btbilgi

Son dönemde tüm dünyaya yayılan ve daha önce Petya olarak bilinen saldırıya benzer Ana Önyükleme Kaydı(Master Boot Record) üzerinde değişiklik yapabilen yeni bir fidye yazılım türünün izleri ortaya çıktı. Araştırmacılar bu kötü amaçlı yazılımın Petya ailesine ait olduğunu tam olarak tespit edemedikleri için bu saldırının adına Petya veya NotPetya diyorlar. Yeni fidyesolucanı saldırısı; enerji, bankacılık ve taşımacılık sistemleri gibi kritik altyapılar da dâhil olmak üzere birçok sektör ve kurumda darbe etkisi yaratıyor.

Bu yeni nesil fidye yazılımı, hızlı davranarak yakın zamanda ShadowBrokers grubu tarafından açığa çıkarılan istismar araçlarından faydalanıyor. Yeni Fidye solucanının geçtiğimiz Mayıs ayında WannaCry saldırısıyla istismar edilen zafiyetlerin dahil olmak üzere bir dizi saldırı vektörünü hedef aldığı söyleniyor.

Hedef tek bilgisayar değil, tüm ekosistemi kilitlemek

WannaCry gibi bu saldırıda da fidye yazılım ile solucan özellikleri bir arada kullanıldığı için bu kötücül yazılım grubunu fidye solucanları olarak adlandırılıyor. Bu zararlı, şifrelemek için zafiyeti bulduğu tek bir bilgisayarı etkilemek yerine istismar edebildiği tüm cihazlara erişip geniş çapta yayılmayı hedefliyor.

Bu saldırı, görünüşe göre bir Excel dökümanının bilinen bir Microsoft Office zafiyetinin istismar edilmesiyle başlıyor. Bir cihaz bu vektörden zararlı tarafından etkilendiği zaman, Petya WannaCry saldırısının da yararlandığı zafiyetten faydalanarak diğer cihazlara yayılmaya başlıyor. Bu solucan benzeri davranış zararlının SMB sunucusu araştırması yapması ile gerçekleşiyor ve görünüşe göre Eternal Blue ve WMIC zafiyetlerinden faydalanıyor.

Korunmasız cihaz bir kez hedeflendiğinde, Petya çalışırken, Master Boot Record’a (Ana Önyükleme Kaydı) zarar veriyor. Daha sonrasındaysa kullanıcıyı “Dosyalarınıza artık ulaşılamaz çünkü şifrelendi.” mesajı karşılıyor ve 300 USD civarında Bitcoin (dijital para birimi olan sanalpara) talep ediyor. Ayrıca bilgisayarın kapatılması durumunda, işletim sisteminin zarar görmesinden ötürü bir daha açılmayacağı vurgulanıyor.

Bu davranışın diğer fidye yazılımlarında görülen ve paranın ödenmesi için belirli süre bekleyen taktiklerden farklı göründüğünün altını çizen Fortinet Türkiye Teknik Müdürü Melih Kırkgözüyor pek çok fidye yazılım saldırılarında potansiyel kayıpların yalnızca verilerle ilgili olduğunu ancak Petya’nın MBR’yi silmesinin, tüm sistemin kaybı anlamına geldiğinin üzerinde duruyor.

İlginç bir biçimde Petya, Microsoft Ofis istismar araçlarına ek olarak, WannaCry tarafından da kullanılan ve bu yılın başlarında Shadow Brokers tarafından ortaya çıkarılan Microsoft güvenlik açıklarından da faydalanıyor.

Ancak bununla beraber farklı zafiyetlerden de faydalandığından, bu saldırıyı engelleyebilmek için sadece zafiyet yamalarını yüklemek yeterli olmayabilir. Bu da yama yapmanın doğru güvenlik araçları ve stratejileri ile birleştirilmesi gerektiği anlamına geliyor.

Bu saldırının birkaç ilginç yönü var. İlki, Microsoft güvenlik açıklarının ve yamalarının kamuoyu nezdinde ortaya çıkmış olmasına ve WannaCry saldırısının dünya çapında etki yaratmasına rağmen görünen o ki halen kritik altyapı yönetimi yapan pek çok kurum da dâhil olmak üzere cihazlarını koruma altına alamayan binlerce organizasyon var. İkincisiyse bu saldırının tamamen, yeni ifşa edilen zayıflıkların hedeflendiği gelecekteki saldırılar için test olabileceği ihtimali ortaya çıktı.

ExPetr yüzde 50 sanayi şirketlerini hedefliyor

Kaspersky Lab uzmanlarının Petya’nın önceki sürümlerinden oldukça farklı olduğunu tespit ederek ExPetr adını verdiği yeni fidye yazılımının hedeflerinden en az yarısının çeşitli sanayi şirketleri olduğu söyleniyor. Saldırganların hedefleri arasında Türkiye nin de bulunduğu üzerinde durulan konular arasında. Kaspersky Lab uzmanlarının yaptığı en son analizlere göre, son günlerde gündemde olan fidyesolucanı ExPetr’in hedefleri en az %50 oranında sanayi şirketlerinden oluşuyor. Söz konusu şirketler arasında elektrik, petrol ve gaz, ulaştırma, lojistik ve çeşitli diğer şirketler bulunuyor.

Bir tür şifreleyici zararlı yazılım olan ExPetr, kurbanının bilgisayarına bulaştıktan sonra sabit diski şifreleyerek bilgisayarı kullanılmaz hale getiriyor ve ekranda kurbandan fidye talep eden bir mesaj gösteriyor.

Kaspersky Lab araştırmacılarının kısa bir süre önce keşfettiği üzere, ExPetr, fidye ödense bile dosyaları bir daha deşifre edilemeyecek şekilde tasarlanmış. Dolayısıyla bu zararlı yazılımla gerçekleştirilen başarılı bir saldırı, sanayi tesisleri ve kritik altyapılar için yıkıcı sonuçlar doğurabilir.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.