Bu saldırı, iki ay içinde dünyanın dört bir yanındaki şirketleri etkilemiş olan ikinci büyük fidye saldırısı olduğu için rahatsız edici. Mayıs ayında, İngiltere'deki Ulusal Sağlık Servisi NHS'nin WannaCry adlı kötü amaçlı yazılım tarafından enfekte olduğunu hatırlayabilirsiniz. Bu program, NHS ve dünya çapında sayısız diğer organizasyonları etkiledi. WannaCry, NHS ile ilgili sızan dokümanlar, Nisan ayında Shadow Brokers olarak bilinen bilgisayar korsanları tarafından çevrimiçi olarak yayınlandığında ilk olarak kamuoyuna açıklandı.
WannaCrypt olarak da adlandırılan WannaCry yazılımı, dünya çapında 150'den fazla ülkede bulunan 230.000 bilgisayardan fazlasını etkiledi. NHS'ye ek olarak, Almanya'da bir telefon şirketi olan Telefonica ve devlet demiryolları da saldırıya uğradı.
WannaCry'ye benzer şekilde, “Petya”, Microsoft Windows kullanan ağlarda hızla yayılır. Soru şu ki, bu nedir? Ayrıca neden olduğunu ve nasıl durulacağını bilmek istiyoruz.
Ransomware Nedir?
Anlamanız gereken ilk şey, fidye yazılımının tanımıdır. Temel olarak, fidye yazılımı, bir bilgisayara veya verilere erişiminizi engellemek için çalışan herhangi bir kötü amaçlı yazılım türüdür. Ardından, o bilgisayara veya üzerindeki verilere erişmeye çalıştığınızda, bir fidye ödemediğiniz sürece ona ulaşamazsınız. Oldukça kötü ve düpedüz demek!
Ransomware Nasıl Çalışır?
Fidye yazılımının nasıl çalıştığını anlamak da önemlidir. Bir bilgisayar fidye yazılımı ile enfekte olduğunda, şifrelenir. Bu, bilgisayarınızdaki belgelerin daha sonra kilitlendiğini ve bir fidye ödemeden açamayacağınız anlamına gelir. Daha da karmaşık hale getirmek için, fidye, dosyaların kilidini açmak için kullanabileceğiniz bir dijital anahtar için nakit olarak değil, Bitcoin'de ödenmelidir. Dosyalarınızın bir yedeğiniz yoksa iki seçeneğiniz vardır: genellikle birkaç yüz dolardan birkaç bin dolara kadar olan fidyeyi ödeyebilir veya tüm dosyalarınıza erişiminizi kaybedersiniz.
“Petya” Ransomware Nasıl Çalışır?
“Petya” fidye yazılımı en çok ransomware gibi çalışır. Bir bilgisayarı devraldı ve ardından Bitcoin'de 300 dolar istiyor. Bu, tek bir bilgisayar virüs bulaştığında ağda veya kuruluşta hızla yayılan kötü amaçlı bir yazılımdır. Bu özel yazılım, Microsoft Windows'un bir parçası olan EternalBlue güvenlik açığını kullanır. Microsoft, güvenlik açığı için bir yama yayınladıysa da, herkes onu yüklemedi. Fidye yazılımı, bilgisayarda parola yoksa erişilebilen Windows yönetim araçları aracılığıyla da potansiyel olarak yayılır. Kötü amaçlı yazılım bir şekilde alamıyorsa, otomatik olarak bir diğerini dener, bu da bu kuruluşlar arasında bu kadar hızlı yayılır.
Böylece, siber güvenlik uzmanlarına göre “Petya” WannaCry'den çok daha kolay yayılır.
“Petya'dan” Kendinizi Koruyacak Bir Yol Var mı?
Muhtemelen bu noktada kendinizi “Petya” dan korumak için herhangi bir yol var mı diye merak ediyorsunuz. Çoğu büyük antivirüs şirketi, yazılımlarını sadece “Petya” kötü amaçlı yazılım bulaşmasına karşı koruma sağlamak için değil, aynı zamanda korumaya yardımcı olmak için güncellediklerini iddia etmişlerdir. Örneğin, Symantec yazılımı “Petya” dan koruma sağlıyor ve Kaspersky, müşterilerin yazılımlarını kendilerini zararlı yazılımlardan korumalarına yardımcı olmak için tüm yazılımlarını güncelledi. Bunun da ötesinde, Windows'u güncel tutarak kendinizi koruyabilirsiniz. Başka bir şey yapmazsanız, en azından Mart ayında yayımlanan ve bu EternalBlue güvenlik açığına karşı savunan kritik düzeltme ekini yükleyin. Bu, enfekte olmak için en önemli yollardan birini durdurur ve aynı zamanda gelecekteki saldırılara karşı da korur.
“Petya” kötü amaçlı yazılım salgını için bir başka savunma hattı da mevcut ve sadece yakın zamanda keşfedildi. Kötü amaçlı yazılım, perfc.dat adlı salt okunur bir dosya için C: \ sürücüsünü denetler. Kötü amaçlı yazılım bu dosyayı bulursa, şifrelemeyi çalıştırmaz. Ancak, bu dosyaya sahip olsanız bile, aslında kötü amaçlı yazılım bulaşmasını önlemez. Kullanıcı bilgisayarlarında fark etmese bile kötü amaçlı yazılımları ağ üzerindeki diğer bilgisayarlara yayabilir.
Bu Kötü Amaçlı Yazılım Neden Petya?
Bu kötü amaçlı yazılımın neden “Petya” olarak adlandırıldığını da merak ediyor olabilirsiniz. Aslında, teknik olarak “Petya” olarak adlandırılmadı. Bunun yerine, “Petya” olarak adlandırılan eski bir fidye yazılımı parçasıyla çok fazla kodu paylaşıyor gibi görünüyor. Ancak ilk patlamayı takiben güvenlik uzmanları, bu iki fidye savaşının ilk düşünceye benzemediğini belirttiler. Bu nedenle, Kaspersky Lab'daki araştırmacılar kötü amaçlı yazılımlara “NotPetya”, yani (orijinal)! ”Ve“ Petna ”ve“ Pneytna ”gibi diğer isimleri atıfta bulunmaya başladılar. Buna ek olarak, diğer araştırmacılar programa“ Goldeneye ”dahil diğer isimleri de deniyordu. Romanya'dan gelen Bitdefender buna başladı. Ancak, “Petya” zaten sıkışmıştı.
“Petya” Nerede Başladı?
“Petya” nın nerede başladığını merak ediyor musunuz? Belli bir muhasebe programına yerleşik olan yazılımdan bir güncelleme mekanizması ile başlamış gibi görünüyor. Bu şirketler Ukrayna hükümeti ile çalışıyor ve hükümetin bu özel programı kullanması için gerekli. Bu yüzden Ukrayna'da bu kadar çok şirket bundan etkilendi. Kuruluşlar bankalar, hükümet, Kiev metro sistemi, büyük Kiev havalimanı ve devlet güç araçlarını içerir.
Çernobil'deki radyasyon seviyelerini izleyen sistem de ransomware tarafından etkilendi ve sonuçta çevrimdışı olarak alındı. Bu, çalışanları, dışlama bölgesinde radyasyonu ölçmek için elle kullanılan cihazları kullanmaları için zorladı. Bunun da ötesinde, kötü amaçlı yazılımlarla dolu olan e-posta eklerini içeren bir kampanya tarafından oluşturulan ikinci bir kötü amaçlı yazılım saldırısı dalgası vardı.
“Petya” Enfeksiyonu Ne Kadar Yayıldı?
“Petya” fidye yazılımı geniş ve geniş bir alana yayıldı ve hem ABD hem de Avrupa'daki şirketlerin işlerini bozdu. Örneğin, ABD'de bir reklam şirketi olan WPP, Fransa'da bir inşaat malzemeleri şirketi olan Saint-Gobain ve hem Rusya'da hem de Rosneft ve Evraz, petrol ve çelik firmaları etkilendi. Bir Pittsburgh şirketi olan Heritage Valley Sağlık Sistemleri de “Petya” kötü amaçlı yazılımdan etkilendi. Bu şirket Pittsburgh bölgesi boyunca hastaneler ve bakım tesisleri işletmektedir.
Bununla birlikte, WannaCry'den farklı olarak, “Petya” kötü amaçlı yazılım, eriştiği ağlar aracılığıyla hızlı bir şekilde yayılmaya çalışır, ancak kendini ağın dışına yaymaya çalışmaz. Bu gerçek sadece bu kötü amaçlı yazılımın potansiyel mağdurlarına yardım edebilirdi, çünkü bunun yayılmasını sınırlandırdı. Yani, kaç yeni enfeksiyonun görüldüğü bir düşüş var gibi görünüyor.
“Petya?” Gönderen Siber Suçlular İçin Motivasyon Nedir?
“Petya” ilk olarak keşfedildiğinde, kötü amaçlı yazılım salgınının, siber suçluların sızan çevrimiçi siber silahlardan yararlanma girişimi olduğu görülüyor. Bununla birlikte, güvenlik uzmanları “Petya” kötü amaçlı yazılım salgınından biraz daha yakından baktıklarında, ödeme yönteminin toplanması gibi bazı mekanizmaların oldukça amatör olduğunu söylüyorlar, bu yüzden ciddi siber suçluların arkasında olduğuna inanmıyorlar.
İlk olarak, “Petya” kötü amaçlı yazılım ile gelen fidye notu, her kötü amaçlı yazılım kurbanı için tam olarak aynı ödeme adresini içerir. Bu garip çünkü profesyoneller kurbanlarının her biri için özel bir adres oluştururlar. İkincisi, program kurbanlarının saldırganlarla doğrudan bir e-posta adresi aracılığıyla iletişim kurmasını ister. Bu, e-posta adresinin “Petya” kurbanları için kullanıldığı tespit edildiğinde derhal askıya alınmıştır. Bu, bir kişi 300 dolar fidye ödese bile, saldırganlarla iletişim kuramaz ve ayrıca bilgisayarın veya dosyaların kilidini açmak için şifre çözme anahtarına erişemez.
O zaman Saldırganlar Kimdir?
Siber güvenlik uzmanları profesyonel bir siber suçlunun “Petya” kötü amaçlı yazılımın arkasında olduğuna inanmıyor, kim bu? Kimse bu noktada bilmiyor, ancak bunu serbest bırakan kişi ya da kişiler kötü amaçlı yazılımın basit fidye yazılımı gibi görünmesini istediler, fakat bunun yerine, tipik fidye yazılımlarından çok daha yıkıcı. Bir güvenlik araştırmacısı olan Nicolas Weaver, “Petya” nın kötü niyetli, yıkıcı ve kasıtlı bir saldırı olduğuna inanıyor. Grugq'a giden bir başka araştırmacı, “Petya” nın, para kazanmak için bir suç örgütünün parçası olduğuna inanıyor, ancak bu “Petya” aynı şeyi yapmıyor. Her ikisi de, kötü amaçlı yazılımın hızla yayılmaya ve çok fazla hasara neden olacak şekilde tasarlandığını kabul ediyor.
Bahsettiğimiz gibi, Ukrayna “Petya” tarafından oldukça sert vuruldu ve ülke parmaklarını Rusya'ya gösterdi. Ukrayna'nın bir dizi önceki siber saldırı için de Rusya'yı suçladığını düşünürsek bu şaşırtıcı değil. Bu siber saldırılardan biri 2015 yılında meydana geldi ve Ukrayna elektrik şebekesine hedef alındı. Nihayetinde Batı Ukrayna'nın herhangi bir gücü olmaksızın geçici olarak parçalara ayrıldı. Ancak Rusya, Ukrayna’da siber saldırılara karışmayı reddetti.
Ransomware kurbanı olduğunuza inanıyorsanız ne yapmalısınız?
Ransomware saldırısının kurbanı olabileceğini düşünüyor musun? Bu özel saldırı bir bilgisayara bulaşır ve bilgisayar kendiliğinden yeniden başlatılmadan önce yaklaşık bir saat bekler. Bu olursa, hemen bilgisayarı kapatmaya çalışın. Bu, bilgisayardaki dosyaların şifrelenmesini önleyebilir. Bu noktada, dosyaları makineden çıkarmayı deneyebilirsiniz.
Bilgisayar yeniden başlatmayı tamamlarsa ve bir fidye görünmezse, ödemeyin. Unutmayın, mağdurlardan bilgi toplamak ve anahtarı göndermek için kullanılan e-posta adresi kapatılmıştır. Bunun yerine, bilgisayarı İnternet'ten ve ağdan ayırın, sabit sürücüyü yeniden biçimlendirin ve ardından dosyaları yeniden yüklemek için bir yedek kullanın. Dosyalarınızı her zaman düzenli olarak yedeklediğinizden ve antivirüs yazılımınızı her zaman güncel tuttuğunuzdan emin olun.