Hedefli fidye yazılım WastedLocker analizi

Temmuz 2020’de internetteki teknoloji siteleri, Garmin’e yapılan saldırıları anlatan makalelerle dolup taştı. Bulut ortamı ile senkronize etme ve pilotların kullandığı cihazlar gibi çeşitli Garmin hizmetleri devre dışı bırakıldı. Konu hakkındaki doğru bilginin kısıtlı olması nedeniyle insanlar çılgınca teoriler üretmeye başladı. Biz ise durumu değerlendirmeden önce somut verileri beklemeye karar verdik.

Garmin, resmi açıklamasında çevrimiçi hizmetlerini engelleyen ve bazı dahili sistemlerini şifreleyen bir siber saldırıya maruz kaldığını doğruladı. Bu açıklamanın yayınlandığı sırada elimizde olan bilgiler, saldırganların WastedLocker fidye yazılımını kullandığını gösteriyor. Uzmanlarımız kötü amaçlı yazılımın detaylı teknik analizini yaptı; işte ana bulgular:

WastedLocker fidye yazılımı

WastedLocker, hedefli fidye yazılımlarına bir örnektir. Bu kötü amaçlı yazılımlar belirli şirketleri hedef almak için kullanılır. Fidye mesajı kurbana ismiyle hitap eder ve tüm şifrelenmiş dosyaların sonunda .garminwasted uzantısı yer alır.

Siber suçluların kriptografik şemaları da aynı sonucu gösteriyor. Dosyalar, fidye yazılım yaratıcılarının birlikte kullandığı AES ve RSA algoritmaları kullanılarak şifrelenmiş. Ancak, her bir bulaşma için benzersiz olarak üretmek yerine dosyaları şifrelemek için bir RSA anahtarı kullanılır. Başka bir deyişle, çoklu hedefler için fidye yazılım modifikasyonu kullanılırsa tek bir şifre olacağından veri şifre çözme programı çok amaçlı olur.

Buna ek olarak, fidye yazılımı aşağıdaki özellikleri taşır:

• Veri şifrelemenin önceliklendirilmesi. Bu özellik, siber suçlular belirli bir dosya grubunu sizden önce şifreleyebileceği anlamına gelir. Bu durum, güvenlik mekanizmalarının tamamlanmadan önce veri şifrelemesini durdurması durumunda verilecek hasarı arttırır.
• Uzaktan ağ kaynakları üzerinden dosya şifreleme desteği;
• Ayrıcalıklı kontrol ve Ayrıcalıkların yükseltilmesi için DLL ele geçirmesi kullanımı

Securelist’de yer alan WastedLocker: technical analysis yazısında bu fidye yazılım programının detaylı analizini bulabilirsiniz.

Peki Garmin ne durumda?

Şirketin güncellediği açıklamaya göre, veri senkronizasyonu yavaş ve bazı durumlarda da hâlâ sınırlı olsa bile hizmetler tekrar çalışır durumdadır. Bu anlaşılabilir, çünkü birkaç gün boyunca bulut hizmetleriyle senkronize olamayan cihazlar şirket sunucuları ile tek seferde iletişim kurduğundan sunucunun yükü artar.

Garmin, olay sırasında yetkisiz kişilerin kullanıcı verilerine erişim sağladığına dair herhangi bir kanıt bulunmadığını belirtti.

Bu tür saldırılara karşı nasıl korunulur?

Şirketlere yönelik hedefli fidye yazılım saldırıları hep vardı ve var olmaya devam edecek. Bununla birlikte bu saldırılara karşı korunmak için tavsiyelerimiz oldukça basit:

• Özellikle işletim sistemleri olmak üzere yazılımlarınız daima güncel tutun. Çoğu Truva atı zaten bilinen açıkları kullanıyor.
• Şirket sistemlerine genel erişimi engellemek için RDP kullanın (veya gerekli olması durumunda VPN kullanın);
• Çalışanları siber güvenliğin temelleri konusunda eğitin. Çoğunlukla, çalışanlar üzerinde uygulanan sosyal mühendislik, fidye yazılımı Truva atlarının kurumsal ağlara sızmasına neden olur;
• Gelişmiş fidye yazılımı karşıtı teknojileri olan son teknoloji güvenlik çözümleri kullanın. Ürünlerimiz WastedLocker fidye yazılımını tespit eder ve bunların sızmasını engeller.