Fidye yazılımı, tehdit aktörlerinin bir hedefin varlıklarının kontrolünü ele geçirerek, bu varlıkların kullanılabilirliğini ve gizliliğini geri sağlama karşılığında fidye talep ettiği bir saldırı türüdür.
Her fidye yazılımı saldırısında üç temel unsur bulunur: varlıklar, eylemler ve şantaj. Varlıklar ve eylemler bir sonraki bölümde detaylandırılacaktır. Şantaj, tehdit aktörlerinin varlıkların kullanılabilirliği karşılığında bir şey talep eden tehditler kullanarak hedefi zorladığı fidye yazılımı saldırılarının kritik unsurudur. Hedefi fidye taleplerine uymaya zorlamak için çeşitli zorlama yöntemleri kullanılır:
Saldırının tanıtımı, kısmi veya tam veri sızıntıları, hedef altyapıya yönelik dağıtılmış hizmet reddi (DDoS) saldırıları ve diğer teknikler bunlar arasındadır. Şantaj genellikle finansal motivasyonla gerçekleştirilse de, fidye yazılımı tehdit aktörleri bazen şirket politikalarında değişiklik, yeni yazılım özellikleri gibi diğer taleplerde bulunabilir veya hedeflerden sosyal çevrelerine bulaşmasını isteyebilir.
Bu tanım, şifreleme veya çalma gibi spesifik işlemlerle ya da parasal olsun veya olmasın yapılan taleplerle sınırlı değildir ve genel bir tanım sağlar.
Fidye yazılımının türlerini tanımlamak zordur çünkü bu kavram evrim geçirmiştir ve fidye yazılımlarının teknik yetenekleri diğer kötü amaçlı yazılımlarla benzerlik göstermektedir. 2010'ların ortalarına kadar fidye yazılımları genellikle şifreleme veya kilitleme gibi bir veya iki eyleme odaklanıyordu. Bu durum, fidye yazılımlarını Şifreleme Fidye Yazılımı veya Kilit Ekranı Fidye Yazılımı gibi basit kategorilerde sınıflandırmayı kolaylaştırıyordu. Ancak, günümüzde fidye yazılımı bu tür açıklamalara bağlı değildir ve evrimi, bu basit kategorilerin artık yeterli olmamasına neden olmuştur.
Bu durum, siber güvenlik endüstrisi tarafından fidye yazılımlarının adlandırılmasında bir homojenlik eksikliği olduğunu ve türlerin birbirini dışladığını göstermektedir. Örneğin, Şifreleme Fidye Yazılımının yalnızca dosyaları şifrelemesi ve başka bir şey yapmaması bekleniyordu. Bu nedenle, fidye yazılımlarını türlerine göre değil, gerçekleştirdikleri eylemler ve hedefledikleri varlıklar açısından tanımlamayı öneriyoruz.
Fidye yazılımının gerçekleştirebileceği dört temel eylem bulunmaktadır: kilitleme, şifreleme, silme ve çalma. Bu dört temel eylemi “ kilitle, şifrele, sil, çal “(LED) olarak adlandırıyoruz.
- Kilitleme: Fidye yazılımı, ekranı veya belirli bir uygulamayı kilitleyerek hedefin varlığa erişimini engelleyebilir.
- Şifreleme: Bir varlığı şifreleyerek, hedefin bu varlığı kullanamamasına neden olabilir.
- Çalma: Fidye yazılımı, varlıkları çalarak, kullanılabilirliğini ve sonunda gizliliğini tehlikeye atabilir.
- Silme: Bir varlığı silerek, kalıcı olarak kullanılamaz hale getirebilir.
Bu eylemler, fidye yazılımının çeşitli stratejileri ve hedefleri doğrultusunda nasıl hareket edebileceğini özetler.
Varlıklar, bir işletme veya kuruluş için değerli olan her şeydir. Fidye yazılımlarının hedeflediği en yaygın varlıklar genellikle dosyalar ve klasörlerdir. Çoğu varlık, teknik olarak işletim sistemlerinin çoğunda bir dosya olarak kabul edilir; bu nedenle, bir hedefteki tüm dosyaları şifreleyen fidye yazılımları ile sadece belirli dosyaların parçalarını şifreleyen fidye yazılımları arasındaki farkı belirlemek önemlidir. Ayrıca, bir web sunucusunu çalıştırmak için gerekli olan kodlar da bir varlık olarak değerlendirilebilir.
Ancak, fidye yazılımlarının hedeflediği tek varlıklar dosyalar ve klasörlerle sınırlı değildir. Diğer hedeflenen varlıklar arasında veritabanları, web hizmetleri, içerik yönetim sistemleri, ekranlar, ana önyükleme kayıtları (MBR), ana dosya tabloları (MFT) ve daha fazlası yer alabilir. Bu çeşitlilik, fidye yazılımlarının etkili olabilmesi için dikkate alınması gereken önemli bir faktördür.
Eylemleri ve varlıkları kullanarak mevcut fidye yazılımlarının yeteneklerini Tablo 1'de göstermekteyiz. Bu tablo, sadece analiz edilen fidye yazılımlarının yeteneklerini yansıtır ve birçok kombinasyonun eksik olduğunu, ayrıca tehdit ortamının değişkenlik gösterdiğini açıkça ortaya koymaktadır. Tehdit ortamının evrimi göz önüne alındığında, bu çalışmanın gelecekteki güncellemelerinde ENISA tarafından izlenmeye devam edilecektir.
ŞİFRELEME
Şifreleme, bir dosyanın, klasörün veya metnin içeriğini yalnızca kullanılan şifreleme algoritmasını bilen ve şifresini çözmek için gerekli şifreleme anahtarına sahip kişilerin erişimine sunmak için kullanılan bir eylemdir. Şifreleme algoritmaları, şifrelenebilen varlıkların türüne, kullanılan şifreleme yöntemlerine ve şifrelemenin nerede gerçekleştirildiğine (sadece istemcide mi yoksa hem istemcide hem de sunucuda mı) bağlı olarak çeşitlilik gösterir.
SİLME
- Resmi İşletim Sistemi Prosedürü: Çoğu işletim sistemi, silme işlemi sırasında yalnızca dosyanın klasör yapısındaki referansını kaldırır, dosyanın kendisini fiziksel olarak silmez. Bu, dosyanın depolandığı veri alanının üzerinde yeniden yazılana kadar erişilebilir olduğunu anlamına gelir.
- Baytlarını Yeniden Yazma: Dosyanın tüm baytlarını, genellikle rastgele verilerle yeniden yazarak dosyanın içeriğini kalıcı olarak silme yöntemidir. Bu işlem, dosyanın geri getirilemeyecek şekilde silinmesini sağlar.
Bellek içi veritabanlarında, silme genellikle veritabanından belirli dosyaları veya kayıtları kaldırma eylemi olarak gerçekleşir. Ayrıca, bulut ortamlarındaki sanal makinelerde, silme işlemi genellikle işletim sistemi ve resmi gösterge tabloları kullanılarak yapılır.
Bir dosyanın silinmesi, dosyanın şifrelendiği veya çalındığı anlamına gelmez; silme işlemi yalnızca dosyanın erişilebilirliğini ortadan kaldırmayı hedefler.
HIRSIZLIK:
Çalma eylemi, varlığın saldırganın kontrolüne kopyalanmasını ifade eder. Bu işlem, verilerin İnternet'e sızdırılması veya varlığın sahibinin bilmediği bir yerel klasöre kopyalanması şeklinde gerçekleşebilir. Çalma, özellikle varlığın silinmesi veya şifrelenmesi anlamına gelmez; bu eylem yalnızca varlığın izinsiz olarak ele geçirilmesi ve başka bir yerde saklanması anlamına gelir.
FİDYE YAZILIMININ HEDEFLEDİĞİ VARLIKLAR
Aşağıdaki varlıklar, çalışmamda fidye yazılımları tarafından hedeflenen yaygın olarak gözlemlenen varlıklardır;
