Sophos, Ragnar Locker adlı fidye yazılımının güvenlik sistemlerinin denetiminden kurtulmak için bulaştığı cihazlarda kendi sanal makinesini kurduğunu tespit etti. Sophos güvenlik uzmanları, fidye yazılımlarında böylesine karmaşık bir gizlenme tekniğine ilk kez rastladıklarını ifade ediyor.
Sophos, Ragnar Locker adlı fidye yazılımının güvenlik sistemlerinin denetiminden kaçmak için uyguladığı ilginç bir yöntemi ortaya çıkardı. Söz konusu fidye yazılımı kendini gizlemek için hedef aldığı tüm sistemlerde kapsamlı birer sanal makine oluşturuyor ve tüm faaliyetlerini bu sanal makine aracılığıyla gerçekleştiriyor.
Yeni keşfedilen saldırıda Ragnar Locker’in ele geçirdiği sistemleri GPO aracılığıyla 122 MB’lık özel tasarlanmış, imzasız bir MSI paketini yüklemeye zorladığı tespit edildi. Paket 5 Ağustos 2009 tarihli Sun xVM VirtualBox Version 3.0.4 platformu ve Windows XP SP3 işletim sisteminin kırpılmış bir sürümü olan MicroXP v0.82’nin disk imajından oluşuyor. Bu imajın içinde 49 KB’lık Ragnar Locker fidye yazılımı yer alıyor.
Ragnar Locker’in arkasındaki kişiler, sızdıkları ağlarda fidye saldırısını başlatmadan önce para koparma şansını artırmak için veri hırsızlığı yapmalarıyla biliniyor. Nisan ayında Portekizli enerji dağıtım şirketi Energias de Portugal’ı hedef alan siber saldırganlar, 10 TB büyüklüğünde hassas şirket verisinin ellerinde olduğunu söyleyerek yaklaşık 11 milyon dolara karşılık gelen 1,580 Bitcoin talep etmişlerdi.
Gerçek Dünyayla Etkileşim Kurabilen Bir Hayalet Gibi
Ragnar Locker grubu, gözlerine kestirdikleri ağda yönetici yetkilerini ele geçirmek için öncelikle yönetilen servis sağlayıcıların açıklarını veya Windows Uzak Masaüstü Protokolünü (RDP) hedef alan saldırılar gerçekleştiriyor. Giriş yaptıktan sonra Powershell ve Windows Group Policy Objects (GPO) gibi Windows yönetim araçlarını kullanarak ağ içindeki Windows sunucu ve istemcileri arasında sinsice ilerliyor ve sanal makine kurulumlarını gerçekleştiriyor. İşlemin başarıyla gerçekleşmesini takiben fidye yazılımı içinde ağırlıklı olarak yedekleme, veri tabanı, iş ve uzaktan yönetim uygulamalarının bulunduğu 50 civarında süreç ve hizmeti durdurarak üzerlerinde çalıştıkları dosyaları erişime açık hale getiriyor. Ardından şifreleme işlemini gerçekleştiriyor. Tüm işlemler sanal makine üzerinden gerçekleştiği için fiziksel makinedeki güvenlik sistemleri sürece müdahale edemiyor.
Sophos Tehdit Önleme Mühendislik Direktörü Mark Loman, konuya dair şunları söylüyor: “Geçtiğimiz birkaç ay içinde fidye yazılımlarının farklı yönlerde geliştiğini gözlemledik. Ancak Ragnar Locker bu işi gerçekten farklı bir seviyeye taşıdı. Güvenilir hipervizörleri eşzamanlı olarak yüzlerce uç noktaya yerleştirip içinde sakladıkları fidye yazılımının işini yapmasını garanti altına alıyorlar. Bu sanal makineler gerçek dünyayla etkileşim kurabilen birer hayalet gibi sistemler arasında çoğu güvenlik yazılımı tarafından tespit edilmeden süzülerek yerel makinelerdeki ve ağ üzerindeki diskleri şifreliyor. Uygulanan yöntem 50 KB’lık bir fidye yazılımını saklamak için biraz fazla karmaşık ve zahmetli görünse de, fidye yazılımlarına karşı yeterli koruması olmayan ağlarda işe yaradığını gözlemliyoruz.”