Fortinet: Yeni Fidye solucanı, WannaCry saldırısının izinden gidiyor

Son dönemde tüm dünyaya yayılan ve daha önce Petya olarak bilinen saldırıya benzer şekilde Master Boot Record (Ana Önyükleme Kaydı) üzerinde değişiklik yapabilen yeni bir fidye solucanı yazılımı türünün izleri sürülüyor.

Araştırmacılar bu kötü amaçlı yazılımın Petya ailesine ait olduğunu tam olarak tespit edemedikleri için bu saldırının adına Petya veya NotPetya diyorlar. Saldırı; enerji, bankacılık ve taşımacılık sistemleri gibi kritik altyapılar da dâhil olmak üzere birçok sektör ve kurum üzerinde darbe etkisi yaratıyor. Bu yeni nesil fidye solucanı yazılımı, hızlı davranarak yakın zamanda ShadowBrokers grubu tarafından açığa çıkarılan istismar araçlarından faydalanıyor.

Bu seferki kötü amaçlı yazılım, geçtiğimiz mayıs ayında WannaCry saldırısıyla istismar edilen zafiyetlerin dahil olmak üzere bir dizi saldırı vektörünü hedef alıyor.

WannaCry gibi bu saldırıda da fidye yazılım ile solucan özellikleri bir arada kullanıldığı için bu kötücül yazılım grubunu fidye solucanları diye adlandırıyoruz. Bu zararlı, şifrelemek için zafiyeti bulduğu tek bir bilgisayarı etkilemek yerine istismar edebildiği tüm cihazlara erişip geniş çapta yayılmayı hedefliyor.

kimlik doğrulama

Bu saldırı, görünüşe göre bir Excel dökümanının bilinen bir Microsoft Office zafiyetinin istismar edilmesiyle başlıyor. Bir cihaz bu vektörden zararlı tarafından etkilendiği zaman, Petya WannaCry saldırısının da yararlandığı zafiyetten faydalanarak diğer cihazlara yayılmaya başlıyor. Bu solucan benzeri davranış zararlının SMB sunucusu araştırması yapması ile gerçekleşiyor ve görünüşe göre Eternal Blue ve WMIC zafiyetlerinden faydalanıyor.

Korunmasız cihaz bir kez hedeflendiğinde, Petya çalışırken, Master Boot Record’a (Ana Önyükleme Kaydı) zarar veriyor. Daha sonrasındaysa kullanıcıyı “Dosyalarınıza artık ulaşılamaz çünkü şifrelendi.” mesajı karşılıyor ve $300 civarında Bitcoin (dijital para birimi olan sanalpara) talep ediyor. Ayrıca bilgisayarın kapatılması durumunda, işletim sisteminin zarar görmesinden ötürü bir daha açılmayacağı vurgulanıyor.

Bu davranış diğer fidye yazılımlarında görülen ve paranın ödenmesi için belirli süre bekleyen taktiklerden farklı görünüyor.  Pek çok fidye yazılım saldırılarında potansiyel kayıp yalnızca veriler ilgili oluyor. Ancak Petya’nın MBR’yi silmesi, tüm sistemin kaybı anlamına geliyor.

İlginç bir biçimde Petya, Microsoft Ofis istismar araçlarına ek olarak, WannaCry tarafından da kullanılan ve bu yılın başlarında Shadow Brokers tarafından ortaya çıkarılan Microsoft güvenlik açıklarından da faydalanıyor.

Ancak bununla beraber farklı zafiyetlerden de faydalandığından, bu saldırıyı engelleyebilmek için sadece zafiyet yamalarını yüklemek yeterli olmayabilir. Bu da yama yapmanın doğru güvenlik araçları ve stratejileri ile birleştirilmesi gerektiği anlamına geliyor. Fortinet müşterileri, örnek olarak ATP (FortiSandbox) ve NGFW (FortiGate IPS/Anti-Malware) çözümlerimizle birlikte bu saldırıları tespit edip, engelleyebilmektedir. Ayrıca, AV takımımız ilgili virüs imzalarını birkaç saat içerisinde yayınlayarak savunmanın ilk hattındaki korumayı daha da güçlendirmiştir.

Bu saldırının birkaç ilginç yönü var. İlki, Microsoft güvenlik açıklarının ve yamalarının kamuoyu nezdinde ortaya çıkmış olmasına ve WannaCry saldırısının dünya çapında etki yaratmasına rağmen görünen o ki halen kritik altyapı yönetimi yapan pek çok kurum da dâhil olmak üzere cihazlarını koruma altına alamayan binlerce organizasyon var. İkincisiyse bu saldırının tamamen, yeni ifşa edilen zayıflıkların hedeflendiği gelecekteki saldırılar için test olabileceği ihtimali ortaya çıktı.

sosyal mühendislik saldırıları

Finansal açıdan bakıldığında, WannaCry saldırısı geliştiricileri tarafından çok az hasılat sağlamasından ötürü pek başarılı değildi. Bunun nedeni araştırmacıların saldırıyı kısmen etkisiz hale getiren bir acil durum anahtarı bulabilmiş olmalarıydı. Saldırı yapısı çok daha karmaşık olan Petya’nın ise finansal anlamda ne kadar başarılı olacağı gelecek günlerde ortaya çıkacak.

Şimdiye dek bu yeni saldırıyla ilgili iki şey çok net:

1) Pek çok kurum, güvenlikle ilgili temkinli davranmıyor. Aylar veya yıllarca zamandır bilinen ve yamaları yayınlanmış olan bir zayıflık, saldırı vektörü olarak kullanıldığında etkilenen kurumlar sadece kendilerini suçlamalıdırlar.   Çünkü bu saldırının temel unsurları, açıkları belli bir zamandan bu yana ortada olan zayıflıkları hedef olarak seçmesiydi.

2) Ayrıca bu kurumların, bu türden istismarları tespit edebilecek yeterli çözümlere sahip olmaması da yine bu saldırıların başarılı olması açısından önemli bir konu.

Fidye yazılımların devamı gelecek

Geçtiğimiz yıl sürpriz bir biçimde çeşitlilik sergileyen fidye yazılımları çarpıcı bir yükseliş sergiliyor. Bugün birçok farklı türde fidye yazılım görüyor ve izini sürüyoruz. Genelde fidye yazılımlar belli bir hedefe yöneliktir. Yani kurban önceden seçilir ve saldırı özel olarak o kurumu ve ağlarını hedef almak üzere tasarlanır. Saldırı, veri gibi kritik kaynakların şifrelenip bu şifreyi açacak olan anahtarı sunmak için fidye talep edilmesi şeklinde gerçekleşiyor.

Ayrıca hizmet kesintisi yaratan fidye yazılımlarının da arttığını görüyoruz. Öncelikle kurumun kritik hizmetlerine yönelik yoğun bir DdoS saldırısı başlatılıyor ve hizmetler kesintiye uğratılıyor, daha sonra ise hizmetlerin tekrar erişilebilir hale gelmesi için fidye talep ediliyor.

Geçtiğimiz Ağustos ve Eylül’de ortaya çıkan Mirai, IoT cihazlarında bulunan zafiyetlerden faydalanarak tarihteki en büyük DdoS saldırısına imza atmıştı. Son zamanlarda ise Hajime isimli, IoT yetenekli DVR cihazlarındaki zafiyetlerden faydalanan ve hizmet kesintisi saldırıları gerçekleştiren ve saldırıyı durdurmak için fidye talep eden zararlı görülmekte.

Hajime yeni nesil ve 5 farklı platformu destekleyen bir IoT istismar aracı. Otomatik görevler atanabilen, içerisinde dinamik şifre listeleri bulunan ve güncellenebilen bir yapıya sahip. Ayrıca kullanıcı hareketlerini taklit ederek engelleme sistemleri tarafından tespit edilmesi zor bir hale gelebiliyor.

sosyal mühendislik saldırıları

Fidye yazılımlarının gelişiminde önemli bir dönüm noktası ise RaaS olarak bilinen ve fidye yazılımlarının hizmet olarak sunulması anlamına gelen çeşitlilik oldu. Bu sayede teknik bilgisi az olan suç örgütlerinin sayısı artmış ve yazılımı yayma konusunda daha az marifetli olan geliştiricilerin ise geliri artmış oldu. Bu yapıyı kullanan ve MacOS kullanıcılarını hedef alan ilk RaaS fidye yazılımını yakın zamanda gördük, gerek mühendisler gerekse kurumların üst seviye yöneticileri tarafından sıklıkla tercih edilen MacOS sistemlerin bu tür saldırılara daha çok maruz kalacağını söyleyebiliriz.

Şu an iki istismar aracının fidye yazılım ailelerine eklendiğini görüyoruz. WannaCry ile birlikte ilk defa fidye yazılım geliştiricilerinin yayılmayı hızlandırmak ve etkiyi genişletmek amacıyla solucan özelliklerini fidye yazılım ile birleştirdiğini görüyoruz. Ve şimdi, Petya’nın MBR’yi hedefleyerek fidyenin, verilerin yedekli olmasından ötürü ödenmemesi durumunda bile sistemi kullanılmaz hale getirdiğine şahit oluyoruz.

Bu Tehdite Yönelik Fortinet Korumaları

Yeni Nesil Firewall (FortiGate)

AV İmzası:

W32/Petya.EOB!tr

W32/Agent.YXH!tr

IPS İmzası:

MS.Office.RTF.File.OLE.autolink.Code.Execution

İlk Oluşum TarihiApr 13, 2017
Son GüncellemeJun 19, 2017

MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution

İlk Oluşum TarihiMar 14, 2017
Son GüncellemeJun 05, 2017

TOR İletişimi:

TOR trafiğini dış yönde uygulama kuralları ile engelleyebilirsiniz.

APT Bileşeni (FortiSandbox)

Sandbox Tespiti:

Fortinet Sandbox (FSA) bu atağı tespit edebiliyor.

Petya için Kritik Microsoft Güncellemeleri

Security Update for Microsoft Windows SMB Server: March 14, 2017

Security update for Office 2016: April 11, 2017

Kaspersky Lab’dan ExPetr hakkında açıklama