Dünyayı Sarsan WannaCry Saldırısı Hakkında Tüm Bilgiler
Kaspersky Lab’ın WannaCry saldırısı hakkındaki önemli bir açıklama yaptı.
12 Mayıs’ta dünya çapında birçok kuruluşu etkileyen büyük çapta bir fidye yazılımı saldırısı gerçekleştirilmiştir. Kaspersky Lab araştırmacıları, analiz ettikleri veriler sonucunda şirketin koruma alt sistemlerinin, en çok Rusya’da olmak üzere 74 ülkede en az 45.000 fidye yazılımı bulaştırma teşebbüsü saptadığını doğrulamıştır.
Söz konusu fidye yazılımı, kurbanlarına Microsoft Windows’ta bulunan ve Microsoft Güvenlik Bülteni MS MS17-010 kapsamında tanımlanıp kapatılmış olan bir güvenlik açığından faydalanarak bulaşmaktadır. Kullanılan “Eternal Blue” adlı exploit*, 14 Nisan’da Shadowbrokers veri dökümünde ortaya çıkarılmıştır.
Saldırganlar sisteme girdikten sonra bir kök kullanıcı takımı (rootkit) kurarak, verileri şifreleyecek olan yazılımı indirmektedir. Zararlı yazılım dosyaları şifreledikten sonra 600 ABD Doları değerinde Bitcoin ödemesi talebi, miktarın yatırılacağı sanal cüzdan bilgileriyle birlikte ekranda gösterilmektedir. Talep edilen fidye miktarı zaman geçtikçe artacak şekilde ayarlanmıştır.
Kaspersky Lab uzmanları, mümkün olan en kısa sürede bir şifre çözme aracı geliştirmek adına, saldırı esnasında şifrelenerek kilitlenen verileri deşifre etmenin mümkün olup olmadığını tespit etme çalışmalarına devam etmektedir.
Kaspersky Lab güvenlik çözümleri, söz konusu saldırıda kullanılan zararlı yazılımı aşağıdaki isimlerle saptamaktadır:
- Trojan-Ransom.Win32.Scatter.uf
- Trojan-Ransom.Win32.Scatter.tr
- Trojan-Ransom.Win32.Fury.fr
- Trojan-Ransom.Win32.Gen.djd
- Trojan-Ransom.Win32.Wanna.b
- Trojan-Ransom.Win32.Wanna.c
- Trojan-Ransom.Win32.Wanna.d
- Trojan-Ransom.Win32.Wanna.f
- Trojan-Ransom.Win32.Zapchast.i
- Trojan.Win64.EquationDrug.gen
- Trojan.Win32.Generic (Sistem İzleyici bileşeni etkin olmalıdır)
Kaspersky Lab, zararlı yazılımın bulaşma riskini azaltmak için aşağıdaki önemlerin alınmasını önermektedir:
- Saldırıda kullanılan güvenlik açığını kapatmak üzere Microsoft’un sunduğu resmi yamayı yükleyin
- Tüm ağ düğümlerinde güvenlik çözümlerinin aktif olduğundan emin olun
- Kaspersky Lab’ın çözümü kullanılıyorsa, davranışsal proaktif bir tespit bileşeni olan Sistem İzleyici modülünü içerdiğinden ve çalışır halde olduğundan emin olun
- Söz konusu zararlı yazılımı en kısa sürede tespit etmek için Kaspersky Lab çözümünde bulunan Kritik Alan Taraması’nı çalıştırın (aksi halde 24 saat içerisinde otomatik olarak tespit edilecektir)
- MEM: Trojan.Win64.EquationDrug.gen’i saptadıktan sonra sistemi yeniden başlatın
- Müşteriye Özel Tehdit İstihbaratı Raporlaması hizmetlerini kullanın
Wannacry saldırı metodu ve ilgili Tehdit Göstergeleri hakkında detaylı bilgilere Securelist’teki blog yazısından ulaşabilirsiniz.
WannaCry Amerikan İstihbaratı Tarafından mı Geliştirildi?
BBC‘te yer alan habere göre ABD’nin istihbarat kuruluşlarından Ulusal Güvenlik Ajansı’nın (NSA) geliştirdiği araçlarla üretildiği düşünülen ve en bilinen adı ‘WannaCry’ olan fidye yazılımı, aralarında Türkiye’nin de bulunduğu 99 ülkede, binlerce bilgisayarı etkiledi.
Fidye yazılımı, şifreleyici ve kilitleyici olmak üzere iki farklı türü bulunan zararlı bir program. Şifreleyici türü, bulaştığı bilgisayardaki her türlü veriyi şifreliyor ve kullanıcının bunları açmasını engelliyor.
Kilitleyici tür ise bilgisayarın kilitlenmesine ve sadece dosyaların değil, tüm sistemin erişilemez hale gelmesine neden oluyor.
Saldırıyı düzenleyenler genellikle dosyaları ve sistemi erişime açacak olan özel anahtarı vermek için bilgisayarın sahibinden belli bir ücret talep ediyor.
BTK’dan UYARI
Bilgi Teknolojileri ve İletişim Kurumu Başkanı Ömer Fatih Sayan, Twitter hesabından paylaştığı mesajda “Ülkemizin siber Güvenlik Merkezi USOM ön alma operasyonlarına devam etmektedir. Dünyada yayılan Wcry zararlısından korunmak için Windows sistemleri ve antivirüsleri güncelleyin! Sisteminizi taratmayı ihmal etmeyin” dedi.
Yazılımdan etkilenen 99 ülke arasında Türkiye’nin yanı sıra, İngiltere, Çin, Rusya, İspanya ve İtalya da var.
Siber güvenlik şirketi Avast, ‘WannaCry’ ve benzeri yazılımlarla dünya genelinde 75 bin siber saldırı olayı yaşandığını söyledi. Yazılım WanaCpt0r veya WCry olarak da biliniyor.
Korustek, “En çok etkilenen yerlerin başında Rusya, Ukrayna ve Tayvan geliyor. Bu iş çok büyük” dedi.