Hafnium Microsoft Exchange Hack: DearCry Fidye Yazılımı Prototip Olarak Piyasaya Sürüldü mü? Sophos uzmanları fidye yazılımını araştırdı ve WannaCry ile benzerlikler buldu.
Geçen hafta Microsoft Exchange güvenlik açıkları ortaya çıktığından beri, bu güvenlik açığından yararlanan siber saldırılara odaklanıldı. Her şeyden önce, "DearCry" fidye yazılımı, ilk bakışta "WannaCry" adlı tanınmış bir selefi anımsatan, kendisine şerefsiz bir isim yapar. Sophos Labs, yeni kötü amaçlı yazılımı daha yakından inceledi ve bunun daha önce bilinmeyen bir fidye yazılımı prototipi olabileceğine dair birçok belirti buldu.
DearCry: Karma bir yaklaşımla fidye yazılımı
Çeşitli DearCry örneklerini analiz ederken dikkatinizi çeken ilk şey, fidye yazılımının hibrit bir yaklaşım izliyor gibi görünmesidir. SophosLabs'in bu yaklaşımı kullandığını bildiği diğer tek fidye yazılımı WannaCry'dir, ancak otomatik olarak yayılır ve DearCry gibi insanlar tarafından yönetilmez. Bununla birlikte, benzerlikler şaşırtıcıdır: her ikisi de önce saldırıya uğrayan dosyanın şifrelenmiş bir kopyasını oluşturur (Kopyalama Şifreleme) ve ardından kurtarmayı önlemek için orijinal dosyanın üzerine yazar (Yerinde Şifreleme). Kopya Şifreleme, kurbanların bazı verileri kurtarmasına izin verebilirken, Yerinde Şifreleme, verilerin kurtarma araçlarıyla kurtarılamamasını sağlar. Örneğin, Ryuk, REvil, BitPaymer, Maze veya Clop gibi kötü şöhretli insanlar tarafından yönetilen fidye yazılımı temsilcileri yalnızca doğrudan şifreleme kullanır.
DearCry ve WannaCry karşılaştırması
DearCry ve WannaCry arasında, şifrelenmiş dosyalara eklenen adlar ve başlık dahil olmak üzere bir dizi başka benzerlik vardır. Ancak, bu notlar otomatik olarak WannaCry geliştiricileri ile bir bağlantı anlamına gelmez ve DearCry'ın yetenekleri WannaCry'den önemli ölçüde farklıdır. Yeni fidye yazılımı bir komut ve kontrol sunucusu kullanmıyor, yerleşik bir RSA şifreleme anahtarına sahip, zamanlayıcılı bir kullanıcı arayüzü göstermiyor ve en önemlisi ağdaki diğer bilgisayarlara yayılmıyor.
Sophos Mühendislik Teknolojisi Ofisi Direktörü Mark Loman, "Fidye yazılımının yeni kurbanlar için yeni ikili dosyalar oluşturmuş gibi görünmesi de dahil olmak üzere bir dizi başka olağandışı DearCry özelliği bulduk" dedi. "Saldırıya uğrayan dosya türlerinin listesi de kurbandan kurbana değişti. Analizimiz ayrıca kodun, sıkıştırılmış dosyalar veya gizleme teknikleri gibi normalde fidye yazılımlarından bekleyeceğimiz türden algılama önleme özelliklerini içermediğini de gösteriyor. Bu ve diğer işaretler, DearCry'nin mevcut Microsoft Exchange Server güvenlik açıklarından yararlanmak için planlanandan önce dağıtılan bir prototip olabileceğini gösteriyor.
Exchange yamalarını mümkün olan en kısa sürede kurun
Yine belirtmek gerekir ki şirketler, Exchange Server'larının suç amaçlı istismarını önlemek için mevcut Microsoft yamalarını mümkün olan en kısa sürede yüklemelidir. Bu mümkün değilse, sunucunun İnternet bağlantısı kesilmeli veya bir Hızlı Müdahale Ekibi tarafından yakından izlenmelidir. Ek olarak, yamayı yükledikten sonra herkes iyi değil, ancak adli bir soruşturma, kötü amaçlı yazılımın sisteme boşluktan girmediğinden ve dağıtılmayı beklediğinden emin olmalıdır.
Sophos.com'da daha fazla bilgi edinin
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.