Microsoft Fidye Yazılımlarının Noterini Çökertti – Veri Sızıntısı
Live
Sorgula
Kurumsal
Hakkımızda Kurucunun Notu Basın & Medya Gizlilik Politikası Kullanım Koşulları SSS Basın Kiti
Ürünler
HUBOne HUBCorp Yakında Veri Sızıntısı Android Yakında Veri Sızıntısı iOS Yakında Veri Sızıntısı Huawei Yakında Breach Radar Argus Flow Argus Engine LivePlatform
Teknolojiler
Argus AI Nedir? HUBOne'da Dene Argus Flow Nedir? Argus Engine Nedir?
Blog İletişim

Microsoft Fidye Yazılımlarının Noterini Çökertti

Microsoft, siber suçluların virüslerini "güvenli" gibi göstermek için kullandığı gizli bir dijital imzalama servisini kapattı. Bu operasyon, fidye yazılımı saldırılarının ardındaki altyapıya büyük bir darbe vurdu.

Microsoft logosunun üzerinde kırık bir mühür ve zincirler

Ne Oldu

Microsoft, siber güvenlik dünyasında sessiz ama derinden bir operasyona imza attı. Teknoloji devi, fidye yazılımı çetelerinin yıllardır kullandığı bir altyapıyı, bir nevi "dijital noterlik" hizmetini çökerttiğini duyurdu. Bu servis, bilgisayarınıza sızmaya çalışan zararlı yazılımlara sahte bir "güvenilir" damgası basıyordu. Yani, bilgisayarınızın güvenlik sistemlerini kandırmak için tasarlanmış bir sahtekarlık merkeziydi.

Düşünün ki evinize birisi geliyor ve kapıdaki güvenlik görevlisine resmi, mühürlü bir kimlik gösteriyor. Güvenlik görevlisi de kimliğin sahte olduğunu anlamayıp onu içeri alıyor. İşte "Cryp-Sign" adıyla anılan bu yasa dışı servis, siber suçluların virüsleri için tam olarak bunu yapıyordu. Virüslere, sanki Microsoft veya başka bir meşru yazılım şirketi tarafından üretilmiş gibi görünen dijital sertifikalar sağlıyordu. Bu sayede, en dikkatli kullanıcıların bile bilgisayarlarına sızabiliyorlardı.

Microsoft'un Tehdit İstihbaratı ekibi, bu servisi aylardır takip ediyordu. Yaptıkları açıklamaya göre, bu sadece basit bir web sitesini kapatma operasyonu değil. Servisin sunucularına el konuldu, kullandıkları dijital sertifikalar iptal edildi ve bu yapıyı işleten grupların kimliklerine dair önemli bilgilere ulaşıldı. Bu, fidye yazılımı ekosistemine atılmış ciddi bir çelme.

E-postanız sızdırıldı mı? Ücretsiz sorgulayın, saniyeler içinde öğrenin.

Hemen Sorgula →

Ele Geçirilen Veriler

Bu haberde klasik bir "şu kadar milyon kullanıcının verisi çalındı" durumu yok. Çünkü bu operasyon, veri çalan bir grubu değil, hırsızlara kilit ve maymuncuk satan dükkanı hedef aldı. Yani Cryp-Sign servisinin kendisi doğrudan sizin fotoğraflarınızı veya şifrelerinizi çalmıyordu. Ama bu servisin "damgaladığı" fidye yazılımları tam olarak bunu yapıyordu.

Fidye yazılımları, bilgisayarınıza girdiğinde iki temel kötülük yapar. Birincisi, tüm önemli dosyalarınızı (fotoğraflar, belgeler, videolar) çok güçlü bir şifreyle kilitler ve açmak için sizden para, genellikle de Bitcoin ister. İkincisi, ve belki de daha kötüsü, dosyalarınızı kilitlemeden önce bir kopyasını kendi sunucularına çeker. Eğer fidyeyi ödemezseniz, bu özel verilerinizi internette yayınlamakla tehdit ederler. Buna "çifte şantaj" deniyor.

Dolayısıyla, Cryp-Sign servisinin çökertilmesiyle doğrudan ele geçirilen bir kullanıcı verisi olmasa da, bu servisi kullanarak sayısız şirkete ve kişisel kullanıcıya sızan saldırganların çaldığı veriler devasa boyutlarda. Bunlar arasında şirketlerin finansal kayıtları, müşteri listeleri, kişisel sağlık bilgileri, aile fotoğrafları ve daha nice hassas bilgi bulunuyor. Bu tür saldırılarla ilgili güncel gelişmeleri takip etmek için Veri Sızıntısı Haberleri gibi kaynakları düzenli kontrol etmekte fayda var.

Saldırı Nasıl Gerçekleşti

Saldırının kendisi, yani Cryp-Sign'ın çalışma mantığı oldukça zekice ve bir o kadar da tehlikeliydi. Normalde bir yazılım geliştirdiğinizde, işletim sistemlerinin (Windows gibi) bu yazılıma güvenmesi için onu "kod imzalama sertifikası" denen bir şeyle imzalarsınız. Bu, yazılımın sizden geldiğini ve yolda kimsenin kurcalamadığını garantileyen dijital bir mühürdür.

Siber suçluların en büyük dertlerinden biri de budur. Yazdıkları virüsler imzasız olduğu için antivirüs programları ve işletim sistemleri tarafından hemen fark edilir. İşte Cryp-Sign burada devreye giriyordu. Bu servis, bir şekilde ele geçirilmiş veya sahte bilgilerle oluşturulmuş yüzlerce dijital sertifikaya sahipti. Fidye yazılımı çeteleri, hazırladıkları virüsü Cryp-Sign'a yüklüyor, servis de bu virüse geçerli gibi görünen bir dijital imza basıp geri veriyordu.

Artık virüsün üzerinde "güvenilir" damgası vardı. Bu imzalı virüs, genellikle bir e-postanın ekindeki sahte bir fatura, bir kargo takip dosyası veya sahte bir yazılım güncellemesi gibi yöntemlerle kurbanlara gönderiliyordu. Kullanıcı bu dosyaya tıkladığında, Windows'un veya antivirüs programının güvenlik ekranı ya hiç uyarı vermiyor ya da "Doğrulanmış Yayımcı" uyarısı göstererek kullanıcıyı yanıltıyordu. Kullanıcı "nasılsa güvenli" diye düşündüğü an, aslında tüm sistemini siber suçlulara teslim etmiş oluyordu. Microsoft'un operasyonu işte bu sahte noterlik ağını tamamen ortadan kaldırdı.

Etkilenenler Kim

Bu servisin müşterileri, yani ondan hizmet alanlar, siber suç dünyasının en tehlikeli gruplarından bazıları. Microsoft, özellikle LockBit, Conti (artık aktif olmasa da türevleri devam ediyor) ve BlackCat gibi büyük fidye yazılımı çetelerinin bu servisi aktif olarak kullandığını belirtti. Bu gruplar, dünya genelinde hastaneleri, okulları, devlet kurumlarını ve irili ufaklı binlerce şirketi hedef almalarıyla tanınıyor.

Dolayısıyla dolaylı yoldan etkilenenler, aslında hepimiziz. Bu grupların saldırıları yüzünden hastanelerde randevular iptal oldu, şirketler üretime ara vermek zorunda kaldı ve insanların kişisel bilgileri karanlık web'de satışa çıkarıldı. Cryp-Sign'ın ortadan kalkması, bu grupların yeni saldırılar düzenlemesini zorlaştıracak. Artık virüslerini meşru göstermek için yeni ve daha meşakkatli yollar bulmak zorundalar. Bu da onlara hem zaman hem de para kaybettirecek. Kısacası, bu operasyon sayesinde potansiyel olarak binlerce saldırı daha gerçekleşmeden engellenmiş olabilir.

Ne Yapabilirsin

"Tamam, Microsoft bir şeyleri çökertmiş ama bu benim için ne anlama geliyor?" diye sorabilirsiniz. Gayet haklı bir soru. İşte size özel, klişe olmayan bazı tavsiyeler:

  • Antivirüsünüzün "İtibar Kontrolü" Özelliğini Açın: Çoğu modern antivirüs yazılımı, sadece virüs imzalarını değil, aynı zamanda bir dosyanın veya sertifikanın ne kadar süredir var olduğunu, ne kadar yaygın kullanıldığını da kontrol eder. Cryp-Sign gibi servisler sürekli yeni ve şüpheli sertifikalar ürettiği için bu "itibar kontrolü" veya "reputation-based protection" özelliği sahte imzaları yakalayabilir. Ayarlarınızı kontrol edip bu özelliğin aktif olduğundan emin olun.
  • Windows SmartScreen'i Asla Kapatmayın: Windows'un içinde gelen SmartScreen özelliği, tam olarak bu tür sahte imzalı ama şüpheli görünen uygulamalara karşı bir savunma katmanıdır. Bazen can sıkıcı uyarılar verse de, bu operasyon onun ne kadar hayati olduğunu bir kez daha gösterdi. Onu mutlaka açık tutun.
  • "Doğrulanmış Yayımcı" Adına Dikkat Edin: Bir program yüklerken karşınıza çıkan güvenlik uyarısında "Doğrulanmış Yayımcı" (Verified Publisher) yazısını gördüğünüzde hemen güvenmeyin. Yayımcının ismine bakın. Örneğin, "Microsoft Corporation" yerine "Microsft Corp" veya anlamsız bir isim ("1_ClickSoftware LLC" gibi) görüyorsanız, bu büyük bir tehlike işaretidir. Şüpheye düştüğünüz an kurulumu iptal edin.
  • Geçmiş Sızıntıları Kontrol Edin: Bu tür saldırılar sürekli yaşanıyor ve belki de farkında olmadan bilgileriniz başka bir sızıntıda ele geçirilmiş olabilir. Bu bilgiler, size özel oltalama (phishing) e-postaları göndermek için kullanılabilir. Veri Sızıntısı Sorgulama araçlarını kullanarak e-posta adresinizin daha önceki sızıntılarda yer alıp almadığını kontrol etmek, proaktif bir savunma adımıdır.

Şirket Ne Diyor

Microsoft, operasyonla ilgili yayınladığı blog yazısında oldukça net bir tavır sergiledi. Microsoft Tehdit İstihbaratı Başkan Yardımcısı Clint Watts, "Bu operasyon, siber suçluların en çok güvendiği araçlardan birini ellerinden aldı. Onları artık daha görünür, daha gürültülü ve daha kolay tespit edilebilir olmaya zorluyoruz," dedi. Watts, bunun tek seferlik bir zafer olmadığını ve siber suç altyapılarına karşı mücadelelerinin aralıksız süreceğini de ekledi. Açıklamada, operasyonun ABD ve Avrupa'daki emniyet teşkilatlarıyla koordineli bir şekilde yürütüldüğünün de altı çizildi. Bu, gelecekte bu servisi işleten kişilere yönelik yasal işlemlerin de başlayabileceğinin bir işareti.

Kaynak

https://thehackernews.com/2026/05/microsoft-takes-down-malware-signing.html

Bu Yazıyı Paylaş
X LinkedIn WhatsApp
← Önceki Yazı Grafana GitHub İhlali Kaynak Kodunu Ortaya Çıkardı Sonraki Yazı → Veri Sızıntılarının Asıl Sebebi Teknoloji Değilmiş

Haftalık Bülten

Her hafta seçilmiş veri ihlali haberleri doğrudan gelen kutunuza gelsin.