Yeni siber saldırı nasıl bulaşıyor? Petya'dan nasıl korunuruz?
Rusya ve Ukrayna'da başlayan, Avrupa ve Amerika'ya yayılan WannaCry benzeri küresel fidye yazılım salgını dünyayı etkisi altına almaya başladı.
Motherboard’da çıkan bir habere göre Alman e-posta sağlayıcısı Posteo korsanlarla iletişimde kullanılan e-posta adresini devre dışı bıraktı. Bu hesabın 300 dolar karşılığı bitcoin-verilerin şifresini çözen anahtar alışverişinin yapıldığı adres olduğu belirtiliyor. Bu internet bağlantısı olmayan fidye yazılımını devreye sokanların kurbanlarıyla iletişim kuramayacağını ve kullanıcıyların da anahtara ulaşamayacakları anlamını taşıyor.
Güncelleme: Kaspersky Lab’den yapılan açıklamaya göre saldırının müsebbibi olan fidye yazılımı Petya değil, hatta daha önce hiç görülmemiş bir fidye yazılımı. Petya’ya benzerlikleri olsa da fonksiyon olarak tamamen ayrı konumlanıyor. Kaspersky Labs fidye yazılımını ExPetr olarak adlandırdı. Karmaşık yapıdaki saldırıda NSA’Den çalınan sızma yazılımı EternalRomance’ın modifiye edilmiş hali kullanılıyor.
Şirketin telemetri verilerine göre şimdiye dek 2,000 kullanıcı saldırı sonucu zarara uğradı. Rusya ve Ukrayna en çok etkilenen ülkeler. Ayrıca Polonya, İtalya, WannaCry’dakine benzer şekilde İngiltere, Almanya, Fransa, A.B.D. ve bazı diğer ülkeler saldırıya uğrayan ülkeler arasında yer aldı.
ExPetr veya genel kullanımla Petya olarak bilinen saldırı aracından korunmak için Windows işletim sisteminizi güncellemeniz şart. Mart ayında yayınlanan MS17-010 güvenlik yamasını Windows 7 ve Windows XP için kurmalısınız.
FİDYE YAZILIMI NE YAPIYOR?
Kötücül yazılım sistemi enfekte ettikten sonra yeniden başlatmak için 10 ila 60 dakika bekliyor. Yeniden başlatma işleminden sonra NTFS bölümündeki MFT tablosunu şifreleyerek MBR’yi fidye notuyla yeniden yazıyor.
Kötü amaçlı yazılım, tüm ağ bağdaştırıcılarını, bilinen tüm sunucu adlarını NetBIOS vasıtasıyla numaralandırıyor ve var olan DHCP listesini (varsa) alıyor. Yerel ağdaki ve sunucularda bulunan her IP, 445 ve 139 TCP port’ları açık olup olmadığına dair kontrol edilir. Açıksa yukarıda bahsi geçen yöntemlerle salgın bu makinelere bulaştırılır.
Saldırganlara şifrelenen verilerin çözülmesi için gönderilen 300 dolarlık bitcoin karşılığında çözücü anahtarı göndermediği de gelen haberler arasında yer alıyor. 27 Haziran’da saat 19 civarında bitcoin cüzdanında 6,000 dolar karşılığı bulunuyordu. Dolayısıyla bu sorunla karşı karşıya kalanların şifrelenen verileri şu an için çözebilecek bir aracı da an itibariyle olmadığı haberler arasında yer alıyor.
Saldırıdan etkilenen sistemlerde bulunan Perfc.dat dosyası sistemi devre dışı bırakacak süreci başlatıyor. Sistem enfeksiyona yakalandıktan sonra PowerShell mimarisini kullanan PsExec devreye girerek, uzak bilgisayarlar üzerinde komut çalıştırmaya imkan veren aracı kullanıyor. Windows WMI ile yönetim aracı sayesinde enfekte perfc.dat ağdaki açık portlar üzerinden diğer tüm sistemlere gönderilerek salgının büyümesi sağlanıyor.
Eğer sisteminiz bu saldırıdan etkilendiyse bilgisayarınızı yeniden başlatmayın ve fidyeyi ödemeyin. Eğer sisteminiz yeniden başladıysa bir yedek üzerinden geri yükleme yapmanız en iyi seçenek olarak karşımızda.
WANNACRY'DAN FARKI NEDİR?
WannaCry saldırısında kullanılan cüzdanda toplanan para ise 120 bin doları aşmıştı. Ayrıca WannaCry'ın internet üzerinden aktifleştirilebilen bir "kapama düğmesi-kill switch" seçeneği keşfedilmişti. Bu da herhangi bir bedel ödemeden bazı sistemlerin kurtulmasını sağlamıştı. Bugünkü saldırı herhangi bir şekilde internet bağlantısı gerektirmediği için saldırıyı tek seferde kapatabilecek bir seçenek yok.
Saldırının ilk olarak Ukrayna ve Rusya'yı etkilemesi saldırının arkasında bir ülke olup olmadığı sorularını gündeme getirmişti. Ancak siber güvenlik uzmanlarına göre saldırının arkasında bir ülkeden ziyade bir suç örgütü var. Ayrıca saldırının lokal bir alandan ziyade global ölçekte zarara yol açması bu tezi çürüten diğer sebepler arasında gösteriliyor.
İLK DURUM DEĞERLENDİRMELERİ
Bugün başlayan saldırıya dair ortaya konan raporlar, fidye yazılımının geçtiğimiz ay dünyayı esir alan WannaCry’la kapsam ve yoğunluk bakımından benzer olduğunu gösteriyor.
İlk aşamada Petya olarak tanımlanan kötücül yazılımın tıpkı Mayıs başında 150'den fazla ülkedeki makinelere bulaşmasını sağlayan Wannacry gibi NSA’den sızdırılan EternalBlue istismar aracını kullanarak yayıldığı belirtiliyor.
Güvenlik uzmanları hâlen saldırıda ne tür bir fidye yazılım saldırısının kullanıldığın araştırıyor. Bazı uzmanlara göre ilk belirtiler Petya'yı işaret ediyor, bazılarına göre ise yapı yeni bir varyanta işaret ediyor olabilir. Tıpkı Wannacry’da gördüğümüz gibi yamalanmış işletim sistemlerine sahip sistemler saldırıdan etkilenmiyor. Ne var ki halen saldırıların etkisiyle bazı dev şirketler sorun yaşadıklarını açıklayanların sayısı artıyor.
Son siber saldırı ve dünyada yaşanan diğer saldırılarla ilgili gerçek zamanlı haritadan konuyla ilgili görsel bilgiye ulaşabilirsiniz.
LOJİSTİK DEVİNİN SİSTEMLERİ DURDU, MERKEZ BANKASI HİZMET VEREMİYOR
Bunlar arasında Danimarkalı ulaştırma ve enerji şirketi Maersk web sitesinde "Maersk IT sistemleri siber saldırı nedeniyle birden fazla şantiye ve iş birimi arasında çökmüş olduğunu doğrulayabiliriz" açıklamasında bulundu.
Ukrayna merkez bankası dahil olmak üzere ülkede benzer şekilde saldırı nedeniyle finansal kuruluşlar müşterilerine hizmet veremez hale geldiğini açıkladı. Ukraynalı yetkililer devlete ait Ukrenergo ve Kyivenergo elektrik şirketlerinde bulaşmış bilgisayar görüntülerini tweet’ledi.
Fidye notunda "Tüm dosyalarınızı güvenli ve kolay bir şekilde kurtarabileceğinizi garanti ediyoruz. Tek yapmanız gereken ödemeyi yapmak ve şifreyi çözecek anahtarı almak". Bitcoin olarak talep edilen miktar da WannaCry saldırısındakine benzer şekilde yaklaşık 300 dolar olarak talep ediliyor.
HAVALİMANINDA UÇUŞLAR DURDU
Bu arada Kiev'in Borispol Havalimanı Facebook sayfasından bir açıklama yaparak BT sistemlerinde sorun olduğunu bildirdi. "Durumumuzu çözmek için BT hizmetlerimiz çalışıyor. Yaşanan durum nedeniyle uçuşlarda gecikmeler olabilir” şeklinde açıklama yapan havaalanının resmi sitesi ve uçuş programları çalışmıyor. Amerika’nın en büyük ilaç şirketlerinden Merck de Wannacry benzeri saldırıdan etkilendiğini ve bilgisayar ağlarının etkilendiğini açıkladı.
UZMANLAR NE DİYOR? SALDIRIDAN NASIL KORUNABİLİRSİNİZ?
Fidye yazılım saldırısı hakkında görüşüne başvurduğumuz uzmanlardan Innovera Yönetici Ortağı Burak Dayıoğlu şunları söyledi: “Petya saldırısı, WannaCry'dan sonra tam da beklediğimiz gibi kısa sürede geldi. Saldırganlar WannaCry'da kullanılan saldırı tekniklerinin oldukça benzerlerini uyguluyorlar. Zararlı yazılım, saldırı için özel hazırlanmış MS-Word belgeleri olarak eposta ile iletiliyor; hedef kuruluştan birisi açınca ilgili bilgisayardaki dosyaları erişilemez kılıyor ve WannaCry'ın da yaptığı biçimde başka bilgisayarlara Windows dosya paylaşımı protokolü üzerinden yayılmaya çalışılıyor.
WannaCry'dan iki temel farkı var; birincisi WannaCry'daki gibi bir 'acil durdurma' mekanizması konulmamış; hatırlayacağınız gibi WannaCry'ı bu acil durdurma mekanizmasını tetikleyerek dünya çapında frenlemek mümkün olmuştu. Petya bu açıdan yayılması merkezi olarak engellenemez durumda. Diğer taraftan tüm dosyaları tek tek şifrelemek yerine Petya işletim sisteminin açılışına yerleşip sadece hangi dosyanın nerede olduğunu gösterir kataloğu değiştirip şifreleyebiliyor; bu da tek bir bilgisayarı ele geçirip fidye istemesini ciddi şekilde hızlandırıyor.
Bilgisayar kullanıcılarına önerilerimiz benzer; tüm güncel yamaları uygulamalarını, modern bir antivirüs yazılımını çalıştırmalarını, sürekli yedek almalarını ve iyi bir güvenlik tarayıcısı ile sistemlerini sürekli güvenlik açıklarına karşı test etmelerini öneriyoruz.”
ÇOK SAYIDA SALDIRI RAPORUYLA ANALİZ SÜRÜYOR
Mcafee yakasından gelen açıklamaya göre de saldırı Petya olarak tanımlanıyor. McAfee Stratejik İstihbarat Grubu’ndan Raj Samari saldırıyla ilgili şu açıklamayı yaptı: "McAfee olarak Petya fidye yazılımının değiştirilmiş varyantlarına ilişkin çok sayıda rapor aldı. McAfee Labs saldırı örneklerini analiz ediyor ve bu esnada müşterilerini sistemlerinin tehdide nasıl karşı koyacağı konusunda tavsiyelerde bulunuyor.
Saldırı WannaCry kadar büyük görünmüyor, ancak etkilenen organizasyonların sayısı dikkate değer. Görünüşe göre onun en azından şimdilik sahip olduğumuz verilere dayalı olarak WannaCry ile aynı yayılım yöntemini kullanıyor. WannaCry saldırısında olduğu gibi gerekli güncellemeleri ve yamaları kurulmamış olan sistemler bu saldırıya karşı savunmasız olabilir.
"NSA ARACININ İŞİ AMA PETYA SALDIRISI DEĞİL!"
Kaspersky Lab kötü amaçlı yazılım analisti Vyacheslav Zakorzhevsky ise enfeksiyonların "daha önce görmediğimiz yeni bir fidye yazılım türüne ait olduğunu açıkladı. Kaspersky’den yapılan açıklamaya göre Petya saldırısı aslında Petya kaynaklı değil. Yani saldırı Petya değil. Şirketin yaptığı açıklamaya göre farklı ülkelerden bazı büyük şirketlerin enfeksiyon rapor ettiği salgının büyüklüğü muhtemelen daha da artacak.
Yeni saldırının tam olarak ne olduğu henüz belli değil. Bazıları için Petya varyasyonu olarak görünen (Petya.A, Petya.D veya PetrWrap) saldırı bazılarına göre WannaCry varyasyonu olabileceğini belirtti. Kaspersky Lab uzmanları yeni tehdidi araştırdıklarını ve kısa sürede somut gerçeklerle karşılaştıklarında yeni açıklamalar yapacaklarını belirtti. Çeşitli saldırı vektörlerini içeren karmaşık saldırıda net olan kurumsal ağlarda etkiyi artırmak için NSA’den sızdırılan EternalBlue istismarının kullanıldığı...
Saldırıyla ilgili güncel durumu ve dünyada düzenlenen siber saldırıları aşağıdaki widget üzerinden takip edebilirsiniz. Canlı olarak Petya veya ExPetr saldırısıyla ilgili etkileri görebileceğiniz haritada o anda dünyanın farklı noktalarına yapılan saldırıları takip etmeniz de mümkün. (Haber Türk)
Küfür, hakaret, rencide edici cümleler veya imalar, inançlara saldırı içeren, imla kuralları ile yazılmamış,
Türkçe karakter kullanılmayan ve BÜYÜK HARFLERLE yazılmış yorumlar
Adınız kısmına uygun olmayan ve saçma rumuzlar onaylanmamaktadır.
Anlayışınız için teşekkür ederiz.