Security Blog

WannaCry sadece bir başlangıç olabilir

WannaCry fidye yazılımı 12 Mayıs’ta dünya çapında birçok kurumu etkileyerek, milyonlarca dolarlık zarar meydana getirdi. CryptoLocker’dan sonra adını en fazla duyurmayı başaran WannaCry, kurbanlarına Microsoft Windows işletim sisteminde bulunan SMB protokolündeki bir açığı kullanarak sızmayı başarmış ve bu sayede hızla yayılmayı başarmıştı.

WannaCry’ın, WikiLeaks tarafından sızdırılan Vault 7 belgelerinin yayınlanmasından kısa bir süre sonra ortaya çıkması da kafalarda soru işaretlerinin oluşmasına sebep oldu. Zira adı geçen belgeler, CIA tarafından kullanılan birçok zararlı yazılım framework’ünün ne amaçla, nasıl kullanıldığını ele alıyordu. İddiaya göre bazı hacking grupları, adı geçen bu frameworkleri ele geçirmeyi başarmış ve böylelikle WannaCry başta olmak üzere daha birçok fidye yazılımı geliştirmişti.wannacry-fidye-yazilimi

WannaCry’dan önce de birçok fidye yazılımın ortaya çıktığını biliyoruz. Bu yazılımlardan en çok etkilenen ülkeler arasında Rusya’nın olması ise şaşırtıcı. Zira Rusya’daki hacking gruplarının ve Rus karar alıcıların siber güvenlik konusundaki başarısı siber güvenlik uzmanları tarafından kabul edilen bir gerçek. Ancak buna rağmen bu tür zararlıların, Rusya’daki özel ve kamu kurumlarına hızla yayılmış olması, bu yazılımların her geçen gün daha gelişmiş bir yapıya sahip olduğunun da bir göstergesi.

Yapılan araştırmalara göre, siber güvenlikle ilgili farkındalığın halen dahi yeterli seviyeye ulaşmadığı, bu sebeple de benzer yapıdaki zararlı yazılımların, güvenlik farkındalığı eğitimi almamış firmalarda çok daha hızlı yayıldığını gösteriyor. Bir başka deyişle, kurumlardaki ilgili birimlerin gerekli tedbirleri yerine getirmesi yetmez, aynı zamanda kurum personeline farkındalık eğitiminin de verilmesi gerekli. Ancak ne yazık ki halen dahi dünya genelinde bunu gerçekleştiren firma sayısı oldukça az.

Birçok firma, WannaCry ve türevi fidye yazılımların saldırılarına maruz kaldıktan sonra konuyla ilgili yatırım yapmaya başladı. Eskiden DDoS koruması, birçok saldırı için yeterli gelirken, bugün fidye yazılımlar sayesinde siber güvenlik, çok daha komplike bir yapıya ulaşmış durumda. Bunun farkına varan yöneticiler, milyon dolarlık kayıplar yerine, siber güvenlik alanında yatırım yaparak hem verilerini ve prestijlerini koruyor hem de paralarını.

Bu vizyona sahip olmayan yöneticiler ise kurumlarının yakın bir zamanda felakete sürükleneceğinden haberdar dahi değiller. Zira WannaCry’ın, Vault 7’de bahsi geçen framework’lerden birinin kullanılarak geliştirildiği iddiası doğruysa, yakın bir zamanda benzer fidye yazılımların da piyasaya çıkacağını öngörmek mümkün.

Fidye yazılım geliştirmek artık çok kolay

Güvenlik araştırmacıları, tıpkı WannaCry gibi NSA araçları kullanılarak geliştirilmiş ve SMB kullanarak yayılan yeni bir zararlı yazılım keşfettiklerini duyurdu. Hırvatistan hükümetine ait CERT’de görevli Miroslav Stampar isimli bir araştırmacının oluşturduğu SMB honeypotlarının enfekte olmasıyla ortaya çıkan yeni zararlı, WannaCry kadar tehlikeli görünmüyor. Ancak bu, şu an kuluçkuda yatan ya da henüz yayınlanmamış fidye yazılımların olmadığı anlamına da gelmiyor.

EternalRocks ismiyle anılan zararlı yazılım, kompleks bir yapıya sahip olmasına karşın, hedef sisteme çok büyük bir zarar vermiyor. Hedefe sızdığında iki aşamalı bir kurulum süreci başlıyor. İkinci aşama, belli bir süre sonra devreye giriyor. İlk aşamada EternalRocks, enfekte olan sistemde Tor istemcisini indiriyor ve C&C sunucularını işaretliyor.

EternalRocks geliştiricileri, güvenlik araştırmacılarını aldatmak için WannaCry’da kullanılan dosya isimlerini birebir kullanmışlar. Böylelikle, iki yazılımın farklı olduğunun anlaşılması engellenmiş olacak. C&C sunucusu cevap gönderdiğinde ikinci aşama başlıyor ve shadowbrokers.zip adıyla zararlı yazılım bileşenleri indirilmeye başlanıyor.

Gerekli önlemler alınmadığı takdirde, EternalRocks, WannaCry kadar hızlı yayılıp zarar vermeyebilir ancak birçok sistem için arkakapı oluşturabilir. Bu sayede pekçok fidye yazılım, trojan, RAT vb. yazılımlar hedef sistemlere kolaylıkla sızdırılabilir.

EternalRocks’ın, WannaCry kadar zarar vermiyor olması, ileride daha büyük tehlikeler olmayacağı anlamına gelmiyor. Dolayısıyla kurumlarda, ilgili birimlerde görev yapan yönetici ve teknik personelin rehavate kapılmadan, her an yeni bir fidye yazılım saldırısı ile karşılaşılabileceği gerçeğiyle hareket etmesi, sistemlerini güncel tutması ve varsa açıklarını bir an evvel kapatması gerekiyor. Web uygulamalarını, siber saldırılardan korumak için gelişmiş bir web uygulaması güvenlik duvarı kullanmak şart. Bunun dışında penetrasyon testi yapmak, zafiyet taraması yapmak ve güvenlik standartlarına uygun bir sistem tesis etmek de artık olmazsa olmazlar arasında.

 

 

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com