Güvenlik uzmanları, 150’den fazla ülkede 200.000 bilgisayarın etkilendiği  siber saldırının tam etkisini yeni çalışma haftasında ofis çalışanlarının hissedilebilecekleri konusunda uyarıda bulundu.

■ Dünyanın dört bir yanındaki bilgisayar sistemlerine karşı bir “ransomware” saldırısı olan “WannaCrypt” Amerika Birleşik Devletleri’ni diğer ülkelerden daha az etkiledi.

■ Bilgisayar korsanları, NSA (Amerika Birleşik Devletleri Ulusal Güvenlik Ajansı) tarafından ilk kez keşfedilen Microsoft Windows işletim sistemindeki bir açıktan yararlandı. Bu açıktan yararlanma yöntemleri Nisan ayında “Shadow Brokers” olarak bilinen bir hacker kolektifi tarafından kamuoyuna açıklanmıştı.

Bu Saldırı Hakkında Neleri Biliyoruz?

■ Siber güvenlik uzmanları, kötü niyetli yazılımı, WannaCry olarak bilinen “ransomware” yazılımının bir çeşidi olarak tanımladı. Dünyadaki hastanelerde ve şirketlerde çalışan işçiler, “Oops, your files have been encrypted!” (Hata! Dosyalarınız şifrelendi!) yazan bir mesajla karşı karşıya kaldı ve erişimi geri getirmek için 300 doları, suçlular tarafından tercih edilen isimsiz bir dijital para olan Bitcoin olarak yatırılmasını talep ediyorlar.

■ Uzmanlar, saldırganların, makinelerin kilidini açmak için son teslim tarihinin bitiminden önce dünya genelindeki bireylerden 1 milyar dolardan fazla para alabileceğini belirtti.

■ Etkilenen şirketler ve devlet kurumları arasında FedEx, İngiltere Ulusal Sağlık Servisi ve Rusya İçişleri Bakanlığı vardı.

■ Bu tür saldırılarla ilgili geniş çaplı raporlar, tezler ve akademik çalışmalar olmasına rağmen yine de  kullanıcılar etkilendiler.

■ Kaspersky Lab. şirketine göre 150 ülkede 200.000’den fazla saldırı kaydedildi. En çok etkilenen ülkeler sırasıyla Rusya, Ukrayna, Hindistan ve Tayvan.

■ Microsoft, saldırıdan sonra Windows yazılımı için yeni bir güvenlik yaması yayınladı.

■ İngiltere’de bu saldırıdan yaklaşık 45 hastane ve diğer tıbbi tesisler etkilendi.  Bu saldırıdan dolayı doktorların hasta dosyalarına erişmesini engellendi ve sağlık hizmetleri aksadı. İngiltere Başbakanı Theresa May, hasta verilerinin çalınması ile ilgili bir veri olmadığını söyledi.

■ İngiliz yetkililer 13 Mayıs tarihi itibari ile saldırıda İngiltere’nin 248 kamu sağlık kuruluşundan 48’inin (yaklaşık% 20) saldırıya uğradığını belirtti. Altı tanesi hariç etkilenen diğer kurumlar normale döndü.

■ Alman nakliye devi Deutsche Bahn, Telefónica, ( İspanyol telekomünikasyon şirketi) ve Fransız otomobil üreticisi Renault gibi şirketler sistemlerinin bazılarının etkilenmiş olduğunu ancak hizmetlerinde önemli bir kesintiye henüz rastlanılmadığını belirttiler.

■ Rus İçişleri Bakanlığı 13 Mayıs itibari ile yaptığı açıklamada, 1.000 bilgisayarının etkilendiğini doğruladı.

■ Çin menşeli Online güvenlik şirketi “Qihoo 360” yaptığı açıklamada Çin’de çok sayıda network ve bilgisayarların bu saldırıdan etkilendiği, etkilenen bilgisayarların genelde  “Bitcoin” üretiminde kullanıldığını tespit ettiklerini belirtti.

■ Bir FedEx sözcüsü yaptığı açıklamada “Windows tabanlı sistemler kullanan birçok şirket gibi FedEx’te  kötü amaçlı yazılımdan kaynaklı problemler yaşıyor. İyileştirme adımlarını mümkün olan en kısa sürede uyguluyoruz. ” dedi.

■ İngiltere’de geçtiğimiz yıla ait raporlarda İngiltere’deki devlet hastanelerinin Siber Güvenlik konusunda bütçe ayrılmadığının ve kullanılan yazılımların da güncel olmadığının belirtildiği ortaya çıktı.

Ransomware Nedir?

■ Bu tarz saldırılarda, bilgisayar korsanları kurbanlara, zararsız bir link veya ek içeren bir e-posta gönderirler. Saldırganların kötü amaçlarını tespit etmeyi zorlaştırmak amacıyla şifreli “.zip” dosya eklerini gönderdikleri görülüyor.

■ Bu ek’e tıklayan mağdurların bilgisayarları bu saldırıdan etkilenmiş oluyor. Program, bilgisayardaki dosyaları, klasörleri ve sürücüleri ve ağdaki potansiyel olarak etkileyebileceği bilgisayarları şifreler. FBI’dan yapılan açıklamaya göre  “Kullanıcılar ve kuruluşlar,  bu virüsten etkilendiğini  herhangi bir veriye erişmek isteyinceye kadar fark edemiyor.Veriye ulaşmak istediğinde  Bilgisayarının tamamen şifrelendiğini, şifreyi çözecek olan gerekli anahtarı almak için ödeme yapması gerektiğini” belirten uyarı sayfası ile karşılaştıklarını belirttiler.

■ Kurbanlara verilen mesajlar, saldırganlara fidye ödemek için verilen talimatları içerir. Bu tür ataklarda genellikle tercih edilen ödeme yöntemi Bitcoin’dir.

■ Geçen yılın Şubat ayında Los Angeles’taki bir hastaneye benzer şekilde saldırı düzenlendiği ve etkilenen bilgisayar sistemlerini eski haline getirmek için  hackerlara yaklaşık 17.000 Dolar değerinde bir fidye ödendiği biliniyor.

Saldırı Nasıl Engellendi?

■ Henüz tespit edilemeyen saldırganlar, saldırılarına bir “kill switch (Öldürme Anahtarı)” eklemişlerdi; bu da, faaliyetlerini durdurmak isteyebilecekleri durumda kötü amaçlı yazılımları devre dışı bırakmanın bir yoludur. Bunu yapmak için saldırganların oluşturduğu bir siteye, virüs çevrimiçi istek göndererek komut bekler. Bu şekilde virüsün yayılmasını engelleyen kodu aktif edebilmekteler.

■ 22 yaşındaki İngiliz araştırmacıya ait “@MalwareTechBlog” isimli hesaptan yapılan  açıklamada; virüsün kaynak kodlarını incelediğinde kill switch yöntemi olarak bir web sitesine istek gönderip cevap gelmiyor ise zararlı kodları çalıştırdığını tespit etti. Virüsün bağlanmaya çalıştığı etki alanı adının kaydedilmediğini gördüğünde, kendisi satın aldı. Araştırmacı siteyi canlı hale getirerek  ABD’ye yayılmadan önce engellendiğini belirtti.

■ Birleşik Arap Emirlikleri’ndeki bir siber güvenlik şirketi olan  Comae Technologies’in kurucusu Matthieu Suiche, “ABD’nin bu kadar az etkilenmesinin sebebi  kill switch olabilir, fakat sadece geçicidir. Tüm saldırganların yaptığı gibi virüsün varyasyonları farklı bir etki alanı adları kullanarak tekrar oluşturulabilir. ”  dedi.

WannaCrypt Hakkında Bilinmeyenler…

■ Saldırının arkasında kim var?

Shadow Broker korsanları saldırı sırasında kullanılan araçlardan birini açıklamıştı. Ancak 12 Mayıs tarihli saldırıları kimin düzenlendiği belli değil. Shadow Broker korsanlarının kim olduğu da belli değildir. Başlangıçta, NSA ya da CIA’li bir yetkilinin ajansın hack araçlarını sızdırdığı düşünülüyordu, ancak bir NSA yetkisili tutuklandıktan sonra da hack saldırıları devam etti.

Güvenlik uzmanlarının yaptığı açıklamada, “Shadow Broker korsanlarının saldırı sonucu elde ettiği veri dökümlerinin zamanlamasının genellikle Rus siyasi çıkarlarıyla uyumlu olduğunu” söyledi. Örneğin, en son Shadow Broker dökümlerinden birisi ABD’nin Suriye’yi bombalaması sonrasında meydana geldi. Hackerlar bombalamayı, son sızıntıları için harekete geçirmenin bir parçası olarak gösterdi.

■ Ne kadar kişi Fidye ödedi?

Güvenlik uzmanları, bu saldırıya kurban giden kişilerden çok azının yetkililere başvurabileceğini söyledi. Ransomware konusunda uzmanlaşmış olan Crypsis Group’un kıdemli müdürü Jason Rebholz, “kurbanlar internette şifre çözme ile ilgili arama yaparken, bu tür sitelerden de saldırıya uğrayabilirler. Siber suçlular, şifrelerini bu tür servislerden bulaştırmak için zaten adımlar atmışlardır.

■ Kimler zarar gördü?

İngiltere’de Acil durum odaları, doktor ofisleri ve ambulans sistemleri  bu saldırıdan etkilenmiş ve diğer ülkelerde de iletişim etkilenmiştir. Ama bu saldırı sonucu hastanelerde meydana gelen teknik arızalardan dolayı ölen yada zarar gören hastalar olup olmadığı konusunda hala bir bilgi elde edilmiş değil.

Kaynak: @GoldmanRussell