Güvenlik şirketi Kaspersky ve Izvestia haber servisine göre, Rusya’daki belediye başkanlarının ofisleri ve mahkemeleri, fidye yazılımı gibi görünen ancak aslında virüslü bir sistemdeki verileri kalıcı olarak yok eden bir silici olan daha önce hiç görülmemiş kötü amaçlı yazılımların saldırısı altında.
Kaspersky araştırmacıları, silinen dosyalara eklenen .cry uzantısına bir gönderme olarak siliciye CryWiper adını verdi. Kaspersky, ekibinin kötü amaçlı yazılımın Rusya’daki hedeflere “noktalı saldırılar” başlattığını gördüğünü söyledi. Bu arada İzvestia, hedeflerin Rus belediye başkanlarının ofisleri ve mahkemeler olduğunu bildirdi. Kaç kuruluşun saldırıya uğradığı ve kötü amaçlı yazılımın verileri başarıyla silip silmediği gibi ek ayrıntılar hemen bilinmiyordu.
Silici kötü amaçlı yazılım, son on yılda giderek yaygınlaştı. 2012’de Shamoon olarak bilinen bir silici, Suudi Arabistan’ın Saudi Aramco ve Katar’ın RasGas’ını kasıp kavurdu. Dört yıl sonra, Shamoon’un yeni bir çeşidi geri döndü ve Suudi Arabistan’da çok sayıda kuruluşu vurdu. 2017’de NotPetya adlı kendi kendini kopyalayan kötü amaçlı yazılım, birkaç saat içinde tüm dünyaya yayıldı ve tahmini 10 milyar dolarlık hasara neden oldu. Geçen yıl, yeni silecekler telaşı ortaya çıktı. DoubleZero, IsaacWiper, HermeticWiper, CaddyWiper, WhisperGate, AcidRain, Industroyer2 ve RuRansom’u içerir.
Kaspersky, son birkaç ay içinde CryWiper’ın saldırı girişimlerini keşfettiğini söyledi. Izvestia’ya göre kötü amaçlı yazılım, bir hedefi bulaştırdıktan sonra, 0,5 bitcoin talep eden ve ödemenin yapılabileceği bir cüzdan adresi içeren bir not bıraktı.
Kaspersky
Kaspersky’nin raporu, “Bir kötü amaçlı yazılım örneğini inceledikten sonra, bu Truva atının fidye yazılımı kılığına girmesine ve verilerin ‘şifresini çözmek’ için kurbandan zorla para almasına rağmen, aslında şifrelemediğini, etkilenen sistemdeki verileri kasıtlı olarak yok ettiğini öğrendik.” belirtilmiş. “Üstelik, Trojan’ın program kodunun analizi, bunun bir geliştiricinin hatası olmadığını, asıl amacının bu olduğunu gösterdi.”
CryWiper, Ukrayna’daki kuruluşları hedef alan IsaacWiper’a bazı benzerlikler taşıyor. Her iki silici de, içindeki verilerin üzerine yazarak hedeflenen dosyaları bozmaya devam eden sözde rasgele sayılar oluşturmak için aynı algoritmayı kullanır. Algoritmanın adı Mersenne Vortex PRNG’dir. Algoritma nadiren kullanılır, bu nedenle ortaklık öne çıktı.
Kaspersky
CryWiper, Trojan-Ransom.Win32.Xorist ve Trojan-Ransom.MSIL.Agent olarak bilinen fidye yazılımı aileleriyle ayrı bir ortak noktaya sahiptir. Spesifik olarak, üçünün de fidye notundaki e-posta adresi aynıdır.
Kaspersky’nin analiz ettiği CryWiper örneği, Windows için 64 bit yürütülebilir bir dosyadır. C++ ile yazılmış ve MinGW-w64 araç seti ve GCC derleyicisi kullanılarak derlenmiştir. C++ ile yazılmış kötü amaçlı yazılımların Microsoft’un Visual Studio’yu kullanması daha yaygın olduğundan, bu alışılmadık bir seçimdir. Bu seçimin olası bir nedeni, geliştiricilere kodlarını Linux’a taşıma seçeneği sunmasıdır. CryWiper’ın Windows programlama arabirimlerine yaptığı belirli çağrıların sayısı göz önüne alındığında, bu neden pek olası görünmüyor. Bunun daha olası nedeni, kodu yazan geliştiricinin Windows olmayan bir cihaz kullanıyor olmasıdır.
Başarılı silici saldırıları genellikle zayıf ağ güvenliğinden yararlanır. Kaspersky, ağ mühendislerine şunları kullanarak önlem almalarını tavsiye etti:
- Uç nokta koruması için davranışsal dosya analizi güvenlik çözümleri.
- Bir izinsiz girişin zamanında algılanmasına ve yanıt vermek için harekete geçilmesine olanak tanıyan, yönetilen algılama ve müdahale ve güvenlik operasyon merkezi.
- Posta eklerinin dinamik analizi ve kötü amaçlı dosyaların ve URL’lerin engellenmesi. Bu, en yaygın vektörlerden biri olan e-posta saldırılarını daha zor hale getirecektir.
- Düzenli sızma testleri ve RedTeam projeleri yürütmek. Bu, kuruluşun altyapısındaki güvenlik açıklarını belirlemeye, bunları korumaya ve böylece davetsiz misafirler için saldırı yüzeyini önemli ölçüde azaltmaya yardımcı olacaktır.
- Tehdit verileri izleme. Kötü niyetli faaliyetleri zamanında tespit etmek ve engellemek için davetsiz misafirlerin taktikleri, araçları ve altyapısı hakkında güncel bilgilere sahip olmak gerekir.
Rusya’nın Ukrayna’yı işgali ve dünya çapında devam eden diğer jeopolitik çatışmalar göz önüne alındığında, kötü amaçlı yazılım silicilerin hızının önümüzdeki aylarda yavaşlaması beklenmiyor.
Cuma günkü Kaspersky raporu, “Birçok durumda, silici ve fidye yazılımı olaylarına yetersiz ağ güvenliği neden olur ve dikkat edilmesi gereken korumanın güçlendirilmesidir.” “Silecek kullananlar da dahil olmak üzere siber saldırıların sayısının, büyük ölçüde dünyadaki istikrarsız durum nedeniyle artacağını varsayıyoruz.”
