygulanabilir. Son olarak ise çalışanların şüpheli e-postaları tanımayı öğrenmeleri gerekiyor.
Diğer yandan ne yazık ki ne fidye yazılımlarının ne de Emotet’in yakın bir zamanda ortadan kalkması beklenmiyor. Bu, sadece birkaç hafta içinde ikinci kez en güçlü fidye yazılımlarından biri olarak ortaya çıktı. Saldırıları giderek daha da karmaşık hale geliyor. Bu da onu her alandaki kurum ve kuruluşlar için gerçek bir tehdit haline getiriyor.
 



Meta'dan "ürkütücü" hamle: Kullanıcıların ruh hali takip edilecek

Hindistan'ın Mumbai kentinde 20 Eylül 2023'te düzenlenen bir konferansta insanlar Meta Platforms şirketinin logosunun önünden geçiyor (Reuters)
Hindistan'ın Mumbai kentinde 20 Eylül 2023'te düzenlenen bir konferansta insanlar Meta Platforms şirketinin logosunun önünden geçiyor (Reuters)
TT

Meta'dan "ürkütücü" hamle: Kullanıcıların ruh hali takip edilecek

Hindistan'ın Mumbai kentinde 20 Eylül 2023'te düzenlenen bir konferansta insanlar Meta Platforms şirketinin logosunun önünden geçiyor (Reuters)
Hindistan'ın Mumbai kentinde 20 Eylül 2023'te düzenlenen bir konferansta insanlar Meta Platforms şirketinin logosunun önünden geçiyor (Reuters)

Anthony Cuthbertson Teknoloji Editör Yardımcısı @ADCuthbertson 

Meta, kişilerin ne zaman güldüğünü ve iç çektiğini dinleyerek ruh hallerini izleyen yapay zeka aracı için patent başvurusu yaptı.

Amerika Birleşik Devletleri Patent ve Ticari Marka Ofisi'ne sunularak 2 Temmuz'da yayımlanan başvuruda, belirli bir anda "kullanıcının duygusal durumunu ölçmek" için kişiyi ve konumunu izleyebilen yapay zeka destekli bir "cihaz" tanımlanıyor.

Patent başvurusunda, "Kişisel duygusal ölçümler, kullanıcıya kendisi hakkında içgörü sağlamak amacıyla gösterilir" ifadeleri yer alıyor.

Duygusal durum odaklı bir makine öğrenimi modeli, sözlü ve sözsüz ipuçlarını yorumlayarak duygusal göstergeleri belirleyebilir.

Başvuruda, kullanıcının "evden video görüşmesi yaparken pasif bir dil" kullanmasının yapay zeka destekli cihaz tarafından algılanıp analiz edildiği örneği veriliyor.

Daha sonra bu verilere dayanarak kişinin belirli bir dönemdeki duygusal durumu hakkında bilgi veriliyor; örneğin kullanıcıya "Bu ay minnettarlığınızı daha fazla dile getirdiniz" şeklinde geri bildirim sunuluyor.

Bu patent başvurusunu ilk kez haberleştiren patent analizi yayıncısı Patentlyze, konum, faaliyet ve uygulama kullanımıyla bağlantılı sürekli ses kaydı yapılması nedeniyle bu hamleyi, "Meta'nın son zamanlarda başvurduğu en önemli patentlerden biri" diye niteliyor.

Yayın kuruluşu, "Fitness koçluğu görüntüsü, temelinde sürekli duygusal gözetime dayanan bir sistem için zayıf bir kamuflaj" diye yazıyor. 

Bu, çoğu patent başvurusundan daha fazla kamuoyu ilgisini hak ediyor.

Meta'nın patent başvurusu, Facebook ve Instagram'ın sahibi şirketin veri izleme faaliyetlerinin sinsi amaçlarla kullanılabileceğinden endişe duyan gizlilik hakkı savunucularında da kaygı uyandırdı.

Dünya çapında milyarlarca kullanıcısı olan ABD'li teknoloji devi, halihazırda internet genelindeki kullanıcı davranışlarını izleyerek ilgi alanları ve alışkanlıklarına dair ayrıntılı profiller oluşturuyor ve bu sayede onlara daha hedefe yönelik reklamlar sunuyor; ki reklamlar, şirket gelirinin yüzde 97'sinden fazlasını oluşturuyor.

Teknoloji odaklı savunuculuk örgütü Fairplay'in yönetici müdürü Josh Golin, NYPost'a yaptığı açıklamada, "Bu ürkütücü patent, kullanıcıların duygusal hassasiyetlerini hedef alan reklamlardan kâr elde etmek için hayatımızın her yönünü izlemeyi amaçlayan Meta'nın büyük planlarının bir parçası gibi görünüyor" diyor.

Etkilenmeye açık gençler için bu durum bilhassa endişe veriyor ve veri toplama faaliyetlerini sınırlayan ve reşit olmayanlara yönelik hedefli reklamları yasaklayan gizlilik mevzuatına neden bu kadar acil ihtiyaç duyulduğunu gösteriyor.

The Independent cevap hakkı için Meta'yla temasa geçti ancak şirket, genellikle patent başvuruları veya henüz piyasaya sürülmemiş ürünler hakkında açıklama yapmıyor.

 Independent Türkçe,independent.co.uk/tech


OpenAI ve Google "kara listedeki" Çinli devlerle iş yapıyor

Çinli şirketlerin düşük maliyetli ve yüksek performanslı yapay zeka modelleri, son dönemde ABD'li devlere karşı alternatif olarak öne çıkıyor (AP)
Çinli şirketlerin düşük maliyetli ve yüksek performanslı yapay zeka modelleri, son dönemde ABD'li devlere karşı alternatif olarak öne çıkıyor (AP)
TT

OpenAI ve Google "kara listedeki" Çinli devlerle iş yapıyor

Çinli şirketlerin düşük maliyetli ve yüksek performanslı yapay zeka modelleri, son dönemde ABD'li devlere karşı alternatif olarak öne çıkıyor (AP)
Çinli şirketlerin düşük maliyetli ve yüksek performanslı yapay zeka modelleri, son dönemde ABD'li devlere karşı alternatif olarak öne çıkıyor (AP)

OpenAI ve Google'ın, Pentagon'un kara listesindeki Çinli teknoloji devlerine gelişmiş yapay zeka modelleri sattığı ortaya çıktı.

Financial Times (FT), irtibata geçtiği OpenAI ve Google'ın, ABD tarafından Çin ordusuyla işbirliği yapmakla suçlanan Alibaba, Baidu ve Tencent'in Singapur merkezli iştiraklerine yapay zeka hizmetleri sağladıklarını doğruladığını aktarıyor.

OpenAI'dan bir yetkili, modellerin yasadışı şekilde kullanılması endişesiyle geçen ay Alibaba'yla bağlantılı geliştiricilerin yapay zeka modellerine uzaktan erişimini askıya aldıklarını belirtiyor.

Google da yapay zeka hizmetlerinin kullanım şartlarına tabi olmak kaydıyla Hong Kong ve Singapur'da erişime açık olduğunu bildirdi.

Haberde, ABD'li firmaların yapay zeka hizmetlerini bu şirketlere satmasının yasadışı olmadığı vurgulanıyor.

ABD Savunma Bakanlığı (Pentagon), bazı Çinli firmaları Çin Halk Kurtuluş Ordusu'yla (ÇHKO) bağlantılı oldukları gerekçesiyle kara listeye alıyor. Apple'ın da bu listedeki Çinli çip üreticileri CXMT ve YMTC'yle iş yapmanın yollarını aradığı aktarılmıştı.

Diğer yandan ABD ulusal güvenliğini tehdit edebilecek şirketlerin yer aldığı "1260H" diye bilinen bu listenin herhangi bir hukuki bağlayıcılığı yok.

Buna rağmen bazı kesimler Beyaz Saray'ın, Pekin'le yarı iletken ticaretine uyguladığına benzer sınırlamaları yapay zeka modelleri için de devreye sokmasını istiyor.

ABD'li düşünce kuruluşu Dış İlişkiler Konseyi'nden teknoloji ve güvenlik uzmanı Chris McGuire şu yorumu yapıyor:

Trump yönetimi sürekli yapay zeka alanında Çin'i geride bırakmamız gerektiğini söylüyor. Ancak sorun şu ki Çin'i yavaşlatmak için elimizdeki asıl araç olan ihracat kontrolü hakkında hiçbir adım atmadılar.

ChatGPT'nin yaratıcısı OpenAI, modellerine Çin'den erişilmesine izin verilmediğini bildiriyor. Ancak Çin sermayeli veya genel merkezi Çin'de yer alan bazı şirketlerin belirli koruma önlemleri dahilinde yapay zeka hizmetlerini kullanabildiğini aktarıyor.

Pentagon'la yaşadığı anlaşmazlıkla gündem olan Anthropic'in, Alibaba'yı yapay zeka modelinin yeteneklerini yasadışı şekilde kopyalamakla suçlaması da dikkat çekmişti.

ABD'li teknoloji devinden geçen ay yapılan açıklamada, Anthropic'in Claude modeline erişim için Alibaba'nın 25 bin sahte hesap oluşturduğu öne sürülmüştü.

Alibaba da çalışanlarının Claude'u kullanmasını yasaklamış, bu modeli "yüksek riskli yazılım" listesine almıştı.

Independent Türkçe, Financial Times, CNBC, China Daily


Liseli Japon, ChatGPT destekli siber saldırıyla 46 bin hesabı birden sildi

ChatGPT uygulamasının logosu bir akıllı telefon ekranında görülüyor (AFP)
ChatGPT uygulamasının logosu bir akıllı telefon ekranında görülüyor (AFP)
TT

Liseli Japon, ChatGPT destekli siber saldırıyla 46 bin hesabı birden sildi

ChatGPT uygulamasının logosu bir akıllı telefon ekranında görülüyor (AFP)
ChatGPT uygulamasının logosu bir akıllı telefon ekranında görülüyor (AFP)

Japonya'da 15 yaşındaki bir erkek çocuk, yapay zeka kullanarak bir anime yayın platformundaki onbinlerce hesabı zorla silen bir program geliştirdiği gerekçesiyle gözaltına alındı.

Polis, olayı bir ay boyunca hizmet kesintisine neden olan kasıtlı ve süregelen bir siber saldırı diye niteledi.

Tokyo yakınlarındaki Tokorozawa'da yaşayan lise öğrencisi, Japonya'nın en büyük oyuncak üreticisi Bandai Namco Holdings'in alt şirketi Bandai Namco Filmworks'ün sunucularına 4 Kasım 2025'te sahte komutlar göndererek hile yoluyla iş faaliyetlerini engellemekle suçlandı.

Tokyo Metropoliten Polis Teşkilatı saldırının, şirketin Bandai Channel yayın platformundaki 46 bin 812 hesabın kullanıcıların bilgisi veya rızası olmadan topluca silinmesine yol açtığını belirtti.

İddiaları kabul eden öğrenci, ilk kaynak kodunu kendisinin yazdığını ve daha sonra bunu iyileştirip tamamlamak için ChatGPT'ye başvurduğunu dedektiflere söyledi.

Asahi Shimbun'a göre öğrenci, dedektiflere, "Kayıt silme işlemi için kaynak kodunu kendim oluşturdum. İşlem uzun sürdüğü için ChatGPT'ye danıştım ve farklı bir programlama dilinde tamamladım" dedi.

Şirkete karşı herhangi bir kin beslemediğini söyleyen öğrenci, sadece giriş yapabileceği çok sayıda hesap olması nedeniyle onları hedef aldığını açıkladı.

Bandai Namco Filmworks önlemler alarak erişimini engelledikten sonra bile öğrencinin, IP adresini 30 kez değiştirerek sahte komutlar göndermeyi sürdürdüğü iddia ediliyor.

Şirket, hizmetlerini bir aydan uzun süre askıya almak ve etkilenen üyelere para iadesi yapmak zorunda kaldı.

Ertesi ay Bandai Namco Filmworks, yaklaşık 1,36 milyon hesabın e-posta adresleri, hesap bakiyeleri ve ödeme yöntemleri gibi kişisel bilgilerinin sızdırılmış olabileceğini duyurdu.

Şirket, verilerin internette yayımlanması gibi ikincil bir zararın doğrulanmadığını ifade etti.

Japon basınına göre şirket, "Bu durumu çok ciddiye alıyoruz ve düzenli kontroller yapmaya devam ederek böyle bir olayın tekrarlanmasını önlemek için çaba göstereceğiz" dedi.

İlkokuldayken kendi kendine kod yazmayı öğrenen öğrenci, dedektiflere ağ iletişimini analiz etmekten keyif aldığını söyledi.

Haziranda başka bir üyenin hesabını kullanarak yayın platformuna giriş yaptığı şüphesiyle gözaltına alınmasının ardından dedektifler daha geniş çaplı saldırıyı ortaya çıkardı.

Metropoliten Polis Teşkilatı'ndan üst düzey bir dedektif, gözaltı kararının ardından bir uyarı yayımladı.

Dedektif, "Siber uzay son derece anonim bir ortam ve insanlar kolayca suç işlemeye yönelebilir ancak bu eylemler ciddi sonuçlara yol açabilir" dedi.

Japonya'daki bir siber saldırıda üretken yapay zekanın araç olarak kullanıldığı ilk vakalardan biri olan bu olay, bu tür teknolojinin çevrimiçi suç faaliyetlerindeki engelleri ne kadar kolay aşabileceğine dair yeni soruları gündeme getiriyor.

Independent Türkçe