Kaspersky’nin Avrupa ve Asya’da incelediği iki vakada tespit edilen ve ilk olarak 2020 ilkbaharında duyulan VHD fidye yazılımının Kuzey Koreli ünlü APT grubu Lazarus tarafından yönetildiği belirlendi. Lazarus’un kendi fidye yazılımını geliştirip yayması, grubun yeni bir strateji benimsediğini ve devlet destekli APT gruplarında nadir görülen bir şekilde büyük ölçekli maddi kazanç için saldırıya geçmeye hazırlandığını gösteriyor.
Mart ve Nisan 2020’de aralarında Kaspersky’nin de yer aldığı bazı siber güvenlik kuruluşları VHD fidye yazılımını raporlamıştı. Kurbanlardan para sızdırmak için tasarlanan bu zararlı program kendi kendini kopyalama özelliğiyle dikkat çekmişti. Zararlı yazılımın kurbana özel kimlik bilgileriyle derlenen bir araçla dağıtılması akla APT saldırılarını getirmişti. O dönemde saldırıların arkasında kimin olduğu henüz kesin olarak belirlenmemiş olsa da Kaspersky araştırmacıları, Fransa ve Asya’da şirketlere yönelik kullanıldığı bilinen Lazarus araçlarıyla olan yakın ilişkisi nedeniyle VHD fidye yazılımı ile Lazarus arasında büyük olasılıkla bir ilişki olduğunu dile getirmişti.
Mart ve Mayıs 2020 dönemlerinde VHD fidye yazılımına yönelik iki ayrı araştırma düzenlendi. Avrupa’da gerçekleşen ilk vakada saldırının arkasında kim olduğuna dair fazla ipucu bulunmasa da APT gruplarının kullandıklarına benzer yayılma yöntemlerinin görülmesi araştırma ekibinin dikkatini çekti. Ayrıca, saldırının büyük kuruluşları hedef alan gruplarda görülen yöntemlerden farklı bir yol izlemesi de merak uyandırdı. VHD fidye yazılımının örneklerinin birkaç açık referans ile yalnızca sınırlı sayıda görülmesi de bu fidye yazılımının, genel durumun aksine karaborsada yaygın bir şekilde satılmadığını da gösterdi.
VHD fidye yazılımının görüldüğü diğer vaka ise tüm yayılma zincirini ortaya koyarak araştırmacıların bu programın Lazarus’la ilişkili olduğunu anlamasını sağladı. Elde edilen bilgiler arasında en önemli olan ise saldırganların MATA adlı çok platformlu çerçevenin parçası olan bir arka kapı kullanmaları oldu. Kaspersky’nin hakkında ayrıntılı bir rapor hazırladığı bu çerçeve, çeşitli kod ve araç benzerlikleri nedeniyle Lazarus ile ilişkilendiriliyordu.
Tüm bu bulgular Lazarus’un bugüne kadar düzenlenen VHD fidye yazılımı saldırılarının arkasında olduğunu gösterdi. Bu saldırılar ayrıca Lazarus grubunun maddi kazanç için hedefli fidye yazılımlarını kullandığını tespit edildiği ilk saldırılar oldu. Ayrıca siber suç ekosisteminde pek görülmeyen bir şekilde grubun kendi fidye yazılımını geliştirip kullandığı belirlendi.
“Lazarus’un her zaman maddi kazanç peşinde olduğunu biliyoruz fakat WannaCry’dan bu yana fidye yazılımlarıyla ilgili bir girişimlerine rastlamamıştık. Grubun hedefli fidye yazılımlarına yönelik bu vur kaç taktiğiyle diğer siber suç çetelerinin verimine ulaşamayacağı kesin olsa da bu tür saldırılara yönelmiş olması endişe verici. Dünya genelinde fidye yazılım tehdidi şu anki haliyle de yeterince büyük. Bu saldırıların hedefi olan kurumlar neredeyse iflasın eşiğine gelecek kadar olumsuz sonuçlar yaşayabiliyor. Burada önemli olan soru, bu saldırıların tek seferlik bir deney mi yoksa yeni bir eğilimin parçası mı olduğu. Özel şirketler, devlet destekli tehdit gruplarının hedefi olmaktan endişe duymalılar mı?” diyen Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Ivan Kwiatkowski, sözlerini şöyle sürdürdü: “Her durumda, kurumların veri güvenliğinin her zamankinden de önemli hale geldiğini aklından çıkarmaması gerekiyor. Kurumlar mutlaka önemli verilerin ayrı yedeklerini saklamalı ve etkin güvenlik önlemleri almalı.”
Uzmanlar, şirketlerin fidye yazılımlardan korunmak için şu adımları atmasını öneriyor:
- Fidye yazılımların kimlik avı saldırıları ve ihmal nedeniyle sızma şansını azaltın: Çalışanlarınıza, basit birkaç adımla fidye yazılımlarından korunmanın mümkün olabileceğini anlatın. Kaspersky Automated Security Awareness Platform ile sunulan özel eğitim kursları buna yardımcı olabilir.
- Tüm yazılımların, uygulamaların ve sistemlerin her zaman en güncel sürümünü kullanın. Ağınızdaki kapatılmamış açıkları belirlemek için açık ve yama yönetimi özelliklerine sahip bir koruma çözümü kullanın.
- Ağlarınızı siber güvenlik denetiminden geçirin ve tespit edilen açıkları kapatın.
- Kaspersky Integrated Endpoint Security gibi bir çözüm kullanarak tüm uç noktalarda ve sunucularda en doğru güvenlik yöntemlerini kullandığınızdan emin olun. Uç nokta güvenliğini sanal ortam ve EDR işleviyle birleştiren bu etkili güvenlik çözümü, hem yeni tür fidye yazılımlarına karşı koruma sunuyor hem de kurumsal uç noktalarda tespit edilen tehditlerin anında görülebilmesini sağlıyor.
- Güvenlik ekiplerinizin en yeni tehdit istihbaratı verilerine ulaşmasını sağlayın. Böylece tehdit grupları tarafından kullanılan yeni araçlar, teknikler ve taktikler hakkında güncel bilgiye sahip olabilirler.
- Fidye yazılımı bir suçtur. Saldırıya uğradığınızda asla fidyeyi ödemeyin. Bunun yerine yerel emniyet teşkilatınıza haber verin. Bazı şifre çözücüleri https://www.nomoreransom.org/en/index.html adresinde bulabilirsiniz.
