Sophos, Matrix adı verilen yeni fidye yazılımına dair detaylı bir rapor yayınladı. Uzak Masaüstü Bağlantısı (Remote Desktop Protocol) etkin olan sistemlerde firewall korumasını aşarak sistemlere sızabilen bu yeni tehdit, Sophos’un 2019 yılı tehdit raporunda işaret ettiği hedefli fidye saldırıları artacağı öngörüsüne bir kanıt niteliğinde.
Ağ ve uç nokta güvenliğinde dünyanın lider şirketi Sophos, Matrix adı verilen bir fidye yazılımı ailesine dair yeni bulguları paylaştı. BitPaymer, Dharma ve SamSam hedefli fidye yazılımlarında olduğu gibi, Matrix’i kullanan siber saldırganlar hedef aldıkları kurumların sistemlerine sızmak için Windows işletim sistemlerinde yer alan Uzak Masaüstü Bağlantısı (Remote Desktop Protocol – RDP) özelliğini suistimal ediyor. Ancak Matrix, diğer fidye yazılımı ailelerinden farklı olarak bulaştığı ağ üzerinde hızla yayılmak yerine sadece seçilen tek bir makineyi hedef alıyor. 2016’dan beri aktif olan Matrix’in şimdiye kadar Sophos tarafından tespit edilmiş 96 farklı örneği bulunuyor.
SophosLabs, yayınladığı araştırma raporunda Matrix’in yapısını ortaya koyarak kodun zaman içindeki gelişimini, siber saldırganların saldırıyı nasıl gerçekleştirdiğini, kullanılan yöntemleri ve kurbanlardan para sızdırmak için yazılmış fidye notlarını mercek altına aldı. Matrix’in görüntülediği fidye notları saldırı kodunda yer alsa da, kurbanlar saldırganlarla iletişime geçene kadar ne kadar fidye ödemeleri gerektiğini bilmiyor. İletişim için uzunca bir dönem şifreli anlık mesajlaşma platformu olan bitmsg.me servisi tercih edilirken, bu servisin kapanmasıyla birlikte saldırganlar yeniden e-postayla iletişime yöneldiler. SophosLabs araştırmacıları saldırganlarla ilk iletişime geçtiğinde 2.500 dolar fidye istendi. Ancak araştırmacılarımız taleplere cevap vermeyi kestiğinde karşı tarafın bu rakamı aşağı çektiğini gördük.
Matrix’in arkasındaki kişiler ödemeyi belirledikleri Amerikan dolarına karşılık gelen kripto parayla talep ediyor. Bu da yeni bir durum, çünkü daha önce fidye talepleri doğrudan kripto para miktarıyla belirleniyordu. Uzmanlar bunun sebebinin son zamanlarda hızla dalgalanan kripto paralardaki ani değer kaybından korunmak olabileceği görüşünde.
Matrix platformu, bulduğu her açıktan sisteme girebilmek için sürekli biçim değiştiren İsviçre çakısı benzeri bir işleyişe sahip. Şimdilik elimizdeki örnek miktarı az olsa da, bu tehdidin zayıf olduğu anlamına gelmiyor. Sophos olarak geçtiğimiz aylarda yayınladığımız Sophos 2019 Tehdit Raporu ile hedefli fidye yazılımlarındaki artışa dikkat çekmiş, organizasyonları bu gibi tehditlerin neden olabileceği zararlara karşı uyarmıştık.
Matrix riskine karşı önlemler:
- Uzak Masaüstü (RDP) ve VNC gibi uzaktan kontrol uygulamalarına erişimi kısıtlayın.
- Ağınızdaki açıkları düzenli olarak tarayın ve penetrasyon testleri gerçekleştirin. Daha önceki penetrasyon testi sonuçlarını takip ederek açıkları kapatmadıysanız hemen yapın. Aksi halde saldırganların eline büyük bir koz vermiş olursunuz.
- Hassas dahili sistemlerde çok adımlı doğrulama kullanın. LAN ve VPN üzerinden bağlanan çalışanlarınızın erişimini de bu kurala dahil edin.
- Çevrimdışı ve bina harici yedeklerizi ihmal etmeyin. Böyle bir saldırıyla yüzleşmek zorunda kalırsanız ne yapmanız gerektiğine dair felaket planı oluşturun ve elinizin altında tutun.