Rakhni Truva Atı: Şifreleme ve madencilik

Kurumsal

Yakın zamanda fidye yazılımlarının, çevrimiçi tehdit sıralamasında birinciliği madencilere kaptırdığı hakkında bir yazı yayınlamıştık. Bu eğilimle birlikte, 2013 yılından beri izlemekte olduğumuz Truva atı fidye yazılımı Rakhni, cephanesine bir de kripto para birimi madenciliği modülü ekledi. İlginç olan; bu kötü amaçlı yazılım yükleyicisinin, cihaza göre hangi bileşenin yükleneceğini seçebiliyor olması. Araştırmacılarımız bu güncellenmiş kötü amaçlı yazılımın nasıl çalıştığını ve tehlikenin nerede yattığını çözdü.

Ürünlerimiz Rusya’da, Kazakistan’da, Ukrayna’da, Almanya’da ve Hindistan’da Rakhni’ye rastladı. Bu kötü amaçlı yazılım, genel olarak kötü amaçlı eklere sahip olan istenmeyen postalar yoluyla dağıtılıyor. Örneğin; uzmanlarımızın üzerinde çalıştığı örneklem, mali bir belge gibi görünüyordu. Bu görünüm, olayın arkasındaki siber suçluların kurumsal “müşteriler” ile ilgilendiğini gösteriyor.

DOCX ekli bir istenmeyen e-posta, bir PDF belgesi içerir. Kullanıcı düzenlemeye izin verip PDF’i açarsa sistem, bilinmeyen bir yayımcıdan yürütülebilir dosya çalıştırmak için izin ister. Kullanıcının izniyle birlikte Rakhni harekete geçer.

Karanlıktaki bir hırsız gibi

İlk başladığında, bu kötü amaçlı PDF dosyası, belge görüntüleyici olarak görünür. Kötü amaçlı yazılım, kurbana önce neden hiçbir şeyin açılmadığını açıklayan bir hata mesajı gösterir. Daha sonra, Windows Defender’ı devre dışı bırakarak sahte dijital sertifikalar yükler. Her şey yolunda gidince de virüs bulaştırdığı cihazla ne yapacağına karar verir: Dosyaları şifreleyip fidye ister veya madenci yükler.
Son olarak, kötü amaçlı program, yerel ağdaki diğer bilgisayarlara da bulaşmaya çalışır. Şirket çalışanları kendi bilgisayarlarındaki Kullanıcılar klasöründe ortak erişim sunuyorsa kötü amaçlı yazılım kendini kopyalamaya başlar.

Maden mi, şifreleme mi?

Seçim kriteri basittir: Kötü amaçlı yazılım, kurbanın bilgisayarında Bitcoin isimli bir hizmet dosyası bulursa dosyaları (Office belgeleri, PDF’ler, resimler ve yedekler dahil) şifreleyen ve üç gün içinde fidye ödemesi talep eden bir fidye yazılımı çalıştırır. Siber suçlular, fidye ücreti dahil olmak üzere diğer bütün ayrıntıları belirten bir posta göndereceklerine dair “nazik” bir söz verir.

Cihazda Bitcoin ile ilgili herhangi bir dosya yoksa ve kötü amaçlı yazılım, cihazın kripto para madenciliğini kaldırabilecek güçte olduğuna inanırsa; arka planda gizlice, Monero, Monero Original veya Dashcoin üreten bir madenci indirir.

Kurban olmayın

Rakhni’den etkilenmemek ve şirketinizi asıl zarardan korumak için özellikle bilinmeyen e-posta adreslerinden gelen mesajlara dikkat edin. Bir eki açıp açmama konusunda emin değilseniz, o eki açmayın. Ayrıca işletim sistemi uyarılarına çok dikkat edin: Bilinmeyen yayımcılardan uygulama çalıştırmayın; özellikle de bu yayımcıların isimleri popüler programların isimlerini andırıyorsa.

Kurumsal ağdaki madencilere ve şifrecilere karşı verilen savaşta, aşağıdaki önlemleri almanız sizin açınızdan oldukça faydalı olacaktır:

  • Bilgi güvenliği ekibinizi eğitin ve teknik bilgilerini düzenli olarak kontrol edin. Bu konuyla ilgili yardıma ihtiyaç duyarsanız uzmanlarımız size yardımcı olabilir.
  • Hassas verilerin yedek kopyalarını ayrı bir depolama ortamında saklayın.
  • Davranış analizi özelliği bulunan güvenilir bir güvenlik çözümü kullanın: Örneğin, Kaspersky Endpoint Security for Business.
  • Şirket ağını anormal durumlara karşı düzenli olarak inceleyin.

Kaspersky Lab’in kurumsal çözümlerini kullanmasanız bile verilerinizi fidye yazılımcılarına bırakmanız gerekmez. Özel bir çözümümüz var: Çoğu üçüncü taraf tedarikçinin güvenlik ürünlerini geliştirebilen Kaspersky Anti-Ransomware Tool. Bu ürün, en yeni davranışsal tespit teknolojilerini ve bulut mekanizmalarımızı kullanarak fidye yazılımlarını avlamaya çalışır.