McAfee, birkaç gün içinde 100’ü aşkın ülkede yüz binlerce cihazı etkisi altına alan WannaCry saldırısı ile ilgili ayrıntıları paylaştı. Hem bir fidye yazılımı hem de Solucan gibi hareket eden WannaCry, siber suç dünyasında oyunun kurallarını değiştirecek bir modele sahip.
McAfee, tüm dünyayı etkisi altına alan WannaCry fidye yazılımı hakkındaki detayları açıkladı. 12 Mayıs’ta başlayan WannaCry saldırısı ile siber dünyada ilk kez Solucan (Worm) taktikleri ile fidye yazılımı modeli bir arada kullanılan bir saldırı gerçekleştirildi. Çok kısa bir sürede pek çok kıtada, farklı sektörlerden yüz binlerce kişisel ve kurumsal sistemleri etkileyen saldırı, birkaç hafta önce ortaya çıkarılan “Eternal Blue” adlı exploit ve MS-17-010 Windows OS’in daha önce tanımlanıp kapatılmış olan bir güvenlik açığından faydalanılarak gerçekleştirildi. Saldırı, tipik bir fidye yazılımı gibi davranarak neredeyse hiç insan müdahalesine gerek duymadan düzenlendi.
McAfee uzmanları WannaCry’ın başarısının tek bir saldırı ile ağ üzerindeki açıkları olan diğer sistemlere aynı anda erişebilmesinden kaynaklandığını belirtti. Genellikle fidye yazılımları, kullanıcının e-posta ile gönderilen bir link aracılığıyla zararlı yazılımı sisteme bulaştırmalarına neden olmasını sağlıyor. Bu tip saldırılarda genellikle fidye yazılımı sadece linkin kullanıldığı sistemi kontrol altına alıyor. Ancak WannaCry, 90’lı ve 2000’li yıllarda sıkça kullanılan Solucan gibi hareket ediyor ve herhangi bir kişinin aktive etmesine gerek olmadan hızlıca yayılıyor.
Veri çalmak ya da diğer sistemlere zarar vermek yerine, WannaCry klasik bir fidye yazılımı gibi cihazdaki dosyaları şifreliyor ve bunlar karşılığında Bitcoin ile ödeme talep ediyor. Dolayısıyla bu zararlı yazılım her iki saldırı metodunun en güçlü yanlarını birleştirerek oldukça güçlü bir taktik geliştirmiş oldu.
McAfee uzmanları WannaCry stratejisinin başarısının diğer siber suçluları da harekete geçirmesinin ve benzer saldırılar düzenlenmesinin mümkün olduğunu belirtiyor. Ancak bu tip bir saldırı için hedef alınan yazılımda belli karakteristikte bir açığın olması gerekiyor, bu da siber suçluların benzer bir saldırı yapmalarını zorlaştırıyor.
Kurumların bu tip saldırılara karşı alabilecekleri en iyi önlemin IT ekiplerinin işletim sistemlerine ve uygulamalarına ait bir yama (patch) yayınlandığında bunu hızlıca sistemlerine adapte etmek olduğuna değinen McAfee Kıdemli Başkan Yardımcısı ve CTO Steve Grobman; “IT uzmanları bir yama yayınlandığında genellikle yazılım uyumsuzluklarına yol açabileceği endişesiyle bunun kullanımında tereddüt ediyor. Böyle bir durumda muhtemel bir takım yazılım uyumsuzlukları ile güvenlik riskleri arasında gerçekçi bir değerlendirme yapılması gerektiğine inanıyorum. Bu risk analizine göre de IT ekipleri kurumları için en doğru adımları atacaklardır. WannaCry, bu risk değerlendirmesinde kesinlikle bir değişim yarattı. Artık kurumlar tüm ağları üzerindeki güvenlik açıklarını elimine etmek üzere bir yama planı belirlemeli. WannaCry’ın ardından bilmeliyiz ki, ne zaman bir güvenlik açığı tespit edilse ve bir exploit yayınlansa siber suçlular benzer şekilde hareket ederek böyle güçlü bir saldırı gerçekleştirebilir. Siber güvenlik sektörünün bu tip saldırılara karşı hazırlıklı olması gerekiyor” şeklinde konuştu.
Dünya çapında bu yeni nesil saldırılardan en çok etkilenenler, hastaneler, okullar ve üniversiteler gibi zayıf bir siber güvenlik yapısına sahip olan kurumlar oldu.