ExPetr ciddi işletmeleri hedef alıyor

Haziran 30, 2017

Şu an yeni bir kripto zararlı yazılımın hastalık gibi yayılmasına şahit oluyoruz. Uzmanlarımız bu yazılıma ExPetr adını verdi. Birçok yerde Petya, PerWrap ve diğer başka isimlerle anılıyor. Bu fidye yazılımının temel farklılığı, suçlular bu sefer kurbanlarını önemle seçtiler. Kurbanların çoğu bireysel kullanıcılar değil, büyük iş yerleri.

İşin kötüsü bu suçluların hedefinde bu sefer birçok kritik altyapı tesisi de bulunuyor. Örneğin, Kiev’deki Boryspil Havaalanı’ndan birçok uçuşun bu zararlı yazılım sebebiyle geciktiği bildirildi. Hatta daha kötüsü – Çernobil Nükleer Santrali’nin radyasyon takip sistemi de aynı sebeple geçici olarak kullanılamıyor.

Neden kritik altyapı sistemleri şifreleme yazılımları tarafından saldırıya uğruyor? Çünkü ya direkt olarak şirketin ağına bağlılar ya da direkt olarak internete bağlılar.

Ne yapmalı

WannaCry‘da olduğu gibi, iki belirgin sorun mevcut: Zararlı yazılımın bir şirkete bulaşması, daha sonra ağ içerisinde yayılması. Bu iki sorunu ayrı ayrı ele almamız daha doğru olur.

Şirkete bulaşması

Uzmanlarımız zararlı yazılımların şirkete bulaşabileceği farklı yolları işaret ediyorlar. Bazı durumlarda, zararlı internet sitelerini kullanarak kullanıcılara bulaşıyor. Siteye giden kullanıcılar sistem güncellemesi veya başka şekillerde gördüğü zararlı yazılımı bilgisayarlarına yüklüyorlar. Başka durumlarda, zararlı yazılım bilgisayara üçüncü parti yazılım güncellemeleri olarak da yüklenebiliyor, Ukrayna menşeili hesap yönetim yazılımı M.E.Doc. bunun harika bir örneği. Başka bir deyişle, saldırıların geleceği tek bir noktadan çok daha fazlası var.

  • Sisteminizi zararlı yazılımlardan korumak için size bazı önerilerimiz var:
  • Çalışanlarınıza şüpheli mailleri açmamalarını, şüpheli ekleri indirmemeleri ve şüpheli linkleri tıklamamaları konusunda uyarın. Kulağa komik gelebilir ancak bunu hala yapanlar var.
  • İnternete bağlı tüm sistemlerinizin davranışsal analiz özelliği bulunan güncel bir güvenlik çözümü ile korunduğundan emin olun
  • Güvenlik çözümünüzün önemli bileşenlerinin aktif olduğundan emin olun. Kaspersky Lab ürünleri kullananlar için, bulut tabanlı tehdit istihbarat ağı olan Kaspersky Security Network’ün ve sezgisel analiz motoru olan System Watcher (Sistem İzleyici) modülünün açık olduğuna emin olun
  • Güvenlik çözümünüzü düzenli olarak güncelleyin
  • Güvenlik çözümünüzü tek bir panelden yönetin, çalışanlarınızın ayarları değiştirmelerine izin vermeyin

Ek bir koruma olarak (özellikle Kaspersky Lab ürünleri kullanmıyorsanız), ücretsiz fidye yazılımına karşı koruma aracımız olan Kaspersky Anti-Ransomware Tool’u kullanabilirsiniz. Bu araç aynı zamanda diğer güvenlik çözümleri ile sorunsuz şekilde çalışır.

Ağ içerisindeki çoğalma

ExPetr bir defa sisteme girdi mi, yerel ağ içerisinde dağılma konusunda WannaCry’dan çok daha başarılıdır. Çünkü bu yazılımı oluşturanlar, bu yazılımın yeteneklerini ona göre geliştirmişler. İlk olarak, en az iki tane exploit kullanıyor: modifiye edilmiş EternalBlue (Ki bu WannaCry’da da kullanılmıştı) ve EternalRomance (TCP port 445 expoliti). İki, yönetici haklarına sahip bir hesabı hacklediğinde, kendini Windows Management Instrumentation teknolojisiyle veya PsExec uzaktan kontrol aracıyla dağıtıyor.

Zararlı yazılımın sisteminizde yayılmasını engellemek için (özellikle kritik altyapılarda), yapmanız gerekenler şunlardır;

  • Ayrı ağ segmentinde aktif internet bağlantısı gerektiren sistemleri izole edin
  • Kalan bağlantıları kısıtlı bağlantılar içeren alt ağlara veya sanal alt ağlara bölün, yalnızca teknoloji işlemleri için onu gerektiren sistemleri bağlayın
  • WannaCry sonrasında (Özellikle sanayi şirketleri için), Kaspersky Lab ICS CERT uzmanlarının tavsiyelerini inceleyin
  • Kritik Windows güvenlik güncellemelerini zamanında yapın. Özellikle MS17-010 güncellemesi EternalBlue ve EternalRomance açıklarını kapatıyor
  • Yedekleme sunucularını ağın geri kalanından ayırın ve yedekleme sunucularındaki uzak sürücülerle olan bağlantıyı kullanarak çalışanlarınızın erişimini mümkün olduğunca engelleyin
  • Kaspersky Endpoint Security for Business’ın bileşeni olan Application Control (Uygulama Kontrol) veya Windows AppLocker sistemi kullanarak perfc.dat dosyasının çalışmasını yasaklayın
  • Birden fazla gömülü sistem kullanan altyapı sistemleri için, Kaspersky Embedded Security Systems gibi uzmanlaşmış güvenlik çözümleri kullanın
    Mümkünse Default Deny (Otomatik Red) modunu ek koruma sistemi olarak kullanın. Kaspersky Endpoint Security for Business’ın Application Control (Uygulama Kontrol) bileşeniyle yapabilirsiniz

Her zamanki gibi, otomatik yazılım güncellemelerini (işletim sistemi güncellemeleri dahil), fidye yazılımı korumalı ve işletim sisteminizdeki tüm bileşenleri kontrol eden bir güvenlik yazılımı kullanmanızı öneririz.

Fidye ödemek veya ödememek

Son olarak, daima “fidye ödemeyin” dememize rağmen bazı firmaların başka çaresi olmadığını düşünmelerini çok iyi anlıyoruz. Ancak dosyalarınız ExPetr tarafından şifrelendiyse, hiçbir şekilde fidye ödememelisiniz.

Uzmanlarımız bu fidye virüsünün yükleme ID’sini kaydetmediğini keşfetti. Bu ID olmadan, dosya çözüm için gerekli anahtar oluşturulamaz. Kısacası kurbanlar fidye ödese dahi şifre çözüm anahtarı alamayacaklar.