Fidye DDoS saldırısı (RDDOS), siber saldırganların, DDOS saldırısıyla şantaj yaparak bir kurum veya kuruluştan zorla para almaya çalışması durumudur. Siber saldırganlar birçok firmaya DDOS saldırısı düzenlemektedir. Son yıllarda ise bu saldırıları sürekli hale getirip, saldırıyı durdurmak için fidye talep eden bir not bıraktıklarını görüyoruz.
Bu tarz saldırılar kurum ağının devre dışı kalmasına ve uzun süreler boyunca dış dünya ile iletişimin kesilmesine neden olmaktadır. Özellikle de kritik sektörlerde sistemlerin birkaç saniye dahi kesilmesi gibi bir durumda büyük maddi kayıplara yol açacağını unutmamalıyız. Fidye talebi ile sonuçlanan DDOS saldırılarına karşı en iyi korunma yöntemi bir DDOS azaltma / koruma hizmeti almaktır.
ISP’lerden bu hizmet alınabileceği gibi, Cloudflare gibi DDOS azaltma veya engelleme sistemlerinden de yararlanılabilir.
Fidye Talep Eden DDOS Saldırıları Nasıl Yapılır?
Çoğu fidye DDoS saldırısı, saldırganın bir işletmeyi veya kuruluşu tehdit ettiğini gösteren bir fidye notu ile başlamaktadır. Öncelikle bu not iletilir ardından da saldırının gücü gösterilerek kurumun boyun eğmesi amaçlanır.
Bazı durumlarda saldırgan, fidye notu göndermeden önce ciddiyetini göstermek için küçük bir gösteri saldırısı da gerçekleştirdiğini de görmekteyiz. Kısa süreli gerçekleşen bu DDOS saldırısından sonra fidye notu iletilerek gövde gösterisi yapılarak kuruluşun paniğe kapılması ve fidye ödemesi amaçlanır.
İlk aşamada siber saldırgan, hedefe saldırı trafiği göndermeye başlar. Saldırıyı gerçekleştirmek için genel olarak botnetleri kullanırlar. Diğer bir yandan saldırıların etkili olabilmesi için OSI modelinde üçüncü, dördüncü veya yedinci katmanları hedeflediklerini söyleyebiliriz.
İkinci aşamada ise saldırı trafiğine boğulan kurban sunucular yavaşlamaya veya tamamen çökmeye başlar. Bazı durumlarda sunuculardan önce ağ cihazlarının veya güvenlik cihazlarının çökmeye başladığını da görmekteyiz.
Üçüncü aşamada saldırgan hedef sistemin kaynaklarını tüketmeye devam eder ve saldırıyı durdurmadığı sürece hedeflenen kurumun iletişimi kesilmiş olacaktır. Elbette ki kurum tarafında birçok tedbir veya önlem alınmaya çalışılarak azaltma yöntemleri denenebilir. Hız sınırlama, IP engellemek, kara delik yönlendirmeleri veya üçüncü parti firmalardan hizmet almak bu noktada devreye girmektedir. Ancak saldırı başladıktan sonra durdurmak veya azaltmaya çalışmak zor bir süreçtir.
Son aşamada siber saldırgan ödeme talepleri iletmekte, yenilemekte veyahut şantajlarına devam ettiğini görmekteyiz.
DDOS Fidye Notu Nedir?
DDoS fidye notu, siber saldırganlar tarafından hedeflenen kuruma iletilen şantaj bilgileridir. Kurumdan para talep eden siber saldırganların mesajlarını içermektedir.
Genel olarak bu fidye notları ilk defe açılan ve tek kullanımlık e-posta adresleri üzerinden yapılır. Bazen saldırganlar fidye talepleri hakkında daha fazla ayrıntı gösteren birden fazla mesaj gönderebilirler. Hatta bu tarz saldırılara karşı savunmanın nasıl yapılabileceğini ileten mesajlar gönderdiklerine de şahit olunmaktadır.
Fidye DDOS Saldırılarının (RDDOS) Ayrıntıları
İletilen tehdit ve şantaj mesajları içerisinde siber saldırganların 24 saat / 48 saat gibi süreler içerisinde 3Tbps kapasiteyle siber saldırı yapabileceklerini iddia ettiklerini de görmekteyiz.
Ancak bu her zaman doğru değildir ve siber saldırgan bu kadar büyük bir DDOS saldırısı gerçekleştirebilecek kapasiteye veya maddiyata sahip olmayabilir.
Bazı durumlarda siber saldırganlar popüler hacker gruplarına üye olduklarını veyahut bu gruplar adına siber saldırıyı gerçekleştirdiklerini de söyleyebilirler. Bu iddiaların birçoğunun yalan olduğunu bu grupların adları kullanılarak korkutma amacı güdebileceklerini de unutmamalıyız. Ancak yukarıda da söylediğimiz bu gibi durumların küçük de olsa doğru olma ihtimali olduğunu hatırlatmak isteriz. Saldırganın bir taklitçi mi yoksa söylediklerinin gerçek mi olduğunu doğrulamak imkansızdır.
Ödeme Talebi ve Talimatlar
Fidye notunda genel olarak şantaj içeren mesajlar olduğu gibi, şantaj sırasında Bitcoin birimi kullanılarak para talep edilmektedir. Bu yaygın bir yöntemdir ve siber saldırganın izlerini ve kimliğini gizlemesini amaçlamaktadır.
Fidye notlarında en önemli noktalardan biri de fidye ödemeleri için konulan son tarihtir. Amaç aciliyet uyandırmak, paniğe kapıldığınız sürede parayı koparmak ve hızlıca hedefe ulaşmaktır. Bazı saldırganların son tarih geçtikten sonra dahi pazarlıklara devam ettiklerini veya kısa bir süre de olsa kabul ettiklerini görmekteyiz.
Fidye Ödemek veya Ödememek
Aslında siber suçlulara para ödemesi yapmak her zaman doğru bir çözüm değildir! Birçok kurum veya kuruluş hızlıca bu ödemeyi yaparak siber şantajı kabullenmekteler. Ancak bu durumun garantisi yoktur ve DDOS saldırısının devam etmesini tam anlamıyla durmayabilir.
Unutmayın! Siber saldırganların taleplerini yerine getirmek, bir sonraki saldırı için sizi tekrar ve tekrar hedef haline getirecektir. Siber saldırganların gözünde tekrar para talep edilmesi için kolay bir hedef olarak tanımlanır.
Ancak ve ancak inandırıcı bir tehdit, kısa süreli de olsa sistemlerin kesintiye uğratılması genel olarak kurumların boyun eğmesi ile sonuçlanır. Fidyeyi ödeyen kurumlardan tekrar tekrar para talep ettiklerini veya bir süre sonra yeniden hedeflediklerini de görmekteyiz.
Aslında tüm tehditler ciddiye alınarak değerlendirilmeli ve gerekli olan güvenlik tedbirleri alınmalıdır. Tüm fidye DDOS saldırıları gerçek olmasa da büyük oranda başarılı olmaktadır. Çok büyük DDOS saldırılarında kullanılacak kaynakların da büyük olacağını unutmamalıyız. Doğal olarak siber saldırganlar maliyetlerden kaçınmaya çalışacaktır.
Diğer bir yandan Deep / Dark Web adını verdiğimiz internetin karanlık mecralarında bu tarz saldırılarda kullanılmak üzere saatlik veya günlük olarak kiralanan botnet ağları olduğunu da görmekteyiz. Bu tarz saldırganların maliyetleri yükseltmemek adına hızlıca saldırı yapıp işlemleri hızlıca bitirmek istediklerini de göz önüne almalıyız.