Ransomware Nedir? Fidye Yazılımına Karşı 7 Katmanlı Savunma
Özet: Ransomware, sahte bir kargo e-postasının açılmasıyla başlayıp birkaç saatte bir KOBİ'nin tüm dosyalarını kilitleyebilen organize bir saldırı modelidir. Bu yazıda fidye yazılımının nasıl çalıştığını, en yaygın bulaşma yollarını, saldırı anında ilk 30 dakikada yapılması gerekenleri ve uygulanabilir 7 katmanlı savunma stratejisini ele alıyoruz: e-posta güvenliği, uç nokta koruması, 3-2-1 yedekleme, erişim kontrolü, iki faktörlü doğrulama, güncelleme yönetimi ve log izleme.
Bir muhasebe müdürünün açtığı sahte kargo e-postası, gece boyunca tüm şirket dosyalarının şifrelenmesine yol açabilir. Sabah ofise gelen ekip, ekranlarında yalnızca fidye notunu görür. Bu senaryo Türkiye'deki KOBİ'lerde her hafta yaşanan gerçek bir tabloya dönüştü.
Bu yazıda fidye yazılımının ne olduğunu, hangi yollardan bulaştığını ve KOBİ ölçeğinde uygulanabilir 7 katmanlı bir savunma stratejisini inceliyoruz. Hedef kitlemiz IT yöneticileri, ofis sorumluları ve siber güvenliği "büyük şirket sorunu" olarak görmeyen tüm işletme sahipleri.
Ransomware Nedir ve Nasıl Çalışır?
Ransomware, bilgisayar, sunucu veya ağ üzerindeki dosyaları şifreleyerek kullanıcıyı verisinden mahrum bırakan bir zararlı yazılım türüdür. Saldırganlar şifre çözme anahtarı karşılığında genellikle kripto para cinsinden fidye talep eder. Yeni nesil saldırılarda çift taraflı şantaj modeli kullanılıyor: veriler şifrelenmeden önce dışarı kopyalanıyor ve "ödeme yapmazsanız müşteri bilgilerini sızdırırız" tehdidiyle ek baskı uygulanıyor.
Tipik Saldırı Süreci
- Sisteme giriş: Phishing e-postası, açık RDP, yamalanmamış zafiyet veya zayıf VPN
- Yetki yükseltme: Domain hesaplarına ulaşma, ağ keşfi
- Yatay yayılma: Diğer sunucu ve istemcilere geçiş
- Veri sızdırma: Hassas dosyaların saldırgan sunucularına kopyalanması
- Şifreleme: Tüm hedeflenen dosyaların kilitlenmesi
- Fidye notu: Ekrana ödeme talimatı, geri sayım sayacı
Fidye Yazılımı Bulaşma Yolları
Saldırganlar genelde karmaşık zero-day açıkları yerine bilinen ve kapatılması kolay açık kapılardan giriş yapar.
1. E-posta — En Yaygın Vektör
Sahte fatura, ödeme dekontu, kargo bildirimi veya CV görünümlü ekler. Word, Excel, PDF veya sıkıştırılmış arşiv (ZIP, RAR) içinde gelir. Office makro içerikleri ve HTML smuggling tekniği kullanan PDF'ler en sık görülen biçimlerdir.
2. Zayıf Yapılandırılmış Uzak Erişim
İnternete açık RDP portu (3389), iki faktörlü doğrulaması olmayan VPN ve uzaktan destek araçları otomatik tarama botlarının ilk hedefi. Güçlü parola olsa bile MFA olmadan brute-force saldırılarına karşı zayıf kalırsınız.
3. Güncellenmemiş Sistemler
Eski Windows sürümleri, yamalanmamış firewall yazılımları, unutulmuş NAS firmware'leri saldırı yüzeyini genişletir. Bilinen bir zafiyet, kamuya açıklandıktan sonra ortalama 72 saat içinde aktif olarak sömürülmeye başlanır.
4. Yetki Karmaşası
Her çalışanın paylaşımlı klasörlerde tam yetkiye sahip olması, fidye yazılımının tek bir bulaştığı bilgisayardan yüzlerce kullanıcının dosyalarını şifrelemesine yol açar. Domain admin hesaplarının günlük kullanımda olması da sık rastlanan bir hata.
Saldırı Anında İlk 30 Dakika Neden Kritiktir?
İlk 30 dakikadaki kararlar, kurtarma süresinin saatler mi günler mi olacağını belirler.
Yapılmaması Gerekenler
- Bilgisayarları panikle yeniden başlatmak: Şifreleme süreci hızlanabilir, RAM'deki adli kanıtlar silinir
- Anında format atmak: Kanıt kaybedersiniz, hangi varyantın bulaştığını bilemezseniz doğru çözüm aracını da bulamazsınız
- Sosyal medyada paylaşım: Saldırganlar markanın paniklediğini görür, fidyeyi yükseltir
İlk Müdahale Adımları
- Ağdan İzolasyon (ilk 5 dakika): Etkilenen cihazların ethernet kablosunu çıkarın, Wi-Fi'yi kapatın, VPN bağlantılarını kesin
- Yedek sistemlerin korunması: Yedek NAS veya bulut yedek hesabını bağlantıdan ayırın — saldırgan yedeklerinize henüz ulaşmamış olabilir
- Kapsam tespiti: Hangi hesap etkilendi? Kim hangi e-postayı açtı? Hangi sunucularda şifreleme var? Son sağlıklı yedeğin tarihi nedir?
- Profesyonel destek çağrısı: Olay müdahale ekibi veya MSP'niz hemen aranmalı
- İletişim zinciri: Yönetim, yasal danışman, sigorta şirketi bilgilendirilmeli
Fidye Ödemenin Görünmeyen Riskleri
Ödeme yapsanız bile şifre çözme anahtarı çalışmayabilir, yarı çalışan bir araç gönderilebilir veya veriler önceden sızdırıldığı için müşteri verisi sızıntısı tehdidi ortadan kalkmayabilir. Üstelik ödeme, sizi gelecekteki saldırılar için "ödeyen müşteri" listesine yazar.
Fidye Yazılımına Karşı 7 Katmanlı Savunma
Tek bir önlem ransomware'i tamamen engelleyemez. Etkili savunma birden fazla katmanın üst üste binmesidir.
1. E-posta Güvenliği
Domain'iniz için SPF, DKIM, DMARC kayıtları doğru yapılandırılmalı. Kurumsal mail gateway'i veya M365/Workspace'in yerleşik güvenlik özelliklerinden ek tarama, ek dosya türü kısıtlama ve şüpheli bağlantı yeniden yazımı (link rewriting) açık olmalı. Sandbox tabanlı ek dosya analizi enterprise lisanslarda gelir.
2. Uç Nokta Güvenliği
Klasik antivirüs imza tabanlı çalışır ve yeni varyantları geç tespit eder. EDR (Endpoint Detection & Response) veya XDR çözümleri davranış analizi yapar: bir sürecin kısa sürede yüzlerce dosyayı şifrelemesi, gölge kopyaları (VSS) silmesi gibi olayları gerçek zamanlı engeller. KOBİ ölçeğinde Microsoft Defender for Business, Bitdefender GravityZone, SentinelOne uygun seçenekler arasında.
3. Yedekleme Stratejisi — 3-2-1 Kuralı
- 3 kopya veri (üretim + 2 yedek)
- 2 farklı medya (yerel NAS + bulut)
- 1 kopya offline veya immutable (değiştirilemez) — fidye yazılımının erişemeyeceği bir konum
Yedekler test edilmediği sürece yedek değildir. Ayda en az bir geri yükleme tatbikatı yapılmalı, RTO ve RPO hedeflerine uyulup uyulmadığı ölçülmelidir.
4. Erişim Kontrolü — Least Privilege
Her kullanıcı yalnızca işi için gereken klasörlere erişmeli. Ortak paylaşımlarda "Herkes — Tam Yetki" kombinasyonu kaldırılmalı. Yönetici hesapları günlük kullanımda olmamalı; ayrı bir admin hesabı sadece gerektiğinde kullanılmalı.
5. İki Faktörlü Doğrulama (MFA)
VPN, e-posta, bulut paneli, RDP ve uzak erişim hesaplarında MFA zorunlu olmalı. SMS yerine authenticator uygulaması veya FIDO2 donanım anahtarı tercih edilmeli. Microsoft tarafından yapılan analizler, MFA'nın hesap ele geçirme saldırılarının yaklaşık %99'unu engellediğini gösteriyor.
6. Güncelleme (Patch) Yönetimi
Windows, sunucu yazılımları, firewall firmware'i, NAS, muhasebe ve ERP yazılımları düzenli yamalanmalı. Acil yamalar 48 saat içinde uygulanmalı; rutin yamalar test ortamından geçirilerek aylık bakım pencerelerinde dağıtılmalı.
7. İzleme ve Log Yönetimi
Firewall logları, başarısız giriş denemeleri, şüpheli ağ trafiği, EDR alarmları ve domain controller olay kayıtları düzenli incelenmeli. SIEM veya yönetilen MDR hizmeti, KOBİ ölçeğinde "yarım saatte fark etme" yi mümkün kılar.
KOBİ'ler İçin Uygulanabilir Kontrol Listesi
| Alan | Aksiyon | Sıklık |
|---|---|---|
| Envanter | Tüm cihazların listesi (OS, kullanıcı, yazılım, uzak erişim) | Çeyrek dönem |
| Yetki | Klasör yetkilerinin gözden geçirilmesi, eski hesapların kapatılması | Aylık |
| Yedek testi | Kritik sistemlerde gerçek geri yükleme tatbikatı | Aylık |
| Eğitim | 10 örnek phishing, raporlama prosedürü | 6 ayda bir |
| Yama | Acil + rutin yama dağıtımı | Aylık |
| MFA denetim | MFA aktif olmayan hesap var mı? | Aylık |
| Tatbikat | Senaryo bazlı olay müdahale tatbikatı | Yılda 2 |
Profesyonel Destek Ne Zaman Gerekir?
Şu durumlardan biri varsa profesyonel siber güvenlik desteği almak işletme için en hesaplı yatırımdır:
- Dosya sunucusu, NAS veya kurumsal ERP/muhasebe yazılımı kullanılıyor
- Uzaktan çalışan personel veya çoklu lokasyon var
- VPN, RDP veya cloud panel üzerinden harici erişim sağlanıyor
- KVKK kapsamında kişisel veri işleniyor
- IT işleri ofis içi tek kişi tarafından yürütülüyor (yedek yok)
Yamanlar Bilişim, KOBİ ölçeğine uygun güvenlik denetimi, yedekleme planlaması, firewall yapılandırması, uç nokta koruması ve olay sonrası toparlanma desteği sunmaktadır.
Sıkça Sorulan Sorular
Sonuç
Ransomware'e karşı savunma, saldırıdan önce kurulan katmanlı bir mimaride saklı. E-posta hijyeni, EDR, test edilmiş 3-2-1 yedek, sıkı yetki yönetimi, MFA, düzenli güncelleme ve izleme — bu yedi katman üst üste bindiğinde saldırının başarı şansı dramatik biçimde düşer.
Hiçbir önlem %100 koruma sağlamaz; ancak doğru kurulmuş bir savunma, en kötü senaryoyu "felaket" olmaktan çıkarıp "kontrollü olay" haline getirir. Yamanlar Bilişim, KOBİ ölçeğinde bu yedi katmanı pratik adımlarla kurmaya yardımcı olur.
Sıkça Sorulan Sorular
KOBİ ler Neden Sık Hedef Olur?
Büyük şirketlerin değil, KOBİ lerin saldırıların büyük kısmını aldığını biliyor muydunuz? Sebebi basit: ortak parolalar, ağa sürekli bağlı yedekler, yetersiz güvenlik izlemesi ve çoğu zaman dış destek olmadan tek başına çalışan bir IT sorumlusu. Saldırgan için düşük çaba, makul kazanç denklemi kuruluyor.
Antivirüs varken neden EDR a ihtiyaç var?
Antivirüs imza tabanlıdır — yeni varyantları geç tanır. EDR davranış tabanlı çalışır ve kısa sürede çok dosya değişikliği , gölge kopya silme , şüpheli süreç başlatma gibi olayları gerçek zamanlı durdurur. EDR ayrıca olay sonrası adli analiz için detaylı log tutar.
3-2-1 yedekleme yerine sadece bulut yedek kullansam olur mu?
Tek başına bulut yedek yetersizdir. Bulut yedek ağa bağlı çalışıyorsa ransomware bulut hesabınıza da erişebilir. 3-2-1 in önemi 1 kopyanın offline veya immutable olması kısmında — bu kopya saldırganın hiçbir şartta erişemediği bir kopyadır.
MFA SMS yeterli mi, authenticator uygulaması mı kullanmalıyım?
Mümkünse authenticator uygulaması (Microsoft Authenticator, Google Authenticator, Authy) veya FIDO2 donanım anahtarı kullanın. SMS, SIM swap saldırılarına ve mobil şebeke aracı saldırılarına karşı zayıftır. Yine de MFA olmamasından kat kat daha iyidir; tüm hesaplarınız için en azından SMS MFA aktif edin.
KOBİ yim, EDR ve SIEM bütçem yok, ne yapmalıyım?
Önce ücretsiz veya çok düşük maliyetli adımları tamamlayın: tüm hesaplarda MFA, SPF/DKIM/DMARC kaydı, RDP yi internetten kapat (VPN arkasına al), Windows Defender ı yapılandır, 3-2-1 yedekleme. Bu adımlar bütçe gerektirmez ve riski büyük ölçüde düşürür. EDR ve yönetilen MDR ı bir sonraki adım olarak planlayın.
Çalışan eğitimi gerçekten işe yarıyor mu?
Evet, ama tek seferlik değil sürekli olduğunda. Yılda en az iki kez güncel phishing örnekleriyle eğitim, gerçek phishing simülasyonu ve raporlama kanalı (örn. şüpheli e-posta butonu) saldırı başarı oranını ciddi şekilde düşürür. Eğitilmemiş çalışan en zayıf, eğitilmiş ve uyanık çalışan en güçlü savunma katmanıdır.
Saldırıya uğradım, polis veya başka bir kuruma bildirim yapmalı mıyım?
KVKK kapsamında kişisel veri etkilendiyse 72 saat içinde Kişisel Verileri Koruma Kurumu na bildirim yasal zorunluluktur. USOM a (Ulusal Siber Olaylara Müdahale Merkezi) bildirim önerilir. Suç duyurusunda bulunmak hem yasal süreç açısından hem de sigorta talepleri için önemlidir.
Yazar
Serdar
Yamanlar Bilişim Uzmanı
Yamanlar Bilişim bünyesinde IT altyapısı, siber güvenlik ve dijital dönüşüm konularında içerikler üretmektedir. Sorularınız için iletişime geçebilirsiniz.
Profesyonel Destek
Bu konuda destek alın
Siber Güvenlik alanında ihtiyaç duyduğunuz çözümü birlikte tasarlayalım. Uzman ekibimiz 1 iş günü içinde size geri döner.
support@yamanlarbilisim.com.tr · Yanıt süresi: 1 iş günü
Devamını Oku
İlgili Makaleler
Insider Threat: KOBİ'lerde İçeriden Tehdit Tespiti
İçeriden tehdit (insider threat) nedir, KOBİ'lerde tespit yöntemleri, ayrılan çalışan, ihmal ve kasıtlı kötü niyet senaryoları.
NDR (Network Detection & Response) KOBİ'ye Gerekir mi?
Network Detection & Response (NDR) nedir, EDR ve SIEM'den farkı, KOBİ ölçeğinde gerekli olup olmadığı ve uygun çözümlerin değerlendirilmesi.
Web Filtreleme ve URL Kontrolü: KOBİ Ofisi İçin Politika
KOBİ ofisinde web filtreleme politikası tasarımı, URL kategori yönetimi, çalışan üretkenliği ile güvenlik dengesi ve KVKK uyumu.