Ana içeriğe atlayın

CL0P Fidye Yazılımı: Nedir ve nasıl çalışır?

Cl0p fidye yazılımı saldırısı şifrelenmiş bilgileri çalıyor

Son yıllarda cl0p fidye yazılımı büyük bir siber güvenlik tehdidi haline geldi ve dünya çapında çok sayıda kuruluş ve sektör için önemli ölçüde zararlara neden oldu. Cl0p virüs saldırıları genellikle diğer fidye yazılımı saldırılarına benzer şekilde işlese de, bazı belirgin farklılıklar vardır.

Peki cl0p fidye yazılımı tam olarak nedir ve bu saldırılar nasıl işliyor? Ve belki de daha önemlisi, kuruluşlar önemli finansal sonuçları olabilecek bu saldırıların kurbanı olma olasılığını en aza indirmek için ne yapabilirler?

CL0P Fidye Yazılımının Kısa Tarihçesi

Cl0p -bazen sıfır rakamıyla cl0p olarak yazılır- bir tür fidye yazılımı veya şantajcı kötü amaçlı yazılımdır. CryptoMix ile tam olarak aynı olmasa da, cl0p fidye yazılımının kendisinden önce gelen bu kötü amaçlı yazılımı model aldığına inanılıyor. Ancak şimdi, bu truva atı birkaç değişim geçirdi ve yeni sürümler hızla öncekilerin yerini alıyor.

Cl0p, güvenlik araştırmacıları tarafından Şubat 2019'da büyük bir hedefli kimlik avı saldırısının ardından keşfedildi. Kurbanların cihazlarındaki dosyaları bozması ve parasal ödemeleri gasp etmesi nedeniyle her tür işletme ve kuruluş için büyük bir siber güvenlik tehdidiydi ve öyle olmaya devam ediyor. cl0p fidye yazılımı grubunun belirli kötü amaçlı yazılımlarını kullanarak küresel enerji holdinglerinden, birkaç büyük üniversiteden, BBC'den, British Airways'ten ve çeşitli devlet kurumlarından para sızdırdığına inanılıyor.

2020 yılında cl0p fidye yazılımı grubu, Kiteworks (eski adıyla Accellion) özel içerik ağındaki güvenlik açıklarından faydalanarak platformun müşterilerini hedef alan ve ağlarına sızan bir saldırı gerçekleştirdi, ancak bu saldırıda clop kötü amaçlı yazılımının kendisi kullanılmadı. Aynı zamanda, cl0p truva atının yaratıcıları, bir ilaç şirketinden çalınan verileri büyük ölçüde yıkıcı bir saldırıyla sızdırarak çifte şantaj planı başlattı.

Bunu 2021 yılında çeşitli işletmelere BT yönetimi sunan bir yazılım şirketi olan SolarWinds'e ve Singapur merkezli bir denizcilik hizmetleri sağlayıcısı olan Swire Pacific Offshore'a yapılan saldırılar izledi.

2023 yılında Clop'un faaliyetleri önceki yıllara kıyasla artış gösterdi. Ocak ayından Haziran 2023'e kadar, truva atı çeşitli sektörlerdeki kurbanlara saldırmak için kullanıldı; iş hizmetleri başı çekerken, onu yazılım ve finans sektörleri izledi. Kurbanların çoğu Kuzey Amerika ve Avrupa'daydı ve ABD önemli bir farkla en fazla saldırıya maruz kalan ülke oldu.

Saldırının ölçeği önemliydi; 2.000'den fazla kuruluş olay bildirirken, verileri sızdırılan ve çoğunluğu ABD'de bulunan 62 milyondan fazla kişi bundan etkilendi.

Cl0p grubu tarafından MOVEit dosya aktarım yazılımı açığı (CVE-2023-34362) üzerinden gerçekleştirilen fidye yazılım saldırıları serisi zirveye ulaştı: saldırganlar yüzlerce şirkete sızdıklarını iddia etti ve 14 Haziran'a kadar ültimatom verdi. Sıfırıncı gün, çeşitli gizli bilgiler de dahil olmak üzere kuruluşların verilerinin toplu olarak indirilmesine izin verdi. Amerikan kolluk kuvvetleri Cl0p ile ilgili bilgi karşılığında 10 milyon dolar ödül vermeye karar verdi.

Cl0p nedir?

Peki, cl0p nedir? Cl0p fidye yazılımı analizi, CryptoMix fidye yazılımının bir varyasyonu olduğunu göstermektedir. Temel aldığı kötü amaçlı yazılım gibi, cl0p virüsü de hedeflenen cihaza bulaşır. Ancak, bu durumda, fidye yazılımı .cl0p uzantılı tüm dosyaları yeniden adlandırır ve şifreleyerek kullanılamaz hale getirir.

Saldırılarını etkili bir şekilde gerçekleştirmek için cl0p fidye yazılımı, yürütülebilir dosyaların Win32 PE (Taşınabilir Yürütülebilir) biçimine uygundur. Daha da önemlisi, araştırmacılar cl0p virüsünün meşru bir görünüm kazandıran ve kötü amaçlı yazılımın güvenlik yazılımları tarafından tespit edilmekten kaçınmasına yardımcı olan doğrulanmış imzalara sahip yürütülebilir dosyalar keşfetti. Cl0p daha sonra dosyaları RS4 akış şifresiyle şifreler ve RC4 anahtarlarını şifrelemek için RSA 1024 kullanır. Bu tür bir fidye yazılımı bulaşması sırasında resimler, videolar, müzik ve belgeler dahil olmak üzere cihazdaki tüm dosyalar risk altındadır.

Dosyaları şifreledikten sonra, cl0p virüsü saldırgandan kurbana bir fidye verir. Bu fidye ödenmezse, saldırgan bu dosyalardaki verileri sızdırmakla tehdit eder. Bu, kurbanın dosyalarını oluşturma ve verileri sızdırmakla tehdit etme şeklindeki çift katmanlı taktik nedeniyle "çifte şantaj" olarak bilinir. Kurbanlardan genellikle fidyeyi Bitcoin veya başka bir kripto para birimiyle ödemeleri istenir.

Cl0p fidye yazılımının arkasında kim var?

Peki cl0p fidye yazılımı kimdir? Cl0p fidye yazılımının, öncelikle finansal çıkar amaçlı Rusça dilinde hizmet veren bir fidye yazılımı siber suç grubu tarafından geliştirildiğine inanılıyor. Grup genellikle TA505 olarak bilinir, ancak bu genellikle FIN11 adı ile değişimli olarak kullanılır. Ancak, bunların aynı grup olup olmadığı veya FIN11'in TA505'in bir alt kümesi olup olmadığı tam olarak açık değildir.

Hangi isimle anılırlarsa anılsınlar, bu cl0p fidye yazılımı çetesi ürününü Hizmet Olarak Fidye Yazılımı modeliyle çalıştırmaktadır. Bu nedenle, cl0p virüsü karanlık ağda satışa sunulmuştur ve teknik olarak fidye yazılımı için ödeme yapmak isteyen herhangi bir siber suçlu tarafından kullanılabilir.

Cl0p fidye yazılımı: Nasıl Çalışıyor?

Cl0p fidye yazılımı grubu saldırılarını esasen çok adımlı bir süreç olarak yürütür. Bunlar:

  1. Saldırganlar, çeşitli yöntemler kullanarak hedeflenen cihaza erişim elde etmek için kötü amaçlı yazılımı kullanır.
  2. Daha sonra cihaz üzerinde manuel olarak keşif yapar ve istedikleri verileri çalarlar.
  3. Bu noktada, hedeflenen cihazdaki dosyaları uzantılarını değiştirerek kilitlemek ve kullanılamaz hale getirmek için şifreleyiciyi başlatırlar. Daha yakın zamanda, dosya aktarım yazılımı MOVEit üzerinden yapılan 2023 saldırılarında olduğu gibi, dosyalar şifrelenmeden veriler çalınmıştır.
  4. Kurban şifrelenmiş dosyalardan birini açmaya çalıştığında, ödemenin nasıl yapılacağına dair talimatlar içeren bir fidye notu alır.
  5. Saldırgan, fidye ödenmediği takdirde kurbanın cihazından çalınan verileri sızdırmakla tehdit ederek "çifte şantaj" yöntemini kullanır
  6. Fidye ödenirse, kurban cihazındaki dosyaları geri yükleyen bir şifre çözme anahtarı alır.

Saldırganlar cl0p fidye yazılımını hedeflenen cihazlara ulaştırmak için çeşitli yöntemler kullanmaktadır. Aşağıdakiler bunlara dâhildir:

  • Kimlik avı (sosyal mühendislik teknikleri kullanarak)
  • Yazılım açıklarından yararlanma
  • Virüslü e-posta ekleri ve bağlantıları
  • Virüslü web siteleri
  • Harici uzak hizmetlerin tehlikeye atılması

Cl0p truva atını hedeflenen cihaza ulaştırmak için hangi yöntemi seçerlerse seçsinler, sonuçta ortaya çıkan saldırı temelde aynı şekilde çalışır. Amaç her zaman kurbandan bir fidye ödemesi almaktır. Ancak birçok durumda saldırgan ödemeyi alır ve artık yanıt vermez olur. Bu durumlarda, kurban şifre çözme anahtarını alamaz ve dosyalarına yeniden erişim sağlayamaz.

CL0P Fidye Yazılımını Önleme

Tüm cihaz kullanıcılarının cl0p bulaşmasını önlemek için temel bilgisayar güvenliği önlemlerini uygulamaları çok önemlidir. Genel olarak, bunlar her türlü siber saldırıyı önlemek için geçerli olan ilkelerle aynıdır, örneğin:

  • Çalışanların en son tehditler ve önleyici tedbirler konusunda güncel kalmasını sağlamak için zararlı yazılım tehditlerini kurumsal güvenlik farkındalığı eğitimine dahil edin - Kaspersky Automated Security Awareness Platform yararlı bir araç olabilir.
  • Erişim kontrollerinin sınırlandırılması da aralarında olmak üzere şirket verilerini korumak için önlemler alın.
  • Uzak masaüstü hizmetlerine genel ağları kullanarak erişmeyin. Bu gerekli ise bu hizmetler için güçlü parolalar kullanın.
  • Verileri her zaman yedekleyin ve bulut depolama veya arka ofislerdeki harici sürücüler gibi başka bir konumda saklayın.
  • En son güvenlik yamalarının yüklendiğinden emin olmak için işletim sistemleri ve sunucu yazılımları dahil olmak üzere tüm yazılım ve uygulamaları güncel tutun; çalışanların kurumsal ağlara uzaktan erişmesine olanak tanıyan ticari VPN çözümleri için yamaları hemen yüklemek özellikle önemlidir; mesai saatleri dışında planlanan otomatik güncellemeler ve yüklemeler burada kullanışlı olabilir.
  • En son tehdit istihbarat raporlarından haberdar olun.
  • Saldırıları erken aşamalarda tespit etmek ve durdurmak için Kaspersky Endpoint Detection veya Kaspersky Managed Detection and Response Service gibi erken tehdit tespitine yönelik yazılım çözümlerini kullanın.
  • Güvenilir uç nokta güvenlik çözümleri kullanın - Kaspersky Endpoint Security for Business, açık önleme, yapay zeka ve uzman tehdit istihbaratı kullanarak davranış algılama, saldırı yüzeylerini azaltma ve kötü amaçlı eylemleri geri alabilen bir düzeltme motoru içerir.

CL0P Fidye Yazılımı Virüsü ile Başa Çıkma

Bir cihaza cl0p virüsü bulaştıktan sonra, dosyalarına yeniden erişim sağlamak için ne yazık ki yapılabilecek çok az şey vardır. Her türlü fidye yazılımı saldırısında olduğu gibi, genel tavsiye istenen fidyeyi ödememektir. Bunun nedeni, saldırganların fidye ödemesini aldıktan sonra genellikle şifre çözme anahtarını sağlamamasıdır. Bunu yapsalar bile, saldırının başarısı onlara diğer masum kurbanlara yönelik bu saldırıları sürdürmek için güven ve cesaret verir.

Fidyeyi ödemek yerine, saldırıyı bildirmek ve bir soruşturma başlatmak için yetkililerle iletişime geçmek genellikle en iyisidir. Cihazı taramak ve CL0P fidye yazılımını kaldırmak için yaygın olarak bulunan birçok yazılımdan birini kullanmak da mümkündür. Ancak bu yazılımlar saldırı sırasında şifrelenmiş dosyaları kurtarmak için kullanılamaz. Bu nedenle, düzenli yedeklemeler oluşturmak ve bunları harici bir sürücü veya Bulut gibi ayrı bir konumda saklamak önemlidir, böylece bir saldırı durumunda hala kullanılabilir durumda olurlar.

Bilgisayar güvenliğiniz söz konusu olduğunda dikkatli olmak her zaman çok önemlidir. İnternette gezinirken ve yazılım indirirken, yüklerken ve güncellerken dikkatli olmak önemlidir.

Cl0p Tehdidi

Cl0p fidye yazılımı, diğer virüs ve kötü amaçlı yazılım türleri gibi, artık büyük ölçüde dijital olan bir toplumda süreklilik arz eden bir siber güvenlik tehdididir. Cl0p virüsü, şantaj amaçlı kötü amaçlı yazılımların çokluğu içinde çok özel bir tehdittir, ancak işletmeler ve kuruluşlar için özellikle endişe vericidir. Kurbanları için ciddi sonuçları olsa da, cl0p saldırı riskini en aza indirmek veya bir saldırı durumunda etkilerini hafifletmek için uygulanabilecek bazı önleyici tedbirler ve koruma önlemleri vardır.

İlgili makaleler:

İlgili ürün ve hizmetler:

CL0P Fidye Yazılımı: Nedir ve nasıl çalışır?

Nasıl çalıştığını ve saldırıların nasıl önleneceğini öğrenerek cl0p fidye yazılımı tehdidini en aza indirin. Kaspersky Kaynak Merkezi'nde daha fazla bilgi edinin.
Kaspersky logo

İlgili makaleler