Tarihin en büyük siber saldırısı: WannaCry nedir? Nasıl korunulur?

816

Global düzeyde tarihin en büyük fidye yazılımı saldırısı gerçekleşti. Dünyada 150’e yakın ülke ve 200 bin’e yakın sistem 12 Mayıs Cuma günü “WannaCry“ adlı zararlı yazılımının saldırısına uğradı.

Türkiye ise 150 ülke arasında en yoğun saldırıya maruz kalan 14’üncü ülke oldu. Ancak Türkiye’de hasar, haftasonunun da etkisiyle diğer ülkelere göre sınırlı kalmış görünüyor.

SOLUCAN NASIL ÇALIŞIYOR?

WannaCry, genellikle spam e-postaların ekinde bulunan virüslü dosyalar üzerinden yayılıyor. Ancak onu diğer fidye yazılımlarından farklı yapan şey ise, bir windows güvenlik açığını kullanarak bulunduğu ağdaki tüm makinelere kendini bulaştırabilmesi. Yanı solucan (worm) gibi davranarak, kendini farklı sistemlere taşıyabiliyor.

Saldırganlar sisteme girdikten sonra bir kök kullanıcı takımı (rootkit) kurarak, verileri şifreleyecek olan yazılımı indirmektedir. Zararlı yazılım dosyaları şifreledikten sonra 600 ABD Doları değerinde Bitcoin ödemesi talebi, miktarın yatırılacağı sanal cüzdan bilgileriyle birlikte ekranda gösterilmektedir. Talep edilen fidye miktarı zaman geçtikçe artacak şekilde ayarlanmıştır.

Zararlı yazılım bunu yaparken kullandığı güvenlik açığı neredeyse tüm Windows işletim sistemlerinde mevcut. Microsoft, bir güncelleme yayınlayarak söz konusu açığı kapattı. Ancak güncellemeleri almayan bilgisayarlar hala saldırıya açık.

NASIL KORUNABİLİRSİNİZ?

Tarihin en büyük fidye yazılım saldırısından korunmanın ilk yolu en son Windows işletim sistemi güncellemeleri ve yamaları yüklenmesinden geçiyor.

Mutlaka güncel bir güvenlik yazılımı kullanın.

Tanımadığınız kişilerden gelen e-postalardaki ekleri açmayın. Ayrıca bildiğiniz ve güvendiğiniz birinden gelen e-mail içerisinde beklemediğiniz ve talep etmemiş olduğunuz bir ek varsa yine bu iletileri açmayın.

Verilerinizi düzenli olarak yedekleyin. Bu, tehdidin bulaşması durumunda; verilerinizi geri yükleyebilmenizi sağlayacaktır.

Yedeklerinizi depoladığınız harici depolama aygıtlarını bilgisayarlara bağlı durumda bırakmayarak yedeklerinize de virüs bulaşma riskini ortadan kaldırın. Sisteminizin, güvenlik açığını kapatmak için Windows Update üzerinden güncelleme alması gerekiyorsa, güncelleme yaptıktan sonra yeni bir yedek alın.

KİM GELİŞTİRDİ?

Güvenlik uzmanları zararlı yazılımın orijinal geliştiricileri tarafından yaratılmadığına; saldırıların, kendi çıkarlarını ve amaçlarını gözetmeye hevesli olan kişiler tarafından yamalanarak düzenlendiğine inanıyor.

Söz konusu saldırıda kullanılan zararlı yazılımı aşağıdaki isimlerle saptandı:

Trojan-Ransom.Win32.Scatter.uf
Trojan-Ransom.Win32.Scatter.tr
Trojan-Ransom.Win32.Fury.fr
Trojan-Ransom.Win32.Gen.djd
Trojan-Ransom.Win32.Wanna.b
Trojan-Ransom.Win32.Wanna.c
Trojan-Ransom.Win32.Wanna.d
Trojan-Ransom.Win32.Wanna.f
Trojan-Ransom.Win32.Zapchast.i
Trojan.Win64.EquationDrug.gen
Trojan.Win32.Generic (Sistem İzleyici bileşeni etkin olmalıdır).

İLGİNÇ BAĞLANTI

Öte yandan, 15 Mayıs Pazartesi günü, Google’dan bir güvenlik araştırmacısı, WannaCry fidye saldırıları ile hükümet kuruluşlarına, medyaya ve finans kuruluşlarına karşı yürütülen yıkıcı saldırılardan sorumlu Lazarus hacker grubuna atfedilen kötü amaçlı yazılım arasındaki olası bağlantıya işaret eden bir ipucuyla ilgili bir tweet yayınladı.

Google araştırmacısı, son saldırı dalgasından iki ay önce, Şubat 2017’de rastlanılan bir WannaCry kötü amaçlı yazılım örneğine dikkat çekti. Kaspersky Lab’ın GReAT araştırmacıları bu bilgiyi analiz ederek, Google araştırmacısı tarafından öne çıkarılan kötü amaçlı yazılım örneği ve 2015 yılındaki saldırılarda Lazarus adlı grubun kullandığı kötü amaçlı yazılım örnekleri arasında net kod benzerliklerini tespit etti ve doğruladı.

Kaspersky Lab araştırmacılarına göre, benzerlik sahte bir yanıltma operasyonu da olabilir. Ancak bununla birlikte, Şubat ayında bulunan örneğin analizi ve son saldırılarda kullanılan WannaCry örnekleriyle karşılaştırılması sonucunda, geçtiğimiz cuma (12 Mayıs 2017’de) başlayan saldırılarda kullanılan WannaCry yazılımı içerisinden Lazarus’u işaret eden noktaların kaldırıldığı görülüyor. Bu, WannaCry sürecini yönetenler tarafından ilgili izleri örtmeye yönelik bir girişim olabilir.

Bu benzerlik, tek başına WannaCry fidye yazılımı ve Lazarus Grubu arasında güçlü bir bağlantı olduğunun kanıtı olmasa da, potansiyel olarak şu an için gizemini koruyan WannaCry’a ışık tutacak yeni kanıtların ortaya çıkmasına yol açabilir.