26 ve 27 Kasım’da San Francisco’da sabah evlerinden çıkanları ilginç bir şey bekliyordu. San Francisco Belediye Demiryolları’nı garip bir şekilde para ödemeden kullanabiliyorlardı. İki gün boyunca hiçbir yolcu ücret ödemedi. Çünkü Belediye Demiryolları’na fidye yazılımı bulaştığı için sistem bilet satamıyordu.
Bazı haber kaynaklarına göre bu sorun birkaç gün öncesinden başlamıştı, söylenene göre Şükran Günü’nden hemen önce bilet cihazlarında “You Hacked” yazdığı söyleniyor – ki bu da klasik gramer hatalı bir fidye yazılımı bildirimi. Görünene göre HDDCryptor‘un bir versiyonu olan Mamba, San Francisco Belediye Ulaşımı (SFMTA)’nın 2,000’den fazla bilgisayarını kullanım dışı bıraktı.
Mamba (Ve HDDLocker, ki yazımız boyunca ikisini bir olarak düşünün), sabir sürücüyü şifreleyen ve Master Boot Record (MBR) üzerinde değişiklikler yaparak bilgisayarın işletim sistemini yüklemesini engelleyerek, kurbana mesaj göstermesini sağlayan bir yazılımdır.
Mamba’nın geliştiricileri, bu Trojan için açık kaynak kod kullanarak diğer şeylerin yanında güçlü bir şifreleme algoritmasına sahip olmasına sebep oldu. Yani, Mamba fidye yazılımından kurtulmanın fidye ödemek dışında bilinen bir yolu daha var.
Mamba’nın oluşturucuları SFMTA’nın kendileri ile cryptom27@yandex.com adresi aracılığıyla irtibata geçmelerini istedi. San Francisco Examiner‘dan bir gazeteci bu mail adresini kullanarak suçlularla irtibata geçti. Suçlu ya da suçlular kendini “Andy Saoli” olarak tanıttı. Andy’nin dediğine göre, bu saldırı hedeflenmiş bir saldırı değildi. Sisteme bu fidye yazılımı bulaşmasının sebebi, yöneticilerden birinin zararlı yazılım bulaşmış torrent dosyası indirmesi sebep oldu.
Andy’nin talebine göre göre SFMTA’nın bilgisayarlarını tekrar kullanabilmeleri için 100 bitcoin ödemesi (yaklaşık 265 bin tl) ödemeliydi. Ama görünen o ki SFMTA problemle fidye ödemeden başa çıkmayı başardı; sonraki Pazar günü bilet makineleri tekrar çalışıyordu.
Kaspersky Lab’ın zararlı yazılım araştırmacıları bu olayın arkasındaki aktörlerin peşinde. Anlaşılan Mamba şirketleri ve organizasyonları tehdit etmesi için oluşturulmuş bir fidye yazılımıydı: dolayısıyla SFMTA, Mamba’nın ilk başarısı değil. Ayrıca böyle büyük bir organizasyon için 100 bitcoin aslında suçlulara göre çok düşük bir rakam. Genellikle bundan çok daha fazlasını talep ediyorlar.
Kısaca Mamba çok tatsız bir tehdit. Peki siz kendinizi ve şirketinizi buna ve benzerlerine karşı korumak için ne yapmalısınız?
https://twitter.com/KasperskyTR/status/804000117183365120
1. SFMTA sistemi hızlıca toparlayabildi, çünkü güncel yedekleri vardı. İyi ki yedekleri ağ üzerinde değildi, çünkü yedekleri de şifrelenirdi.
Buradan almamız gereken ders: SFMTA gibi olun ve düzenli şekilde verilerinizi yedekleyin. Yedeklerinizi mümkünse hem bulut sisteminde hem de harici disklerde saklayın, bilgisayarınızda ya da aynı ağ üzerinde saklamanız önerilmez.
2. SFMTA’dan da zeki davranın. Mamba ve diğer zararlı yazılımların bulaşmasından kaçının. Güvenilir bir güvenlik çözümü kullanın. Kaspersky Internet Security Mamba’yı (ve kendisi gibi olan HDDCryptor dahil bir çoğunu) HEUR:Trojan.Win32.Generic adıyla tanır ve bilgisayarınızdan hiçbir şeyinizi şifrelemesine izin vermez.