Son yılların popüler gündemi olan fidye yazılımlarında haberler hız kesmiyor.
Eldorado, kapsamlı operasyonel benzerliklere sahip iki farklı varyant aracılığıyla hem Windows hem de Linux platformlarını şifreleyebilen Go tabanlı bir fidye yazılımıdır.
Araştırmacılar, geliştiriciden, VMware ESXi hypervisor’ları ve Windows için 32/64 bit varyantlarının mevcut olduğunu belirten bir kullanıcı kılavuzuyla birlikte gelen bir şifreleyici elde ettiler.
Group-IB, Eldorado’nun benzersiz bir gelişme olduğunu söylüyor.Çetenin şimdiye kadar çoğunluğu ABD’de olmak üzere gayrimenkul, eğitim, sağlık ve imalat sektörlerinde faaliyet gösteren 16 kurbanı oldu.
Siber güvenlik şirketi Group-IB‘deki araştırmacılar, Eldorado’nun faaliyetlerini izledi ve operatörlerinin RAMP forumlarında kötü amaçlı hizmeti teşvik ettiğini ve programa katılacak yetenekli siyah şapkalılar aradıklarını tespit etmiş.
Bu kötü amaçlı yazılım şifreleme için ChaCha20 algoritmasını kullanan grup, kilitlenen dosyaların her biri için benzersiz bir 32 baytlık anahtar ve 12 baytlık rastgele sayı ürettikleri gözlemlenmiş. Anahtarlar ve rastgele sayılar daha sonra Optimal Asimetrik Şifreleme Dolgusu (OAEP) şemasıyla RSA kullanılarak şifreleniyor.
Şifreleme aşamasından sonra dosyalara “.00000001” uzantısı ekleniyor ve “HOW_RETURN_YOUR_DATA.TXT” adlı fidye notları Belgeler ve Masaüstü klasörlerine bırakılıyor.
Eldorado ayrıca etkisini en üst düzeye çıkarmak için SMB iletişim protokolünü kullanarak ağ paylaşımlarını şifreler ve kurtarmayı engellemek için tehlikeye atılan Windows makinelerinde snapshot kopyalarını siler.
Fidye yazılımı, sistemin önyüklenemez/kullanılamaz hale gelmesini önlemek için DLL, LNK, SYS ve EXE dosyalarının yanı sıra sistem önyüklemesi ve temel işlevlerle ilgili dosya ve dizinleri kibarlık yaparak es geçiyor.
Son olarak, müdahale ekipleri tarafından tespit edilip analiz edilmekten kaçınmak için varsayılan olarak kendi kendini silmeye ayarlamasıda cabası.
Uzmanlar, fidye yazılımı saldırılarına karşı belirli bir düzeye kadar koruma sağlayabilecek şu savunmaları önermekte;
- Çok faktörlü kimlik doğrulama (MFA) ve kimlik bilgisi tabanlı erişim çözümlerini uygulayın.
- Fidye yazılımı risklerini hızla belirlemek ve bunlara hızlı aksiyon almak için Uç Nokta Algılama ve Müdahale (EDR) özelliğini kullanın.
- Verilerinizin zarar görmesini ve kaybolmasını en aza indirmek için düzenli olarak verilerinizin yedeğini alın.
- Gerçek zamanlı saldırı tespiti ve müdahalesi için yapay zeka tabanlı analizlerden ve gelişmiş kötü amaçlı yazılım temizleme özelliğinden yararlanın.
- Güvenlik açıklarını gidermek için güvenlik yamalarını önceliklendirin ve düzenli olarak uygulayın.
- Çalışanlarınızı siber güvenlik tehditlerini tanımaları ve bildirmeleri konusunda eğitin ve yetiştirin.
- Yıllık teknik denetimler veya güvenlik değerlendirmeleri yapın ve dijital hijyeni koruyun.
- Fidye ödemekten kaçının; çünkü bu nadiren veri kurtarmayı garantiler ve yeni saldırı olmayacağının bir garantisi olmaz. Bunun örnekleri daha önce bir çok kez yaşandı.
Bu savunmalar sonuç garantilemez sadece sizi kolay bir hedef olmaktan çıkarır. Kolay hedef olmamak için daha yapılabilecek çok savunma hamlesi var.
