Bilgi teknolojilerine yönelik evrensel bir tehdide dönüşen fidye yazılımları (ransomware), en korkulan siber saldırılar arasında ilk sırada yer alıyor. Günümüzün en ciddi fidye saldırıları arasında yer alan SamSam üzerinde yaptılan araştırmalar, durumun düşünülenden çok daha ciddi olduğunu, SamSam’ın şimdiye dek fidye tehdidiyle topladığı paranın 6 milyon dolara yaklaştığını ortaya koydu.
Bugüne kadar çoğu fidye yazılımı üreticisi, tehdidi yaygınlaşmak için gelişigüzel spam kampanyalarıyla yüz binlerce kullanıcıya aynı anda ulaşma ve birilerinin tuzağa düşmesini bekleme yolunu tercih ediyordu. Böylece tuzağa düşen kullanıcılardan birkaç yüz dolar gibi küçük ödemeler alarak, büyük gelirlere ulaşmayı umuyorlardı.
Kısa sürede günümüzün en korkulan siber tehditleri arasına giren SamSam ise farklı bir yol izliyor. SamSam’ı diğerlerinden ayıran, sistemlere sızma konusunda yetenekli bir kişi veya grubun hedeflenen kurum veya şirketin ağına sızarak ağdaki zayıflıkları tespit etmesi ve zararlı yazılımı elle çalıştırması. Böylece saldırı, söz konusu kurumun bilgi sistemleri altyapısına en kısa sürede en fazla zararı verecek biçimde kurgulanabiliyor. Böyle ince planlanmış bir saldırı karşılığında istenen fidye on binlerce doları buluyor.
Basit bir gasp soyguncusu yerine adeta profesyonel elmas hırsızı gibi davranan SamSam, fidye talebi öncesinde ağın kritik noktaları ele geçirildiği için kurumun alabileceği önlemlere ve güvenlik yazılımlarına karşı gerçek zamanlı olarak engelleyici stratejiler geliştirilmesine olanak sağlıyor. Şifreleme süreci bir nedenle kesintiye uğrarsa, bu kez yazılım kendini tamamen imha ederek saldırıyı kimin yaptığına dair geride hiçbir iz bırakmıyor.
Özenle tasarlanmış bir şifreleme aracı olan SamSam bulaştığı sistemlerde sadece kullanıcı dosyalarını değil, Windows işletim sisteminin ve uygulamaların çalışmak için rutin olarak ihtiyaç duymadığı, çoğu zaman yedeği alınmayan dosyaları da şifreliyor. Bu nedenle sistemleri düzeltmek sadece yedeğin yerine koyulmasını değil, işletim sistemi ve uygulamaların da yeniden kurulmasını gerektiriyor.
Sophos’un SamSam üzerinde yaptığı analizler, saldırganların arkalarında iz bırakmama konusunda son derece profesyonel olduğuna ve bunun için her saldırıda kullandıkları araçlara ve web sitelerine yönelik yeni önlemler aldıklarına işaret ediyor.
SamSam’a Dair Detaylı Analiz Sonuçları:
Temel Bulgular:
⦁ SamSam ilk kez Aralık 2015’te ortaya çıktı. Kurbanlar, yeni bir fidye saldırısının özellikle hastane, okul ve akıllı şehir altyapıları gibi büyük organizasyonları hedef aldığını raporladılar.
⦁ Saldırganların saldırıyı gizleme ve arkalarında iz bırakmama konusunda kullandığı yöntemler nedeniyle saldırıya dair detaylara ulaşmak uzun zaman aldı.
⦁ Çoğu kurban, durumu düzeltmek adına kendi başlarına ortaya koyacakları çabanın iş sürekliliğini sağlamak adına yeterince hızlı olmayacağını anlayınca fidye ödeme yoluna gitti.
İstatistikler:
⦁ Neutrino adlı şirketin yardımıyla fidye notlarında yer alan Bitcoin adreslerine yapılan transferler ve örnek dosyalar incelendiğinde, Sophos SamSam’ın yaratıcılarına 2015 yıl sonundan beri 5,9 milyon Amerikan Doları kazandırdığını hesapladı.
⦁ Bilinen kurbanların yüzde 74’ü Amerika Birleşik Devletleri’nde yer alıyor. Diğer etkilenen bölgeler arasında Kanada, İngiltere ve Orta Doğu ülkeleri mevcut.
⦁ Bitcoin cüzdanlarına yapılan transferlere göre SamSam kurumlardan tek seferde 64 bin dolara kadar fidye koparmayı başarmış.
⦁ Diğer çoğu fidye yazılımından farklı olarak, SamSam sadece doküman, görsel ve diğer kişisel dosyaları değil, Microsoft Office gibi uygulamaların çalışması için ihtiyaç duyulan yapılandırma dosyalarını da şifreliyor. Yedekleme stratejisini sadece kullanıcı dosyalarının şifrelenmesi üzerine kuran kurbanlar, cihazın imaj dosyasını tekrar yerine koymadan çalışır hale dönemiyor.
⦁ Her yeni SamSam saldırısı, daha karmaşık saldırı yöntemleriyle ve geride iz bırakmamak için operasyonel güvenlik önlemlerinden korunmak üzere daha becerikli önlemlerle geliyor.
⦁ Kurbanlardan talep edilen fidye miktarı gittikçe artarken, saldırı yoğunluğunda herhangi bir yavaşlama gözlenmiyor.
0 Yorum