Fidye yazılımı saldırısı “çağımızın belası” olarak adlandırılabilir. Kurbanın bilgisayarındaki dosyaları şifreleyen ve ardından saldırganlar tarafından dosyaların yeniden kullanılabilmesi için para istenen fidye yazılımı saldırısı, farklı içerikler ile hedeflerine ulaşmaya devam ediyor.
Bu defa, “Kritik Windows Güncellemesi” başlığı ile gelen e-postaların, kurbanın bilgisayarında Cyborg fidye yazılımı saldırısına yol açan bir spam kampanyası olduğu açıklandı.
E-posta ile dağıtılan tehdit Trustwave araştırmacıları tarafından ortaya çıkartıldı ve birkaç yönden “yenilikçi” bir fidye yazılımı saldırısı olduğu belirtildi.
Yenilikçi olarak tanımlanan yönlerinden bir tanesi dosyanın .jpg formatında olması ancak bir .exe dosyasını çalıştırması. Diğeri ise iki cümlelik bir e-posta başlığı içermesi: “En son Windows Güncellemesini Şimdi Yükleyin! Kritik Windows Güncellemesi” ancak e-posta içeriğinde tek bir cümle yer alıyor.
Genellikle oltalama e-postalarında kurbanların linke tıklamasını sağlayabilmek adına uzun ve sosyal mühendislik içeren mesajların bulunduğu göz önüne alındığında, diğer spam kampanyalarından farklı olduğuna dikkat çekiliyor.
Ancak araştırmadaki en kritik bulgu Cyborg fidye yazılımının çalıştırılabilir dosyasının Github platformunda tutuluyor olduğunun fark edilmesi.
Cyborg fidye yazılımının çeşitli kuruluşlar ve devlet kurumlarına saldırmak için geniş çapta kullanıldığı ve bu yazılım ile yazılımı üreten kişi(ler)in Github’da bulunmasının kritik bir sorun olduğuna dikkat çekildi.
Github üzerinden bu dosyaya erişebilecek herhangi birinin fidye yazılımının istediği gibi farklı bir çeşidini ortaya çıkartabileceği belirtildi.
Sahte Windows güncelleme e-postası, zararlı yazılım dağıtan e-postaların belirgin özelliklerini taşıyor.
Konu satırının şüpheli olmasının yanı sıra “çalıştırılabilir bir ek dosyasının .jpg formatında gelmesi”nin hemen dikkatlerini çektiğini söyleyen araştırmacılar, yürütülebilir bir dosyanın uzantısını gizlemenin e-posta ağ geçitlerinden kaçınmak için sık karşılaşılan bir yöntem olduğunu da belirtmiş.
Yine de, konuya sizin kadar hakim olmayan veya bu haberler ile karşılaşmayan bir kullanıcı için bu e-postaların yanıltıcı olabileceğini de hesaba katmak lazım.
Github konu hakkında uyarılmış ve Cyborg Fidye Yazılımı ile bu yazılımın üreticisinin platformda bulunduğu konusunda bilgi verilmiş ancak bu bilgilendirme hala “inceleniyor” aşamasında ve fidye yazılımı dağıtan hesap aktif olduğu için yayılması muhtemel varyasyonlarına da potansiyel bir tehdit oluşturuyor.
Fidye yazılımı içeren dosyanın farklı kaynaklar tarafından VirüsTotal’a gönderilerek incelenmesi de yayılıyor olduğunun bir kanıtı olarak görülüyor.
Araştırmacılar önümüzdeki günlerde Cyborg fidye yazılımının farklı temalar ve e-posta ağ geçitlerini atlatmak için kullanılacak farklı uzantılar ile karşımıza çıkabileceği konusunda da uyarıyor.
Fidye yazılımları giderek büyüyen bir tehdit ve siber saldırganlar sürekli yeni yöntemler geliştiriyor. 2020 yılında özellikle hedefli saldırılar için iyi planlanmış, daha karmaşık yöntemler kullanılan fidye yazılım saldırıları ile karşılaşmamız bekleniyor.
Geçtiğimiz hafta yaşanan popüler bir hosting firması SmarterASP.NET’in bir fidye yazılımı saldırısı yaşaması ve bu firmadan hosting alan müşterilerin etkilenmesi de bu tahminler için iyi bir gösterge olabilir.
Fidye yazılımlar ile ilgili önemli olabilecek birkaç hatırlatma!
“Global Fidye Yazılım Araştırması 2018” verilerine göre;
- Yaklaşık 10 kuruluştan 6 tanesi 2018 yılı içerisinde en az 1 fidye yazılımı saldırısı yaşamış.
- Fidye yazılımı saldırısı yaşayan katılımcıların %69’u, saldırganın kuruluş ağına e-posta veya sosyal medya aracılığı ile yapılan oltalama saldırısı ile sızdığını belirtmiş.
- Fidye yazılımı saldırısı yaşayan katılımcıların her 5 tanesinden 2 tanesi güvenlik ihlali yaşanan bir web sayfasına tıklanarak indirilen bir dosya (44%) ve/veya bir botnetin parçası olan bir bilgisayardan bulaşan bir enfeksiyon ile sistemlerine erişim sağlandığını belirlemiş.
- Araştırma katılımcılarının %51’i yaşanan fidye yazılımı saldırısının başarılı olmasının nedeninin çalışanlardan birinin umursamazlığı ve/veya bir antivirüs bulunmasına rağmen bu saldırıyı engellememesi olduğunu (%45) düşünüyor.
- 2018 yılında fidye yazılımı saldırısı yaşayan kuruluşlara bu saldırıların ortalama maliyeti yaklaşık 4 milyon TL olarak belirtilmiş.
- Kuruluşların %19’u fidye isteyen saldırgana her defasında ödeme yapmak durumunda kaldıklarını belirtmiş.
- Fidye yazılımdan kurtulmak için saldırgana istediği fidyeyi ödeyen kuruluşların %58’i saldırganın tekrar para istediğini, %42’si ise saldırgan ödemeyi aldıktan sonra verilere erişim sağlamadığını belirtmiş.
Fidye yazılım saldırılarına karşı teknik açıdan %100 etkili bir çözüm yok. Yedekleme yapıları birçok olayda yetersiz kalıyor.
Kullanıcı farkındalığının arttırılması fidye yazılımı olaylarının yaşanmasını önemli ölçüde azaltabilir. Fidye yazılımının arkasındaki kişilerin parayı aldıktan sonra verileri ulaşılabilir hale getirebileceğinin veya ödeme yapıldıktan sonra tekrar tekrar ödeme istemeyeceğinin garantisi olmadığını görüyoruz. Ağ ve sistem odaklı siber güvenlik mimarisinden, veri odaklı bir güvenlik yapısına acilen geçilmesi gerekiyor.
