Washington DC polis departmanı Nisan ayının sonlarına doğru siber saldırıya hedef olmuştu ve departmana ait veri tabanının ele geçirildiği açıklanmıştı. Bu hadisenin yankıları sürerken ABD’de oldukça sarsıcı bir ransomware saldırısı yaşandı. 7 Mayıs günü, ABD’nin en büyük petrol boru hatlarından biri olarak bilinen Colonial Pipeline’a yönelik gerçekleştirilen ve hizmetlerin durmasına yol açan saldırı, ABD genelinde olağanüstü hareketliliğe neden oldu.

Küresel siber operasyonlar arasında fidye-yazılım (ransomware) saldırıları yükselişe geçti. Çeşitli devlet kurumlarının ve profesyonel siber güvenlik şirketlerinin raporlarına göre 2020 yılındaki küresel ransomware saldırıları, bir önceki yıla göre yüzde 150 artış gösterdi.

Federal Soruşturma Bürosu (FBI) ve Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) gibi kurumlardan gelen raporlara göre Colonial Pipeline saldırısı, son derece karmaşık bir ransomware varyantı kullanan dış kaynaklı profesyonel bir siber tehdit aktörü tarafından gerçekleştirildi. Daha sonra netleşen bilgilere göre saldırıyı DarkSide adlı ransomware operatörlerinin gerçekleştirdiği belirlendi ve söz konusu aktörlerin de Rusya iltisaklı olabileceğine dair iddialar dile getirildi.

DarkSide saldırısından sonra ortaya çıkan ikinci sarsıcı olay, ABD’nin en büyük sigorta şirketlerinden biri olan CNA Financial’ın başka bir ransomware saldırısına uğramasıydı. Şirket yetkilileri yaptıkları açıklamada Rusya bağlantılı Evil Corp grubu tarafından yürütülen bir ransomware saldırısının kurbanı olduklarını ifade ettiler.

ABD’li kamu kurumlarının ve şirketlerin maruz kaldığı saldırıların ardından çeşitli ransomware varyantlarıyla Avrupa’da ve Asya’daki devletler de hedef alındı. Örneğin, son bir ay içerisinde Toshiba’nın Avrupa’daki merkezi, Almanya’da Bose firması, Fransa’da AXA sigorta şirketi, İrlanda resmi sağlık hizmetleri kurumu HSE ve Hindistan hava yolları şirketi Air India, ransomware saldırısına uğradıklarını açıkladılar. Söz konusu raporlar ve resmi açıklamalar sonrasında dünya adeta alarm duruma geçti.

Kritik altyapılara, şirketlere ve kamu kurumlarına yapılan küresel ransomware saldırıları 2021’in ilk çeyreğinde de olağanüstü bir artış gösterirken, hedef alınan kurumların yaptıkları fidye ödemeleri de ciddi rakamlara ulaştı.

Ransomware saldırılarında olağanüstü yükseliş

Uluslararası alanda ransomware saldırılarının neden olduğu büyük ölçekli zararların son bir yıl içerisinde daha da arttığı göze çarpıyor. Örneğin çeşitli devlet kurumlarının ve profesyonel siber güvenlik şirketlerinin raporlarına göre 2020 yılındaki küresel ransomware saldırıları, bir önceki yıla göre yüzde 150 artış gösterdi. Ayrıca saldırıya uğrayan kurbanların yaptıkları fidye ödemelerinde de yüzde 300’lere varan artışların olduğu tespit edildi.

Kritik altyapılara, şirketlere ve kamu kurumlarına yapılan küresel ransomware saldırıları 2021’in ilk çeyreğinde de olağanüstü bir artış gösterdi. Saldırıların yoğunlaşmasıyla birlikte saldırganların kurbanlardan talep ettikleri fidye miktarlarında da büyük artışlar yaşandı. Özellikle Bitcoin’in değerinin yükselmesinden dolayı dev şirketlerin saldırganlara ödedikleri fidyeler on milyonlarca dolara ulaştı.

2021 yılında gerçekleşen ransomware saldırılarında, geçmiş dönemlere nazaran, niteliksel açıdan ve yöntem bakımından bazı değişiklikler de gözlemleniyor. Örneğin geçmişte daha çok “phishing” diye bilinen ve e-postalar üzerinden yürütülen oltalama saldırılar söz konusuyken yeni dönemde bu yönteme ilaveten tedarik zinciri saldırıları, 0-day (sıfır gün) açıkları ve çeşitli siber altyapı zafiyetleri kullanılmakta.

Diğer yandan, önceki saldırılarda genellikle hedef olan kurbanın verileri şifrelenir ve saldırganlar şifre anahtarlarını vermek için belirli miktarda fidye talep ederdi. Yeni dönemde ise veriler, şifrelenmeyle birlikte bazen kısmî olarak bazen de tamamıyla çeşitli platformlara sızdırılıyor ve siber suçluların yoğun faaliyet yürüttüğü “dark web” ortamında paylaşılıyor.

Bunlara ilaveten, ransomware varyantlarının giderek sofistike hale gelmesi ve saldırganların çeşitli operasyon yöntemleri kullanmasından dolayı mücadele de zorlaşıyor. Ayrıca, devlet destekli olan ya da bir zamanlar devlet kurumlarında görev alıp daha sonra bu “karanlık piyasaya” adım atan tehdit aktörleri, tamamen ekonomik motivasyonla hareket ettikleri için asıl hedeflerini de gizleyebiliyor.

Diğer deyişle, devlet destekli bir siber tehdit grubu, tamamen istihbarat toplamak amacıyla bir siber casusluk operasyonu yürütüp elde ettiği verileri ilgili devlete gönderebilir. Ancak bunu yaparken, kurbanlarından fidye talep ederek kendisini sıradan/bağımsız bir hacker grubu olarak gösterebilir ve bu şekilde asıl amacını maskeleyebilir.

Bu konuda geçtiğimiz Kasım ve Aralık ayında İran’ın İsrailli hedeflere yönelik operasyonu örnek olarak verilebilir. İranlı Pay2Key grubu, üst düzey İsrailli şirketleri hackleyerek elde ettikleri veriler karşılığında toplamda 1 milyon doları aşan fidye talep etmişti. İddialara göre söz konusu grup, savunma sanayii ve siber teknoloji şirketlerini hedef aldığı için buralardan elde ettiği verileri İran istihbarat servisleriyle paylaşmıştı.

Bu noktada, aktörlerin devletle bağlantısı olmasa bile finansal motivasyondan dolayı işbirliği yapıp ellerindeki verileri satmasının söz konusu olabileceğini de belirtmek gerekir. Böylece, siber tehdit aktörlerinin bu “karanlık piyasa”ya daha çok ağırlık vermesi mümkün olabiliyor.

Saldırı aygıtlarının çeşitlenmesi, hedeflenen kurum ve kuruluşların zafiyetleri ve kurbanların talep edilen fidyeleri ödemesi, maddi getiri açısından hackerların bu alana yönelmesinde etkili oluyor.

Kripto paralar değerlenirken hackerların iştahı kabarıyor

2020 yılı itibarıyla küresel ransomware operasyonlarında görülen yükseliş, finansal motivasyonlu hackerlar özelinde bizleri dikkate değer bir noktaya çekiyor. Saldırı aygıtlarının çeşitlenmesi, hedeflenen kurum ve kuruluşların zafiyetleri ve kurbanların talep edilen fidyeleri ödemesi, maddi getiri açısından hackerların bu alana yönelmesinde etkili oluyor.

2021 yılına gelindiğinde, çeşitli raporlar ve uluslararası basına yansıyan haberlere bakıldığında bu düşüncenin doğrulandığı net olarak görülebilir. Örneğin ABD’deki Colonial Pipeline saldırısından günler sonra yetkililerce yapılan açıklamada, DarkSide operatörlerine 4,4 milyon dolar ödeme yapıldığı haberlere yansıdı. Verilerini kurtarmak ve hizmetlerini devam ettirmek isteyen şirket, DarkSide operatörleriyle iletişime geçerek fidye ödemesini yapmak zorunda kaldı.

Şirketin bu ödemesi sonrasında ortaya çıkan bir hadise, DarkSide gibi bir aktörün ekonomik anlamda nasıl bir güce ulaştığını net olarak gösteriyor. Colonial Pipeline şirketinden fidye ödemelerini aldıktan sonra DarkSide’ın kripto para cüzdanında toplamda 17,5 milyon dolar değerinde Bitcoin olduğu görülüyor. Burada, aktörlerin Colonial Pipeline dışında farklı hedeflere de saldırdığı ve buralardan da fidye ödemeleri aldığı öne sürülebilir.

ABD’deki diğer önemli saldırı olan CNA Financial saldırısı, ransomware tarihinde bir ilke imza attı. Haberlere yansıyan bilgilere göre şirket, epey ciddi bir ransomware saldırısının ardından sistemlerini eski haline getirip yeniden faaliyete geçmek için saldırganlara 40 milyon dolar değerinde fidye ödedi. Bu rakam, küresel ransomware operasyonlarında şimdiye kadar ödenen en yüksek fidye.

Bu noktada bir hususu da belirtmekte fayda var. Ransomware saldırılarına maruz kalan şirketlerden bazıları (özellikle fidye ödemesi yapanlar) bu olayı açıklamayıp gizli tutabilmekteler. Siber güvenlik şirketlerinin yayınladıkları raporlarda, küresel ransomware operasyonlarının nerelerde görüldüğü ve kripto para cüzdanlarının ne kadar ödeme aldıkları net olarak görülebiliyor. Bu nicel verilerden yola çıkarak, dünyada birçok şirketin bu “zedeleyici” saldırılara maruz kaldığını ancak bunları gizlediği söylenebilir.

Siber tehditler içerisinde yükseliş trendinde olan ransomware saldırılarına karşı dünyanın en güçlü devletleri bile zafiyet içerisinde olabiliyor. Siber tehdit aktörlerinin giderek daha profesyonelleşmesi ve daha sofistike yöntemler kullanması buradaki temel sebeplerden biri.

Devletler ransomware tehditlerine karşı çıkmazda

Siber tehditler içerisinde yükseliş trendinde olan ransomware saldırılarına karşı dünyanın en güçlü devletleri bile zafiyet içerisinde olabiliyor. Siber tehdit aktörlerinin giderek daha profesyonelleşmesi ve daha sofistike yöntemler kullanması buradaki temel sebeplerden biri.

Genel olarak bütün devletlerin saldırılara karşı koyamaması ve bunun sonucunda ağır kayıplar yaşamasının ardından bazı adımların atıldığı görülebiliyor. Burada her ne kadar sorumluluk şirketlere ait olsa da saldırının sonucunda devletin de bir şekilde zarar görmesinden dolayı hükümetlere önemli görevler düşüyor.

Örneğin Joe Biden yönetimi, Colonial Pipeline’ın uğradığı yıkıcı saldırının ardından bir dizi önlem alarak güvenlik protokollerini güncelleştirme ve sektörle işbirliğini geliştirmeye dair kararlar aldı. Aynı şekilde, İranlı siber tehdit gruplarının hedef aldığı İsrailli şirketler de devletin ilgili kurumlarının ihtarları sonucu devlet-şirket işbirliğiyle önlemler alma adına harekete geçmiş bulunuyor.

Bu tarz adımlara ilaveten devletler, gerektiğinde hackerlarla işbirliğine de gidebilecektir. Dark web gibi alanlarda faaliyet gösteren ve birtakım araçlara sahip olabilen hackerlarla devletlerin ilgili kurumlarının hangi alanda, ne tür işbirliği yapabileceğine dair tartışmaların başladığını görüyoruz.

Esas olarak, ransomware tehditlerinden korunmak için atılabilecek adımlar genellikle birçok şirket ya da kurum tarafından bilinse de çoğu zaman gerekenler yapılmıyor. Saldırıya maruz kalanlar, zararı en aza indirecek önlemleri almaya başlasalar da kimi zaman bunun hiçbir faydası olmuyor. Bu konuda proaktif yaklaşım benimsenmeli, olası güvenlik zafiyetleri değerlendirilmeli ve gereken önlemler devlet kurumlarıyla ve sektörle işbirliği halinde alınmalıdır. (Ersin Çahmutoğlu - İran Araştırmaları Merkezi (İRAM) Güvenlik Araştırmaları)