Kaspersky
araştırmacıları sodin adlı yeni bir şifreleyici fidye yazılımı keşfetti.
Yakın zaman önce keşfedilen bir Windows sıfır gün açığını
kullanarak bulaştığı sistemde üst düzey yetki elde eden Sodin, tespit
edilmekten kaçınmak için işlemcinin mimarisinden yararlanıyor. Bu özelliğe daha
önce fidye yazılımlarda pek rastlanmıyordu. Bazı durumlarda ise saldırganlar
zararlı yazılımı zayıf sunuculara yükleyerek kullanıcı etkileşimi olmadan da
bulaştırabiliyor.
Verileri veya cihazları şifreleyip ya da kilitleyip para
talep etmekte kullanılan fidye yazılımları siber suçlular tarafından
kullanılmaya devam ediyor. Bu yazılımlar tüm dünyada kullanıcıları ve her
ölçekten kurumları etkileyebiliyor. Çoğu güvenlik çözümü artık bilindik
sürümleri ve saldırı vektörlerini tespit edebiliyor. Ancak, Sodin gibi gelişmiş
sürümlerin tespit edilmesi vakit alabiliyor. Yakın zaman önce keşfedilen bir
Windows sıfır gün açığından yararlanan (CVE-2018-8453) Sodin, bulaştığı sistemde
üst düzey yetki ediniyor.
Zararlı yazılım Sodin, “hizmet olarak fidye yazılımı”
yönteminin bir parçası gibi görünüyor. Bu yöntemde siber suçlular
şifreleyicinin dağıtım şeklini kendileri seçebiliyor. Bu zararlı yazılımın bir
üye programıyla dağıtıldığına işaret eden ipuçları bulunuyor. Örneğin, zararlı yazılımı
geliştirenler üyelerin haberi olmadan dosyaların şifresini kaldırmayı sağlayan
bir “ana anahtar” hazırlıyor. Bu anahtar dağıtımcının anahtarına ihtiyaç
olmadan dosyaları açabiliyor. Normalde kurban parayı ödediğinde şifreleri
kaldırmak için dağıtımcı anahtarları kullanılıyor. Geliştiriciler bu şekilde
kurbanların verilerinin nasıl şifrelendiğini veya fidye yazılımın dağıtım
şeklini kontrol altına alıyor. Yazılımı kullanan bazı üyelerle ilişkilerini
kesmek istediklerinde ana anahtarı kullanarak şifrelemeyi kaldırabiliyorlar.
Fidye yazılımları genellikle kullanıcının, e-posta eki açmak
veya zararlı bir bağlantıya tıklamak gibi bir etkileşimiyle etkin hale geliyor.
Ancak Sodin’i kullanan saldırganlar buna ihtiyaç duymuyor. Zayıf bir sunucu
bulup “radm.exe” adlı zararlı dosyayı indirmek için bir komut göndermeleri
yeterli oluyor. Böylece fidye yazılımını yerel olarak kaydedip
çalıştırabiliyorlar.
Sodin fidye yazılımının hedeflerinin çoğu Asya bölgesinde
yer alıyor: Saldırıların %17,6’sı Tayvan’da, %9,8’i Hong Kong’da ve %8,8’i ise
Güney Kore’de tespit edildi. Ancak Avrupa, Kuzey Amerika ve Latin Amerika’da da
saldırılar gözlendi. Hedef alınan PC’lere bırakılan notta kurbanlardan 2500 ABD
doları değerinde Bitcoin talep ediliyor.
Sodin’in tespit edilmesini zorlaştıran şey ise “Cennet
Kapısı” tekniğini kullanması. Bu teknik sayesinde zararlı yazılım 32-bit
çalışma sürecinden 64-bit kod çalıştırabiliyor. Çok sık rastlanmayan bu yöntem
fidye yazılımlarda da pek görülmüyor.
Araştırmacılar Sodin’de Cennet Kapısı yönteminin
kullanılmasının ardında iki neden olduğunu düşünüyor:
Zararlı kodun analizini zorlaştırmak: Kod denetimcilerinin
tümü bu tekniği desteklemediği için zararlı yazılım tespit edilemiyor.
Kurulu güvenlik çözümleri tarafından tespit edilmekten
kaçınmak: Bu teknik benzetme tabanlı tespitten kaçınmakta kullanılıyor. Bu
yöntemde gerçek bir bilgisayara benzeyen sanal bir ortamda şüpheli davranan
kodlar belirleniyor. Daha önceden bilinmeyen tehditler bu kodları kullandığında
tespit ediliyor.
Kaspersky Güvenlik Araştırmacısı Fedor Sinitsyn, “Fidye
yazılımları popülerliğini korusa da her zaman böyle gelişmiş bir sürümle
karşılaşmıyoruz. Yakalanmamak için işlemci mimarisinden yararlanmak,
şifreleyicilerde sık gördüğümüz bir yöntem değil. Bu tür bir zararlı yazılımı
geliştirmek için gereken kaynaklar düşünüldüğünde, Sodin kullanılarak
gerçekleştirilen saldırıların artacağını tahmin ediyoruzBu yazılıma yatırım
yapan kişiler mutlaka karşılığını almak isteyecektir.” dedi.
Kaspersky güvenlik çözümleri bu fidye yazılımını
Trojan-Ransom.Win32.Sodin şeklinde tespit ediyor. Kaspersky, fidye yazılımın
yararlandığı CVE-2018-8453 kodlu açığı, FruityArmor siber suçlu grubu olduğu
düşünülen bir grup tarafından kullanılırken tespit etmişti. Açık 10 Ekim 2018’de
kapatıldı.
Sodin tehdidinin
kurbanı olmamak için kaspersky araştırmacıları şirketlere şunları tavsiye
ediyor:
Şirketinizde kullanılan yazılımların her zaman en güncel
sürümde olduğundan emin olun. Açık Değerlendirme ve Yama Yönetimi özelliklerine
sahip güvenlik çözümleri, bu işlemleri otomatik hale getirmenize yardımcı olur.
Açıklar da dahil olmak üzere bilinen ve bilinmeyen
tehditlere karşı etkili koruma için davranış tabanlı tespit özellikleriyle
donatılan, Kaspersky Endpoint Security for Business gibi sağlam bir güvenlik
çözümünü tercih edin.
Kaspersky Hakkında
Kaspersky, 1997 yılında kurulan dünya çapında bir siber
güvenlik şirketidir. Kaspersky’nin derin tehdit istihbaratı ve güvenlik
uzmanlığı, dünya genelindeki işletmeleri, önemli altyapıları, devletleri ve
tüketicileri korumak için güvenlik çözümlerini ve hizmetlerini sürekli olarak
dönüştürüyor. Şirketin kapsamlı güvenlik portföyü, sofistike ve gelişen dijital
tehditlerle savaşmak için önde gelen uç nokta korumasını ve bir dizi özel
güvenlik çözümünü ve hizmetini içeriyor. 400 milyondan fazla kullanıcı
Kaspersky teknolojileri tarafından korunuyor ve 270.000 kurumsal müşterinin
kendileri en önemli varlıklarını korumasına yardımcı oluyoruz. Daha fazla bilgi
için www.kaspersky.com.tr adresini ziyaret edin.
