Adları bile bilinmiyor ama 4 milyondan fazla kişiyi fidyeden kurtardılar! Onlar süper kahraman hacker’lar…
Londra'nın merkezindeki bir okulun bilgi teknolojileri yöneticisi olan Matthew'nun telefonuna 23 Kasım 2020 Pazartesi akşamı saat 21.00 sularında bir ileti geldi. İş arkadaşlarından biri okulun internet sitesine erişilemediğini haber veriyordu.
Matthew kendi de girmeyi denedi siteye lakin başarılı olamadı. Başta "Acaba şifremi mi unuttum?" diye düşünse de kısa müddet içinde sitenin kullanıcı ismini tanımadığını fark etti.
Soyadının açıklanmasını istemeyen Matthew'nun çalıştığı devlet okulu, Hindistan, Pakistan ve Doğu Avrupa'dan gelen ve çok da varlıklı olmayan ailelerin çocuklarının devam ettiği bir kurum. Yaşları 5 ile 10 ortasında değişen 150 kadar öğrencinin birçoklarının en değerli besin kaynağı öğlenleri verilen fiyatsız okul yemekleri. Kraliçe Victoria devrinden kalmış eski binanın içinde kısıtlı bütçeyle öğrencileri için ellerinden geleni yapmaya çalışan öğretmenler, çocukların kalemlerini birinci tuttukları andan itibaren tüm ilerlemelerini, fotoğraflarını çekerek kayıt altına alıyor. Akabinde bu fotoğraflar okulun öbür işlerinin de yürütüldüğü bir ortak işlemciye yükleniyor.
Dışarıdan mutabakatlı olarak çalışmaya 2016 yılında başlayan Matthew'nun işi, çocukların öğrenme seyahatine ilişkin bu yeri doldurulmaz kayıtları korumak. Bu işin karşılığında aldığı para epey sonlu fakat Matthew bu kıymetli misyonu büyük bir bağlılıkla yerine getiriyor.
23 Kasım 2020 gecesine dönersek... Matthew siteye erişilemediğini görünce elinden gelen her şeyi denemeye başladı. Saat 02.00 olduğunda son deva olarak sunucu hizmetini veren şirketin müşteri hizmetlerini aramaya karar verdi. Yeni bir sunucu aldı ve okulun sitesini bu sunucuya bağladı. Lakin tuhaflık devam ediyordu. Matthew, sunucuda isimlerini gördüğü belgeleri açamıyordu. Hepsinin isminin sonuna ".encrypt" (şifrele) diye bir uzantı eklenmişti.
Matthew bir anda olan biteni fark ederek dehşete düştü: Okul, günümüzde süratle yaygınlaşmakta olan bir siber cürüm olan fidye saldırısı kurbanı olmuştu.
Korsanlıkla kriptografi ortasında noktada yer alan fidye yazılımları, bulaştıkları sistemlerdeki evrakları kilitliyor. Kilidi açmak yalnızca gerçek şifre anahtarının girilmesiyle mümkün olabiliyor. Korsanlar bu şifre anahtarı karşılığında çok büyük paralar talep ediyor.
"TÜM EVRAKLARINIZ KİLİTLENDİ, ÖDEME YAPMAK İÇİN 2 GÜNÜNÜZ VAR"
Korsanlar okulun sistemine öğretmenlerin içerik idaresi hedefiyle kullandığı bir internet portalı üzerinden sızmıştı. Aslında portalın güvenliğini artıracak bir yama yayımlanmıştı fakat tıpkı anda birden fazla müşteriye hizmet veren Matthew, çok meşgul olduğundan o güncellemeyi yapmayı unutmuştu.
"Başkalarına verdiğim tavsiyeyi kendim uygulamamıştım. Çok büyük hüsrana uğradım ve çok utandım. Birileri karnıma yumruk atmış üzere hissettim" kelamlarıyla aktardı Matthew o andaki hislerini.
Okulun sitesinin enkazında dolanan Matthew bir not buldu. "Hack for Life" (Ölümüne Korsanlık) başlıklı notta şu tabirler yer alıyordu:
"Tüm Evraklarınız Kilitlendi! Belgelerinizin yapısı ve içeriğindeki bilgiler geri döndürülemeyecek halde değiştirildi. Onları göremez, okuyamaz, üzerlerinde çalışamazsınız. Lakin bizim yardımımızla belgelerinizi eski haline getirebilirsiniz. Siz fidyeyi ödedikten sonra, tüm evraklarınızın şifresini çözebiliriz. Fidye elimize geçtikten sonra sizi kandırmak için bir sebebimiz bulunmuyor zira biz barbar değiliz ve bu türlü bir şey yapmak bizim karımıza ziyan verir.
Ödeme Yapmak İçin 2 Gününüz Var. 2 Günden sonra Şifre Çözme Fiyatı, İkiye Katlanacak. 1 haftanın akabinde ise üçe... Bu nedenle ödemeyi birkaç saat içinde yapmanızı tavsiye ediyoruz."
Bu, Matthew'nun fidye yazılımlarıyla birinci müsabakası değildi. Daha evvel çalıştığı yazılım şirketi de 2018 yılında taarruza uğramıştı. Matthew ödeme yapmak yerine iki gün boyunca şirketin bilgilerini kurtarmak için çalışmıştı. Şirket yetkilileri ise olay duyulduğunda kurumun prestijine ziyan geleceğini ve yatırımcıların paniğe kapılacağını düşünüyordu. İki günün akabinde pes eden yöneticiler Matthew'ya 2 bitcoin'lik (o günün parasıyla yaklaşık 10 bin dolar) fidyeyi ödemesini söyledi. Ödemeyi yapan Matthew'ya şifreyi çözmek için gerekli anahtar teslim edildi ve şirket olayı geride bırakıp faaliyetlerine kaldığı yerden devam etti.
Ancak büyük bir şirketin kıymetsiz bir aksaklık muamelesi yaptığı bu türlü bir hücum, ekonomik manada zorluklar yaşayan bir okul için felaket potansiyeli taşıyordu. Matthew, "Çocukların değerlendirmeleri imkânsız hale gelecekti. Öğretmenlerin aylarca verdiği emekler çöpe gidecekti. Okul teftişten geçemeyecekti" diye konuştu.
10 BİN EURO'LUK FİDYE TALEBİNİ 1000 EURO'YA İNDİRDİLER AMA…
Uykusuz geçirdiği bir gecenin akabinde Matthew üstlerine durumu bildirdi ve saldırganlarla pazarlık etmekle görevlendirildi. Okulun saldırganlara para vermekten öbür devası yokmuş üzere görünmesi başka okulların da maksat alınmasına yol açacaktı. Matthew ve yöneticileri saldırıyı zımnî tutmaya karar verdi. Okulun prestiji lekelensin istemiyorlardı, bu nedenle kolluk güçlerine haber vermemeyi seçtiler. Öğretmenlere ve velilere ise sistemin çalışmadığı söylendi.
Fidye notunda saldırganların istediği meblağ yer almıyordu. Matthew, korsanların belirttiği Gmail adresine "Bilgisayarımın şifresini kaldırmak için ne kadar istiyorsunuz?" diye bir e-posta gönderdi. Gelen karşılıkta, "10 bin euro ödemek zorundasınız. Bugün 10 bin. Yarın 15 bin. İki gün daha beklerseniz 20 bin" deniyordu.
Matthew, okulun bu türlü bir ödeme yapmaya gücünün yetmeyeceğini biliyordu. O nedenle atak çok fazla hasara yol açmamış üzere davranarak pazarlık yapmaya karar verdi.
"Size ödeyecek 10 bin euro'm yok. Kusura bakmayın ancak gülünç bir talep bu. Biz kaynakları hudutlu olan küçük bir okuluz. Bilgilerimizin çok büyük bir kısmı yedeklenmiş halde, yalnızca yakın vakitte yüklenmiş birkaç fotoğraf kayıp. En fazla 500 dolar ödeyebilirim. Bu sizin için uygunsa bana haber verin" diye bir bildiri daha gönderen Matthew'nun stratejisi başta işe yaramış üzere görünüyordu. Korsanlardan gelen karşılık "1000 Euro Son Teklif Şayet kabul etmezseniz bu konuşmayı sonlandırmak zorunda kalacağız" formundaydı.
Matthew rahatlamıştı. Okul 1000 euro'yu toplayabilirdi. Felaket atlatılmış üzere görünüyordu. Korsanlar ödemeyi bitcoin olarak istiyordu. Matthew kendisi de kripto paraya yatırım yaptığından nasıl bitcoin alabileceğini biliyordu. 1000 euro'yu bitcoin'e çevirdi ve korsanların bildirdiği bir cüzdana aktardı. Akabinde da "Tamam, gönderdim. Lütfen belgelerimi nasıl kurtaracağımı bildirin bana" diye bir ileti yazdı.
Gelen karşılığı gördüğünde ise beyninden vurulmuşa döndü: "Üzgünüm 1000 euro'yu kabul edemiyoruz. 10 bin euro ödemek zorundasınız. Borcunuz 9000 euro siz ödemeyi yaptıktan sonra şifre çözme evrakını size göndereceğim."
Saldırganlar Matthew'yu kandırmıştı. Taviz veriyormuş numarasıyla Matthew'nun ön ödeme yapmasını sağlamış ve anahtarı vermemişlerdi. Matthew o kadar bozulmuştu ki pazarlığın "Rakibine güç durumda olduğunu aşikâr etme" halindeki bir numaralı kuralını bile unutmuştu. Umutsuzca yalvarmaya başladı: "1000 euro son teklif demiştiniz ve anlaşmıştık."
Ama saldırganın geri adım atmaya niyeti yoktu. "Bunu kabul edemem" diye cevap verdi ve ekledi: "Üzgünüm, bu benim problemim değil."
ŞİFREYİ KIRABİLECEK TEK KİŞİ VARDI
Matthew bir mucize bulma umuduyla interneti taramaya başladı. BleepingComputer (Bip'li Bilgisayar) sitesinin forum kısmında VashSorena isimli fidye yazılımının kurbanlarının yazışmalarına denk geldi. Bu yazılım da belgelerin sonlarına ".encrypt" halinde bir uzantı ekliyordu.
Matthew foruma, "Bugün bu fidye yazılımı bilgisayarıma bulaştı, fidyeyi ödedim ancak saldırgan yardımcı olmadı" diye yazdı.
Diğer kullanıcılar Matthew'ya fidye notunu ve şifrelenmiş belgelerden birkaçını ID Ransomware isimli siteye yüklemesini ve sitenin demonslay335 kullanıcı ismiyle bilinen kurucusuyla temasa geçmesini tavsiye etti. "Şifreyi kırabilecek biri varsa o da demonslay335'tir" diyorlardı.
Bunun üzerine Matthew demonslay335'e, "Selam, çalıştığım okulun öğrencilerin ilerlemesini kaydettiği sunucum hücuma uğradı ve şifrelendi. Lütfen, bana yardım edebilir misin? Büsbütün sıkışmış durumdayım" diye bildiri gönderdi.
George Orwell'in yıllar önce dediği üzere, "Medeniyetin tarihi büyük ölçüde silahların tarihidir". Günümüzde dijital silahlar dünyayı tekrar şekillendiriyor, en büyük tehdit de fidye yazılımları olacak üzere görünüyor. Fidye yazılımları kimlik hırsızlığı üzere siber kabahatlere kıyasla çok daha verimli ve kârlı. Hayatımızın her alanında internete olan bağımlılığımız arttıkça da hatalıların para kazanıp kaos yaratma olasılıklarının hudutları sonsuzluğa yanlışsız genişliyor. Fidye yazılımı taarruzlarının ne kadar sık gerçekleştiği ve nasıl tesirler yarattığı tam olarak bilinmiyor zira birçok kurban başlarına geleni yetkililere bildirmekten ya da kamuoyuyla paylaşmaktan kaçınıyor. Fakat Bad Rabbit, LockerGoga üzere tuhaf isimleri olan yazılımlar son yıllarda milyonlarca şirketi, devlet kurumunu, kâr hedefi gütmeyen kuruluşu ve kişiyi felç etti. Toplumun bilgisayarlara olan bağımlılığını sömüren korsanlar, sistemleri yine devreye almak için binlerce, milyonlarca hatta on milyonlarca dolar istiyor. Pandemi sırasında siber şantaj dalgası hastaneleri ve öbür hayati kurumları çalışamaz hale getirdi, şirketleri ve okulları kapanmaya zorladı, insanların akrabaları, dostları ve iş arkadaşlarıyla olan uzaklığının daha da açılmasına neden oldu.
ZORBALIKLA, YOKSULLUKLA, KANSERLE UĞRAŞLA GEÇEN BİR ÇOCUKLUK...
İnternet aleminde demonslay335 (iblis avcısı) ismiyle tanınan Michael Gillespie o sırada Londra'dan kilometrelerce uzakta, Illinois kentinde yaşıyor, meskeninin üst katındaki mütevazı ofisinden fidye yazılımlarına karşı savaşıyordu. Sekiz kedileri, iki köpekleri ve bir tavşanları vardı ve Gillespie'nin ofisini "kedi odası" diye adlandırıyorlardı. Masanın üzerindeki dizüstü bilgisayar, duvardaki rafa yerleştirilmiş bir ekran, eskimiş bir kanepe ve en sevdiği sinema olan Aslan Kral'ın afişi dışında oda boştu.
O günlerde 29 yaşına girmek üzere olan Gillespie epeyce sıkıntı bir hayat yaşamıştı. Okulda zorbalığa uğramış, yoksullukla ve kanserle uğraş etmişti. Çocukluk yıllarında o kadar yoksuldular ki vakit zaman arkadaşlarının ya da akrabalarının yanına taşınmak zorunda kaldığı oluyordu. 16 yaşındayken bilgisayar tamir hizmeti veren Nerds on Call'da (Nöbetçi İnekler) çalışmaya başladı. 10 yıldan fazla çalıştığı bu şirkette kendi kendine fidye yazılımlarını kırmayı öğrendi.
Zamanla dünyanın en düzgün fidye yazılım kırıcılarından biri haline geldi. Yarattığı şifre kırma araçları, dünyanın dört bir yanında en az 1 milyon kişi tarafından indirildi. Karşılığında bir kuruş bile almayan Gillespie, yardım ettiği şahısları toplamda yüz milyonlarca dolar pahasında fidye ödemekten kurtardı. Bilinen 1000'den fazla fidye yazılımı ortasında 100'den fazlasını kırmayı başardı.
Gillespie için bugün internet bir tıp sığınak, bir yuva. Uyanık olduğu saatlerin neredeyse tamamını çevrimiçi geçiren Gillespie'nin Illinois'deki akrabaları ve arkadaşları demonslay335'in internet alemindeki nüfuzundan habersiz.
FİDYE YAZILIM AVI TİMİ'NİN EN TANINMIŞ ÜYESİ
Becerikliliği ve yorulmazlığıyla tanınan Gillespie, Fidye Yazılım Avı Timi'nin en tanınmış üyesi. Yalnızca davetle iştirak sağlanan bu seçkin grup, hayatını fidye yazılımlarını kırmaya adamış bir küme teknoloji dâhisinden oluşuyor. Dünyanın dört bir yanına yayılmış bu gönüllüler, fidye ödemeye gücü yetmeyen ya da prensip gereği ödeme yapmayı reddeden kurbanların yardımına koşuyor. Grup üyeleri toplamda 300'den fazla fidye yazılımını kırmayı başardı, aşağı üst 4 milyon kadar kurbana gelen milyarlarca dolar pahasındaki fidye talebini boşa çıkardı.
Fidye Yazılım Avı Timi'nin üyelerinin birçok tıpkı Gillespie üzere yokluktan muvaffakiyete ulaşmış bireyler. Teknik eğitimleri yok, her şeyi kendi kendilerine öğrenmişler. Kimilerinin geçmişte yaşadığı yokluklar ve istismarlar, zorbalara karşı harekete geçmelerinde tesirli olmuş. Taarruzlarını savuşturdukları hatalıların misilleme yapma ihtimaline karşı takma isimlerin ya da çevrimiçi kimliklerin gerisine saklanıyorlar. Birden fazla birbirini hiç görmemiş bile.
Ancak hem davalarına hem de birbirlerine olan bağlılıkları çok güçlü. Örneğin biri ekonomik manada sıkıntı günler yaşadığında, grup arkadaşlarından biri kesinlikle devreye giriyor, bağış ya da iş teklifi yoluyla zora düşeni kurtarıyor. ABD, İngiltere, Almanya, İspanya, İtalya, Macaristan ve Hollanda üzere çeşitli ülkelere dağılmış durumdalar fakat hepsinin asıl yaşadığı yer internet alemi.
"HEPİMİZ BİR BİÇİMDE DIŞLANMIŞ İNSANLARIZ"
Ekip üyelerinin maaşlı işleri de var: birden fazla siber güvenlik alanında çalışıyor. Fidye yazılımlarını kırmayı ise bir tutku olarak görüyorlar. Birçoğu, bir sorunu çözmeye odaklanınca dünyayı unutup gece gündüz aralıksız bunun için çalışıyor. Varlıklı olmak umurlarında değil; o denli olsaydı var olan fidye yazılımlarını kırmak yerine yeni yazılımlar tasarlamakla uğraşırlardı.
Ekibin üyelerinden Fabian Wosar, "Bence hepimiz bir biçimde dışlanmış insanlarız" kelamlarıyla özetledi kümenin genelini. Almanya'da doğup büyüyen, şu an ise Londra'nın dış mahallelerinden birinde yaşayan Wosar'ın lise diploması dahi yok. Gillespie'nin akıl hocası ve Fidye Yazılım Avı Timi'nin en kıymetli şifre kırıcısı olan Wosar, "Hepimizin olağan dünyadan izole olmamıza neden olan fakat fidye yazılımlarını izleyip insanlara yardım ederken işimize yarayan tuhaflıkları var. Tam da bu nedenle birlikte çok düzgün çalışabiliyoruz. İçinizde tutku ve kendinize gerekli marifetleri öğretme azmi olduğu surece diplomaya gereksiniminiz yok" diye konuştu.
Elbette takım bütün yazılımları kıramıyor. Çünkü gerçek biçimde kodlanmış bir fidye yazılımının kırılması imkânsız. Lakin kimi saldırganların beceriksizlikleri, kestirmeden gitmek istemeleri veya rakiplerini küçümsemeleri sonucu ortaya zayıf noktalar çıkıyor. Fidye Yazılım Avı Timi de tam olarak bu noktalardan vuruyor.
Ekip üyeleri gitgide büyümekte olan bir boşluğu dolduruyor. Çünkü resmi makamlar fidye yazılımı akınlarına karşı şimdi gereğince tedbir alabilmiş değil. Örneğin FBI kurbanlara fidyeyi ödememelerini tavsiye etmenin dışında bir alternatif sunamıyor. Korsanların kıymetli bir kısmı Rusya, İran, Kuzey Kore üzere ülkelerde faaliyet gösteriyor. Bu ülkelerin hükümetleri korsanları durdurmak için pek bir şey yapmıyor, üstüne üstlük Batı'ya karşı yürütülen isimsiz sanal savaşın bir kesimi kabul edilen bu taarruzlardan istihbarat elde etmek gayesiyle faydalandıkları hatta ödenen fidyelerden hisse aldıkları dahi söyleniyor. Fidye hücumları yaygınlaştıkça çıkarları katlanan sigortacılar ve siber güvenlik şirketleri üzere özel dal temsilcileri de kesin tahliller üretme konusunda gönülsüz davranıyor.
KORSANLARLA SAVAŞANLAR, KORSANLARA ÇOK BENZİYOR
Ahlaki açıdan iki zıt uçta yer alan fidye yazılımı korsanları ile avcılar aslında birebir dünyanın insanları. Kedi fare oyununu bir kenara bıraktıkları vakitlerde korsanlar, avcılarla hem hakaretler hem de övgülerle dolu sohbetler ediyor. Fidye yazılımına duydukları hayranlık da maharetleri de ortak.
Korsanların kodlarını kırma konusundaki maharetini tekraren sergilemiş olan Wosar, sık sık hem iltifatların hem de hakaretlerin gayesi oluyor.
Avcılar ve korsanların karakter özellikleri de emsal. Birçoğu işi kendi kendine öğrenmiş işsiz teknoloji meczupları. Toplumsal nezaket açısından biraz zayıflar. Tıpkı oyunları, birebir sineması seviyorlar. Örneğin HakunaMatata isimli fidye yazılımının ismi, Gillespie'nin en sevdiği sinema olan Aslan Kral'ın Oscar'a aday gösterilmiş ünlü müziğinden geliyor. Tıpkı Fidye Yazılım Avı Timi'nin üyeleri üzere korsanların da birçok genç erkekler. Dünyanın dört bir yanına yayılmış haldeler lakin birden fazla Doğu Avrupa ülkelerinde yaşıyor.
Bazı korsanlar için benimsedikleri ahlaki pahalar birer gurur kaynağı. Örneğin fidye ödendikten sonra kelamlarını tutup şifreleri çabucak kaldırıyorlar. Çünkü kelamlarını tutmayıp muhataplarını kandırdıkları takdirde gelecekteki kurbanlarından para alma ihtimallerinin azalacağını biliyorlar. Neden bu türlü taarruzlar düzenledikleri sorulduğunda farklı münasebetler sunuyorlar. Bu münasebetlerin ortak noktası ekseriyetle "Mesele para değil" oluyor. Fakat bu açıklamanın doğruluğu kuşkulu. Aslında Fidye Yazılım Avı Timi ile korsanlar ortasındaki en büyük fark da ikinci gruptakilerin paragözlüğü.
Fabian Wosar, son yıllarda o kadar çok fidye yazılımı kırdı ki korsanları püskürtmek hayatının rutinlerinden biri haline geldi. Bu durum bir noktada korsanların da ilgisini çekmeye başladı. Örneğin 2016 sonlarında yaygınlaşan NMoreira isimli yazılımını kodlayan kişi Wosar'a bir bildiri bırakmayı ihmal etmemişti. "FWosar, adamsın" diye başlayan bildiri şöyle devam ediyordu: "Yaptığı işi anlayan herifler bana ilham veriyor. Umarım bunu da kırabilirsin, ukalalık olsun diye söylemiyorum, nitekim ilham vericisin. Kucaklıyorum seni." Doğal tüm bildiriler bu kadar müspet değildi. Örneğin bir saldırgan, "Wosar, lütfen, beni kırma! Bu son teşebbüsüm. Şayet bu versiyonu da kırarsan uyuşturucuya başlayacağım" diye yalvarıyordu. (Bu kelamlar pek tesirli olmadı. Fidye yazılımını kıran Wosar, üzerine bir de bir şifre kırıcı tasarladı.) En sık karşılaştığı bildiriler ise hakaret içerikli olanlardı. Örneğin bir yazılımın satırlar dolusu harf ve sayıdan oluşan kodlarının ortasında "Hadi beni yeniden kırsana Wosar! Bakalım yüreğin var mıymış" kelamları dikkat çekiyordu. Wosar, 2019 yılında BBC'ye yaptığı açıklamada fark edilmenin kendisini mutlu ettiğini belirterek, "Benim o bildirisi göreceğimi bildikleri için yazma zahmetine girmişler. Çalışmalarımızın birtakım pis siber kabahat çetelerini üzdüğünü bilmek çok yeterli bir motivasyon kaynağı" sözlerini kullanmıştı.
İLK BAKIŞTA "KIRILAMAZ" DEDİ FAKAT YANILGISINI KISA MÜDDETTE ANLADI
Gillespie, 2020 yılının Kasım ayının sonlarında bir salı günü ofisinde çalışıyordu. Kurbanlardan gelen talepler ortasında öylesine kaybolmuştu ki Matthew'un gönderdiği belgeye göz gezdirecek vakti bile sıkıntı bulmuştu.
Hızlı bir incelemeden sonra okula düzenlenen taarruzda Ouroboros ismi verilen ve kırılması mümkün olmayan bir fidye yazılımının altıncı versiyonunun kullanıldığını anladı.
Antik bir sembol olan Ouroboros, kendi kuyruğunu yiyen bir yılanı tasvir ediyor.
Antik bir sembol olan Ouroboros, kendi kuyruğunu yiyen bir yılanı tasvir ediyor.
Gillespie bu keşfin akabinde Matthew'ya biraz da hudutla, "Ouroboros v6, kusurlarının tamir edildiği Ekim 2019'dan bu yana kırılamayan bir yazılım. Bunu ID Ransomware'den çoktan öğrenmiş olman lazım" diye bir e-posta gönderdi.
Ancak Matthew'nun geri adım atmaya niyeti yoktu. Gillespie'nin kendi internet sitesinde yazılım, VashSorena olarak isimlendiriliyor yanlışsız şartlar altında kırılabileceği belirtiliyordu. Matthew, "Aynı yazılımın iki farklı isminden mi bahsediyoruz yoksa şifreyi kırmak için bir bahtım olabilir mi?" diye sordu.
Dosya ismindeki karakterleri ve öbür işaretleri yine inceleyen Gillespie, çabukla karar verdiğini ve çok anlaşılabilir bir yanılgı yaptığını fark etti. Hem Ouroboros'un hem de VashSorena'nın İran kökenli korsanlar tarafından geliştirildiğine inanılıyordu. İki yazılım da evrakları tıpkı biçimde şifreliyordu. Bunu durumu idrak edince işe koyuldu.
KORSANLARIN AÇIĞINI YAKALAMIŞ LAKİN AÇIKLAMAMIŞTI
VashSorena'yı tasarlayan yazılımcılar bir noktada kestirmeden gitmek istedikleri için yazılımın bir zayıflığı bulunuyordu. Fidyenin ödenip ödenmediğini takip etmek isteyen yazılımcılar, her kurbana özel bir kimlik numarası ataması yapıyordu. Aslına bakılırsa bu fidye yazılımında standart bir uygulamaydı. Bir başka standart uygulama ise her kurbana evrakları üzerindeki şifreyi kaldıracak özel bir anahtar gönderilmesiydi. VashSorena'daki farklılık kimlik numarası ise anahtarın birbiriyle kontaklı olmasıydı. Bu sayede Gillespie bir açık bulabileceğine inanıyordu.
Gillespie, VashSorena'nın birinci versiyonunu Haziran 2020'de kırmayı başarmış lakin birden fazla vakit yaptığı üzere bu muvaffakiyetini pek dillendirmek istememişti. Çünkü saldırganların durumu öğrendiklerinde açığı kapatmaları işten bile değildi. Korsanlara yazılımlarını mükemmelleştirmelerinde yardımcı olmak, Av Timi'nin yapmak isteyeceği son şeydi. Gillespie kendisine BleepingComputer üzerinden ulaşan en az 40 kurbanı VashSorena'dan kurtarmış lakin nasıl bir tahlil yolu geliştirdiğine dair bir paylaşım yapmamıştı. Fazla dikkat çekmemek üzerine şurası bu yaklaşım işe yaramış üzere görünüyordu. Saldırganlar VashSorena'ya beş sefer güncelleme yapmış ancak Gillespie'nin bulduğu boşluğu kapatmamıştı.
Matthew'nun kendisine gönderdiği fidye notundaki kimlik numarasını kullanan Gillespie, yazılımı kırıp evrakların üzerindeki şifreyi kaldıracak anahtarı üretmeyi başardı. Akabinde Matthew'nun datalarını kurtarmak için kullanabileceği bir şifre kaldırma programı yazdı. Bir de anahtar üretti ve "Bir daha bakar mısın? Hakikaten de VashSorena'ymış ve senin anahtarını kırabildim" bildirisi eşliğinde Matthew'ya gönderdi.
"İNANILMAZ! İŞE YARIYOR!"
Matthew iletisi aldığında akşamın saatleriydi. Gillespie'nin yönergelerini uygulayan Matthew, eski sunucuya erişip öğrencilerin fotoğraflarını ve öteki belgeleri kurtarmayı başardı.
Gillespie'ye, "İnanılmaz! İşe yarıyor" diye yanıt yazdı ve ekledi: "Sana ne kadar teşekkür etsem az. Nasıl yaptın bunu? Okuldaki öğretmenler ve öğrenciler sana öylesine minnettar olacaklar ki..."
Ancak Matthew'nun işi kendi evraklarını kurtarmakla bitmedi. Google'a bir şikâyet müracaatında bulundu ve fidye yazılımı saldırganlarının Gmail kullanmasına nasıl müsaade verildiğini sordu. (Yanıt alamadı.) Okul yetkilileri ise hudutlu bütçelerine rağmen siber güvenlik yatırımlarını artırmaları gerektiğini anladı. Matthew'un yönlendirmesiyle sunucudaki evrakların yedekleneceği bir aygıt satın alındı.
Matthew, korsanlara kaptırdığı 1000 euro'yu geri almak için de bir plan yaptı. Anahtara hala muhtaçlığı varmış üzere davranarak pazarlığı sürdürdü. Korsanlara, "Size yine güvenebilmenin tek yolu bitcoin'lerimi bana geri göndermeniz. Akabinde evraklarımı kurtarmak için size 3000 euro göndereceğim" diye ileti yolladı.
Ancak korsanların bunu kabul etmeye niyeti yoktu. "Üzgünüm" dedi e-postayı yazan kişi son iletisinde, "Bana bu teklifi 10 yıl boyunca sunsanız bile reddedeceğim".
Fidye yazılımı hücumları, insan kaçırmanın dijital çağ için güncellenmiş hali olarak tanım ediliyor. Oltalama e-postaları üzere teknikler kullanan korsanlar bilgisayarlara sızıyor. Bir kere girdikten sonra da fidye yazılımını aktive edip bilgisayarları rehin alıyor ve istedikleri kripto para ödenmedikçe geri adım atmıyorlar. Fidye yazılımının temel ögelerinden biri olan kriptografi, günümüzde internette güvenliğin bel kemiği haline gelmiş durumda. Lakin ne yazık ki devletlerin, bölümün ve akademinin geliştirdiği legal kriptografi yazılımları, siber hatalılar tarafından makus maksatlar için de kullanılıyor. Fidye yazılımı, şifrelemeyi silah haline getiriyor. Bu yazılımlar ortaya çıkmadan evvel, korsanların hücumlarını paraya çevirebilmeleri için büyük emek sarf etmeleri gerekiyordu. Çaldıkları kimlik ya da kredi kartı bilgilerini satmak için bir alıcı bulmak zorundaydılar. Bunun olup olamayacağı da şüpheliydi. Fidye yazılımları, kurbanların bilgisayarlarına olan bağımlılıklarını paraya çevirerek korsanlığı kârlı bir iş haline getirdi. Hata teoride de pratikte de çok kolay olduğundan, dark web üzerinden bir fidye yazılım paketi alan herkes şantaj yapabilir hale geldi. Mayıs 2021'de Colonial Boru Çizgisi'ne düzenlenen fidye yazılımı saldırısı sonucu, ABD'nin doğu yakasında çok önemli akaryakıt kasveti yaşanınca, Washington idaresi fidye yazılımının kıymet düzeyini terörle eşitledi. FBI ortalarında Fidye Yazılımı Av Timi'nin de bulunduğu özel araştırmacılarla iş birliğini artırdı. Lakin günümüzde saldırganlar da eskiye kıyasla daha mahir. Kriptografilerini geliştirip gayelerini daha kurnazca seçiyorlar. Her iki taraf da el yükseltirken atakların amacı olan iş yerleri, okullar, hastaneler ve devlet kurumlarının Fidye Yazılımı Av Timi'ne duyduğu gereksinim da günden güne artıyor.
The Guardian'da yayımlanan "Ransomware hunters: the self-taught tech geniuses fighting cybercrime" başlıklı haberden derlenmiştir.