DearCry: Exchange Açığından Yararlanan İlk Fidye Yazılımı Kurumları Tehdit Ediyor
Geçtiğimiz hafta Microsoft Exchange sunucularını etkileyen güvenlik açıklarıyla ilgili Sophos’un değerlendirmelerini sizinle paylaşmıştık. Aradan henüz iki hafta geçmeden, söz konusu açığı kullanarak bulaştığı tespit edilen DearCry fidye yazılımı kurumsal sistemleri tehdit etmeye başladı. Exchange sunucularının dünya genelindeki yaygınlığı göz önüne alındığında, bu durum gerekli önlemleri almayan kurumların çok büyük risklerle karşılaşabileceği anlamına geliyor.
Siber saldırganlar, geçtiğimiz haftalarda ortaya çıkan Exchange / ProxyLogon açıklarından zaman kaybetmeksizin yararlanmaya başladı. DearCry adlı fidye yazılımı, bu alanda karşılaştığımız ilk ciddi saldırıya karşılık geliyor.
DearCry, şifreleme davranışı açısından Sophos uzmanlarının ‘Kopya’ olarak adlandırdığı türe karşılık geliyor. Bu türdeki fidye yazılımları, saldırıya uğrayan dosyaların şifreli kopyalarını oluşturduktan sonra orijinal kopyaları siliyor. Bu davranış şifrelenmiş dosyaların depolama cihazlarındaki farklı mantıksal bölümlerde saklanmasına neden olduğundan; kurbanlara serbest bırakılan mantıksal bölümlerdeki silinmiş bazı verileri kurtarma şansı veriyor.
DearCry şifrelemesi, açık anahtarlı şifreleme tekniğini kullanıyor. Genel şifreleme anahtarı fidye yazılımı programına yerleştiriliyor, yani dosyaları şifrelemek için saldırganın komuta kontrol sunucusuna erişimine gerek kalmıyor. Bu durum yalnızca Exchange hizmetleri için internet erişimine izin verilecek şekilde ayarlanmış Exchange sunucuların da şifrelenmesine neden oluyor. Saldırganın elindeki şifre çözme anahtarı olmadan dosyaların şifresini çözmek mümkün değil.
DearCry, yeni duyurulan Exchange açıklarının kullanılmasıyla gerçekleştirilecek potansiyel saldırıların bir öncüsü niteliğinde. Sistem yöneticilerinin ve güvenlik uzmanlarının; Microsoft Exchange açıklarının kötüye kullanılmasını önlemek amacıyla Microsoft’un yayınladığı yamaları bir an önce yüklemek için adım atması hayati önem taşıyor. Bunun mümkün olmaması durumunda sunucunun internet bağlantısının kesilmesi veya tehdit müdahale ekipleri tarafından yakından izlenmesi tavsiye ediliyor.
Sophos Intercept X ve Sophos Intercept X with EDR, DearCry fidye yazılımını tespit ederek koruma sağlayabiliyor.