İngiltere ve ABD’deki bireyleri ve kuruluşları hedef alan yeni bir fidye yazılımı kampanyası tespit edildi.
“Prens Fidye Yazılımı” olarak bilinen saldırı, İngiliz posta taşıyıcısı Royal Mail’in kimliğine bürünen bir kimlik avı dolandırıcılığından yararlanıyor.
Bu kampanya, siber tehditlerin artan karmaşıklığını ve internet kullanıcılarının daha fazla dikkatli olma ihtiyacını vurgulamaktadır.
Saldırı Metodolojisi
Proofpoint’teki araştırmacılar Prince Ransomware kampanyasını ilk olarak Eylül ortasında tespit etti.
Saldırı yöntemi, geleneksel e-posta kimlik avı yöntemlerinden ziyade hedef kuruluşların web sitelerindeki iletişim formlarını içeren sinsi bir yöntemdir.
Bu yaklaşım, saldırganların bazı e-posta güvenlik önlemlerini atlamasına ve kuruluş içindeki birden fazla alıcıya ulaşmasına olanak tanır.
ANY.RUN’un Yeni Güvenli Tarama Aracını Kullanarak Şüpheli Bağlantıları Analiz Edin: Ücretsiz Deneyin
Saldırganlar, Royal Mail’in resmi iletişimleri gibi görünerek Proton Mail adresinden geliyormuş gibi görünen mesajlar gönderiyor.
Bu mesajlar, kurbanları Dropbox’tan bir ZIP dosyası indirmeye yönlendiren bir PDF eki içeriyor.
Bu ZIP dosyası, parola korumalı başka bir ZIP dosyası ve onu açmak için gereken parolayı içeren bir metin dosyası içerir.
İkinci ZIP dosyası açıldığında, fidye yazılımını dağıtmak için tasarlanmış JavaScript kodunu çalıştıran bir kısayol (LNK) dosyası bulunur.
Fidye yazılımı, kurbanın bilgisayarındaki dosyaları “.womp” uzantısını ekleyerek şifreler ve şifrenin çözülmesi için Bitcoin cinsinden ödeme talep eden bir fidye notu görüntüler.
Yıkıcı Bir Sonuç
Bu kampanya, dosyaların şifresini çözme karşılığında zorla para almayı amaçlayan tipik fidye yazılımı saldırılarından farklı olarak bir şifre çözme mekanizmasından yoksundur.
Fidye notu, yanlışlıkla dosyaların çalındığını iddia ediyor ve 0,007 Bitcoin (yaklaşık 400 $) ödenmesi durumunda otomatik şifre çözme sözü veriyor.
Ancak veri sızdırma veya mağdur kimliğini belirleme olanağı bulunmuyor; bu da mağdurların ödeme yapsalar bile dosyalarına erişilemeyeceği anlamına geliyor.
Saldırının yıkıcı doğası, amacına ilişkin soruları gündeme getiriyor. Tehdit aktörlerinin bir hata mı yaptığı yoksa kasıtlı olarak mali kazanç elde etmeden düzeni bozmak için mi tasarlandıkları belli değil.
İletişim talimatlarının olmayışı, şifre çözmenin asla tasarlanmadığı teorisini desteklemektedir.
Etkileri ve Önleyici Tedbirler
Prince Ransomware kampanyası siber güvenlik farkındalığının ve hazırlıklı olmanın önemini vurguluyor.
Kuruluşların, çalışanlarını kimlik avı girişimlerini ve şüpheli iletişimleri, özellikle de beklenmedik eklentileri veya hassas bilgi taleplerini içerenleri tanıma konusunda eğitmeleri tavsiye edilir.
Ayrıca kuruluşlar çok faktörlü kimlik doğrulama, düzenli yazılım güncellemeleri ve kapsamlı veri yedekleme stratejileri gibi sağlam güvenlik önlemlerini uygulamalıdır.
Bu adımlar, fidye yazılımı saldırılarının etkisini azaltmaya ve iş sürekliliğini sağlamaya yardımcı olabilir.
Prince Ransomware’in GitHub gibi platformlarda açık olarak bulunması, siber güvenlik kapsamındaki daha geniş bir sorunun altını çiziyor: Tehdit aktörlerinin kolaylıkla başka amaçlara yönelik olarak kullanabilecekleri kötü amaçlı araçların eğitim amaçlı erişilebilirliği.
Bu, kötüye kullanımı önlemek için daha sıkı düzenlemeler ve açık kaynak havuzlarının izlenmesini gerektirir.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağı Konusunda Ücretsiz Web Semineri -> Ücretsiz Kayıt