Kanlı Pazartesi: Bir Fidye Yazılımı Hikâyesi
Pazartesi sabahı saat 08:47. Murat Bey ofise her zamankinden biraz erken gelmişti. Otuz çalışanı olan orta ölçekli bir mobilya firmasının sahibi; iki gün sonra İtalya'dan büyük bir sipariş için sunum yapacaktı. Bilgisayarını açtığında ekrana bakan herkesin tanıyacağı, ama o güne kadar hep "başkalarının başına gelen" bir şeyle karşılaştı: kırmızı bir uyarı, geri sayım sayacı ve Bitcoin cüzdan adresi.
Tüm dosyalar şifrelenmişti. Sözleşmeler, müşteri veritabanı, üretim çizimleri, muhasebe kayıtları, on yıllık fotoğraflar — hepsi .locked uzantılı ulaşılmaz şifreli kapsüllere dönüşmüştü. Ekrandaki mesaj sadece dört dilde yazılmıştı; Türkçe değildi.
09:15 — Panik dalgası
Murat Bey önce IT sorumlusunu aradı. Cevap aldığında ses titriyordu: "Hocam ben de görüyorum, sunucuda da var, herkesin bilgisayarında var, yedek de etkilenmiş galiba." Yedek diski sunucuya bağlı bırakmışlardı; çünkü "her gece otomatik yedek alıyor" diye düşünüyorlardı. Fidye yazılımı, ulaştığı her diski şifrelemişti — yedekler dahil.
Ekrandaki sayaç 72 saatten geri sayıyordu. İstenen miktar 4,000 dolar Bitcoin değerindeydi. Üç gün içinde ödeme yapılmazsa fiyat ikiye katlanacak, bir hafta sonra dosyalar "kalıcı olarak silinecekti."
İlk düşünce ödemekti. Ama bir an durup düşündüklerinde fark ettiler: ödeme yaptıklarında dosyaların gerçekten geri geleceğine dair hiçbir garanti yoktu. Çoğu durumda gelmiyordu zaten. Hatta bazı saldırganlar ödeyenlerin listesini "tekrar saldırıya açık müşteriler" diye satıyordu.
11:30 — Çağrı merkezi
Bir tanıdık aracılığıyla siber güvenlik uzmanı bir firmayı aradılar. İlk söylenen şey beklenmedikti: "Sakın ödemeyin. Önce her şeyi olduğu gibi bırakın, hiçbir şeye dokunmayın."
Uzman ekip iki saat sonra geldi. İlk yaptıkları şey ağ kablosunu çekmekti — ama tüm bilgisayarlardan değil, sadece henüz şifrelenmediği belli olanlardan. Bazı bilgisayarlar fidye yazılımını alamamıştı; çünkü hafta sonu kapatılmıştı. Bu kapalı kalan iki dizüstü, sonra ortaya çıkacak en değerli şeyler olacaktı.
Saldırganların en büyük müttefiki paniktir. İkincisi de düzensiz yedekleme.
14:00 — Adli iz sürme
Uzmanlar günlük kayıtlara baktıklarında saldırının nasıl başladığını buldular: üç gün önce bir muhasebe çalışanına gelmiş, "fatura" başlıklı bir e-posta. Eki açan personel, makro içeren bir Word belgesi tetiklemişti. Belge sessizce arka planda kötü amaçlı yazılım indirmiş, üç gün boyunca ağı haritalamış, yedekleri bulmuş, sonra Pazar gecesi tüm dosyaları aynı anda şifrelemişti.
Saldırı tek seferde olmamıştı; üç günlük bir keşif aşaması vardı. Bu sürede kötü yazılım ne kadar değerli veri olduğunu, hangi dizinlerin kritik olduğunu öğrenmişti. Hatta ofisin VPN şifrelerinden birini de almıştı; uzaktan erişim hesabıyla giriş yapıp yedek sistemini de devre dışı bırakmıştı.
İki gün sonra — Kısmi kurtarma
İki kapalı dizüstüden birinde, üç hafta öncesinin verisi vardı. Diğerinde son iki ayın bazı sözleşmeleri. Toplam veri kaybı ofisin %70'i civarındaydı. Müşteri veritabanı uçmuştu; on yıllık satış geçmişi yok olmuştu. İtalya sunumunun dosyaları da gitmişti.
Sunum ertelendi. Anlaşma kaybedildi. Müşteri veritabanını yeniden oluşturmak aylar aldı. Ama en kötüsü — aynı saldırının bir ay sonra tekrar olabileceği endişesi — şirketin huzurunu uzun süre çaldı.
Bu hikayeden çıkan dersler
Murat Bey'in şirketi varsayılana benzeyen sıradan bir KOBİ idi. Ne zayıf bir IT altyapısı vardı, ne ihmalkâr çalışanları. Tek bir şey eksikti: "bu bizim başımıza gelmez" varsayımı. Bu varsayım, önlem almayı erteleten en tehlikeli düşüncedir.
Yedeğin sunucuya bağlı olması — saldırganın işini kolaylaştırdı. Bağlı olmayan yedek (offline backup) almıyorsanız, yedeğiniz yok demektir. Çünkü saldırgan ulaşabildiği her şeyi şifreliyor.
Ek olarak, çalışanlardan birinin "fatura" e-postasını sorgulamadan açması — o tek tıklama her şeyin başlangıcı oldu. Çoğu kurumsal saldırı bir teknik açıktan değil, bir insan tıklamasından başlar.
- Yedeklerinizi izole tutun: Ağa sürekli bağlı yedek, yedek değildir. Haftalık çıkarılabilir disk veya bulutta sürüm geçmişli yedek kullanın.
- 3-2-1 kuralı: 3 kopya, 2 farklı medyada, 1 tanesi farklı lokasyonda.
- Çalışan eğitimi: Yılda en az bir kez phishing simülasyonu yapın. Kim tıkladı görün, eğitin — cezalandırmadan.
- Office makrolarını kapatın: Çoğu şirket Word/Excel makrolarını hiç kullanmaz. Grup politikasıyla devre dışı bırakın.
- Çok faktörlü kimlik doğrulama (MFA): Özellikle VPN, e-posta ve yönetici hesapları için zorunlu yapın.
- Olay müdahale planı: Saldırı olunca kimi arayacaksınız? Hangi sırayla ne yapacaksınız? Bunu yazılı olarak hazırlayın.
- Siber sigorta: Türkiye'de yaygınlaşıyor; küçük bir prim, kötü güne karşı önemli koruma.
Murat Bey'in hikayesi gerçek bir vakayı temsil ediyor; benzeri her hafta Türkiye'nin onlarca KOBİ'sinde tekrarlanıyor. Çoğu duyulmuyor — utanç, müşteri kaybı korkusu, hukuki risk yüzünden. Ama bunlar konuşulmadıkça aynı hatalar tekrar ediyor.
Saldırgan, o şirkete özel olarak nefret beslemiyor. Ağa girebileceği bir kapı arıyordu; sizinkini de açık bulursa size de uğrar. Soru "hedef olur muyum?" değil, "kapım gerçekten kapalı mı?"