Bu yazı, uzmanlarımız kötü amaçlı yazılımla ilgili yeni ayrıntılar elde ettikçe güncellenmektedir.
Bu yıl iki büyük ölçekli fidye yazılımı salgınıyla karşılaşmıştık: WannaCry ve ExPetr (Petya ve NotPetya olarak da bilinir) salgınlarından bahsediyoruz. Görünüşe göre üçüncü bir salgın kapıda: Yeni kötü amaçlı yazılıma Bad Rabbit (Yaramaz Tavşan) adı veriliyor. Daha doğrusu, fidye yazılımı notuyla bağlantılı darknet web sitesinin belirttiği isim bu.
Şu anda Bad Rabbit fidye yazılımının bazı büyük Rus medya kuruluşlarını etkilediği biliniyor. Interfax haber ajansı ve Fontanka.ru onaylanan kurbanlar arasında yer alıyor. Odessa Uluslararası Havalimanı bilgi sistemine bir siber saldırı yapıldığını bildirdi ancak bunun aynı saldırı olup olmadığı henüz netlik kazanmış değil.
Bad Rabbit saldırılarının ardındaki suçlular, fidye olarak 0,05 bitcoin istiyor, ki bu rakam mevcut kur oranında yaklaşık 280 ABD dolarına tekabül ediyor. Hiç Türk Lirasına çevirmekle uğraşmayın, biz söyleyelim, 1044₺ ediyor.
Bulgularımıza göre saldırı, açıklardan yararlanma yazılımı kullanmıyor. Bu bir indirme saldırısı: Kurbanlar, etkilenmiş web sitelerinden sahte bir Adobe Flash yükleyicisi indiriyor ve .exe dosyasını manuel olarak çalıştırdıklarında kendileri de saldırıdan etkilenmiş oluyor. Araştırmacılarımız tamamı haber veya medya siteleri olmak üzere güvenliği tehlikede olan birçok web sitesi tespit etti.
Bad Rabbit’in şifrelediği dosyaları geri almanın (fidyeyi ödeyerek veya fidye yazılımı kodundaki bazı kusurları kullanarak) mümkün olup olmadığı henüz bilinmiyor. Kaspersky Lab antivirüs uzmanları saldırıyı araştırıyor. Biz de araştırmacıların bulguları doğrultusunda bu yazıyı güncelleyeceğiz.
Verilerimize göre bu saldırıların kurbanlarının çoğu Rusya’da bulunuyor. Ukrayna, Türkiye ve Almanya’da benzer fakat daha az sayıda saldırı olduğunu gördük. Bu fidye yazılımı, hacklenmiş birkaç Rus medya web sitesi üzerinden cihazları etkiledi. Araştırmamıza göre bu, ExPetr saldırısında kullanılan yöntemlere benzer yöntemler kullanılarak şirket ağlarına karşı yapılan hedefli bir saldırı. Ancak ExPetr ile ilişkili olup olmadığını doğrulayamıyoruz. Araştırmalarımız sürüyor. Araştırmalarımız sürerken Securelist üzerindeki bu yazıda teknik ayrıntıları inceleyebilirsiniz.
Araştırmacılarımız Bad Rabbit saldırılarını, bu yıl Haziran ayında yapılan ExPetr saldırılarına bağlayabilecek yeterli kanıt buldu. Analizlere göre, Bad Rabbit’te kullanılan bazı kodlar daha önce ExPetr’da görüldü.
Diğer benzerlikler arasında, saldırı sırasında aynı domain kullanılması bulunuyor. Bazı domainler Haziran’da hacklenmiş ancak kullanılmamıştı. Ayrıca bu zararlı yazılımı kurumsal ağlarda dağıtmak için kullanılan teknik de aynı – iki saldırı da Windows Management Instrementation Command-line (WMIC) kullandı. Ancak farklılıkları da var: ExPetr’ın aksine, Bad Rabbit, EternalBlue açığını veya başka bir açığı kullanmıyor.
Uzmanlarımız iki saldırının arkasında da aynı saldırganların olduğunu ve Bad Rabbit saldırısını 2017 Temmuz’dan veya daha önceden beri planladıklarını düşünüyorlar. Araştırmamıza devam ediyoruz. Bu sırada daha fazla teknik detay için Securelist gönderimize göz atabilirsiniz.
Kaspersky Lab ürünleri saldırıyı aşağıdaki kararla tespit ediyor: UDS:DangerousObject.Multi.Generic (Kaspersky Security Network tarafından tespit edilir), PDM:Trojan.Win32.Generic (System Watcher tarafından tespit edilir) ve Trojan-Ransom.Win32.Gen.ftl.
Bad Rabbit kurbanı olmaktan kaçınmak için:
Kaspersky Lab ürünleri kullanıcıları:
- System Watcher ve Kaspersky Security Network uygulamalarının çalıştığından emin olun. Çalışmıyorsa bu özelliklerin açılması büyük önem taşır.
Diğer kullanıcılar:
- c:windowsinfpub.dat ve c:Windowscscc.dat dosyalarının yürütülmesini engelleyin.
Kötü amaçlı yazılımın ağınız üzerinden yayılmasını önlemek için WMI hizmetini (ortamınızda mümkünse) devre dışı bırakın.
Herkes için ipuçları:
- Verilerinizi yedekleyin.
- Fidyeyi ödemeyin.