• DOLAR
    6,8577
  • EURO
    7,7030
  • ALTIN
    391,30
  • BIST
    1,1232
Hayalet fidye yazılımı keşfedildi!

Hayalet fidye yazılımı keşfedildi!

Sophos, Ragnar Locker isimli fidye yazılımının güvenlik sistemlerinin teftişinden kaçmak için uyguladığı acayip bir usulü ortaya çıkardı. Mevzubahisi fidye yazılımı kendini saklamak için hedeflediği tüm sistemlerde kapsamlı birer sanal makine oluşturuyor ve tüm faaliyetlerini bu sanal makine aracılığıyla hakikatleştiriyor.

Yeni keşfedilen hamlede Ragnar Locker’in ele geçirdiği sistemleri GPO aracılığıyla 122 MB’lık özel planlanmış, imzasız bir MSI kolisini yüklemeye zorladığı tespit edildi. Koli 5 Ağustos 2009 tarihli Sun xVM VirtualBox Version 3.0.4 platformu ve Windows XP SP3 işletim sisteminin kırpılmış bir versiyonu olan MicroXP v0.82’nin disk imajından oluşuyor. Bu imajın içinde 49 KB’lık Ragnar Locker fidye yazılımı yer alıyor.

Ragnar Locker’in arttaki şahıslar, sızdıkları ağlarda fidye hamlesini başlatmadan evvel para koparma kaderini artırmak için bilgi hırsızlığı yapmalarını öğreniliyor. Nisan ayında Portekizli enerji dağıtım firmayı Energias de Portugal’ı amaç alan siber saldırganlar, 10 TB büyüklüğünde duyarlı işletme bilgisinin ellerinde olduğunu söyleyerek takribî 11 milyon dolara karşılık gelen 1,580 Bitcoin arz etmişlerdi.

Hakikat Dünyayla Etkileşim Kurabilen Bir Hayalet Gibi

Ragnar Locker grubu, gözlerine kestirdikleri ağda idareyici yetkilerini ele geçirmek için öncelikle idarenen servis sağlayıcıların sarihlerini veya Windows Uzak Masaüstü Protokolünü RDP amaç alan ataklar hakikatleştiriyor. Giriş yaptıktan sonra Powershell ve Windows Group Policy Objects GPO gibi Windows idare taşıtlarını kullanarak ağ içindeki Windows sunucu ve istemcileri arasında sinsice ilerliyor ve sanal makine montajlarını hakikatleştiriyor. Harekâtın galibiyetle reelleşmesini takiben fidye yazılımı içinde ağırlıklı olarak yedekleme, bilgi tabanı, iş ve uzaktan idare uygulamalarının bulunduğu 50 etrafında süreç ve hizmeti durdurarak üzerlerinde çalıştıkları dosyaları ulaşıma sarih hale getiriyor. Ardından şifreleme harekâtını hakikatleştiriyor. Tüm harekâtlar sanal makine üzerinden reelleştiği için fiziksel cihazdaki güvenlik sistemleri sürece müdahale edemiyor.

Sophos Tehdit İhtiyata Mühendislik Direktörü Mark Loman, mevzuya dair şunları söylüyor: “Geçtiğimiz birkaç ay içinde fidye yazılımlarının değişik güzergahlarda büyüdüğünü gözlemledik. Ancak Ragnar Locker bu işi gerçekten değişik bir seviyeye taşıdı. Emin hipervizörleri eşzamanlı olarak suratlarca uç noktaya yerleştirip içinde gizledikleri fidye yazılımının işini yapmasını garanti altına alıyorlar. Bu sanal makineler hakikat dünyayla etkileşim kurabilen birer hayalet gibi sistemler arasında çoğu güvenlik yazılımı tarafından tespit edilmeden süzülerek mahallî cihazlardaki ve ağ üzerindeki diskleri şifreliyor. Uygulanan usul 50 KB’lık bir fidye yazılımını gizlemek için azıcık fazla karışık ve sıkıntılı görünse de, fidye yazılımlarına karşı yeterli gözetmesi olmayan ağlarda işe yaradığını gözlemliyoruz.”

Sosyal Medyada Paylaşın:

BİRDE BUNLARA BAKIN

Düşüncelerinizi bizimle paylaşırmısınız ?

  • ÇOK OKUNAN
  • YENİ
  • YORUM