Tehdit aktörleri, fidye yazılımı gibi görünen CryWiper adlı yeni bir kötü amaçlı yazılımla Rus Belediye Başkanlarının mahkemelerini ve ofislerini hedefliyor. Gerçekte, virüs bulaşmış bir sistemdeki tüm verileri kalıcı olarak yok edebilen bir silicidir.
Bu bize şunu hatırlatıyor Microsoft’un Ocak 2022 raporu “yıkıcı bir kötü amaçlı yazılımın” Ukraynalı teknoloji kuruluşlarını, devlet kurumlarını ve kar amacı gütmeyen kuruluşları hedef almak için fidye yazılımı bulaştığını taklit ettiği.
Kampanya Analizi
Siber güvenlik firması Kaspersky ve Izvestia haber servisinin araştırmacıları, yepyeni bir truva atını içeren yeni bir saldırı dalgasının nasıl ortaya çıktığına dair şaşırtıcı ayrıntıları ortaya çıkardı. Dosya değiştirme, dosyalara .CRY uzantısı ekleme ve bir README.txt dosyası ve bir fidye notu kaydetme gibi fidye yazılımı benzeri özellikler gösterir.
Not, bir bitcoin cüzdan adresi, bulaşma kimliği ve kötü amaçlı yazılım yaratıcılarının e-posta kimliğini içerir. Ancak bunlar, saldırganlar tarafından kullanılan aldatıcı önlemlerdir çünkü CryWiper fidye yazılımı değil, bir silicidir, bu nedenle araştırmacılar buna CryWiper adını vermiştir.
Araştırmacılara göre, değiştirdiği dosyalar önceki/orijinal durumlarına geri yüklenemez. Yani, yapmak bile anlamsız fidyeyi ödemeyi düşün.
Hedefleri Belirle
onların içinde bildiriKaspersky araştırmacıları, CryWiper’ın Rusya Federasyonu merkezli hedeflere ‘nokta atakları’ başlattığını, Izvestia’nın ise hedeflerin Rusya’daki belediye başkanlarının mahkemeleri ve ofisleri olduğunu kaydetti.
Bildirildiğine göre, bu silici, işletim sistemlerinin çalışması için gerekli olmayan verileri bozuyor. .dll, .exe, .msi veya .sys uzantılı dosyaları değiştirmediği gibi. Kaspersky, saldırıları son birkaç ay içinde keşfetti.
Ayrıca, C:\Windows dizininde saklanan çeşitli sistem klasörlerini etkilemekten kaçınır. Bunun nedeni, ana hedeflerinin kullanıcı belgeleri, arşivler ve veritabanları olmasıdır.
CryWiper Neden Bir Fidye Notu Bırakır?
Izvestia, bir sisteme başarılı bir şekilde bulaştıktan sonra CryWiper’ın 0,5 bitcoin ve para transferi için bir cüzdan adresi talep eden bir not bıraktığını tespit etti. Kaspersky araştırmacıları, verilerin şifresini çözmek için hedeflerinden zorla para almasına rağmen, verileri şifrelemediğini ve tamamen yok ettiğini açıkladı. Ayrıca bunun bir hata olmadığını, geliştiricinin asıl niyetinin olduğunu gözlemlediler.
O nasıl çalışır?
CryWiper benzer Isaac Silecek, hedeflenen dosyaları doğrudan bozmak ve verilerin üzerine yazmak için sözde rasgele sayılar oluşturmak üzere aynı algoritmaları kullanıyor. Bu örnekte, silici, orijinali çöp ile değiştirerek doğrudan dosya içeriğini yeniden yazar.
Ardından, sileceği her 5 dakikada bir yeniden başlatmak için Görev Zamanlayıcı’da bir görev oluşturur. CryWiper ayrıca hedeflenen cihazın adını bir C2 sunucusuna gönderebilir ve saldırıyı başlatmak için sunucudan bir komut bekleyebilir.
Ayrıca, CryWiper şu işlemleri durdurur: MS SQL veritabanları ve MySQL sunucularıMS Active Directory web hizmetleri ve MS Exchange posta sunucuları. Yalnızca geri yüklemelerini önlemek için C: sürücüsündeki belgelerin gölge kopyalarını siler. Ayrıca, muhtemelen olay müdahale ekiplerinin işini karmaşık hale getirmek için, virüslü sistemin RDP uzaktan erişim protokolü aracılığıyla bağlantısını da devre dışı bırakır.
Fidye yazılımlarına ve Silicilere karşı koruma
Kendinizi veya işletmenizi fidye yazılımlarından ve veri silicilerden korumak için, kendinizi veri silicilerden korumanın ilk adımı dosyalarınızı düzenli olarak yedeklemektir. Bu, tehlikeye girmesi durumunda kaybolan veya zarar gören verileri geri yüklemenize olanak tanır.
Kaspersky, genel ağlar da dahil olmak üzere altyapınıza yapılan uzaktan erişim bağlantılarını dikkatli bir şekilde kontrol etmenizi önerir. Ayrıca kullanmalısın antivirüs yazılımı Zararlı programların hasara yol açmadan önce tespit edilip kaldırılmasına yardımcı olacak aktif kötü amaçlı yazılım koruması ile.
Ek olarak, hassas verilerle ilişkili tüm hesaplar için güçlü parolalar oluşturmalı ve bunlarda şüpheli etkinlik olup olmadığını düzenli olarak kontrol etmelisiniz.
Alakalı haberler
- Polis, fidye yazılımı saldırısında kanıtları kaybeder; şüpheliler serbest
- DDoS Saldırısı ve Veri Silme Kötü Amaçlı Yazılımı Ukrayna’daki Bilgisayarları Vurdu
- İranlı bilgisayar korsanları, fidye yazılımı kılığında İsrail’i disk silecekle vurdu
- Meteor dosya silecek kötü amaçlı yazılımıyla bağlantılı İran trenlerine yapılan sakatlayıcı saldırı
- Linux ve Windows, disk silecek, fidye yazılımı, kripto-kötü amaçlı yazılımla vuruldu