İçeriğe geçmek için "Enter"a basın

Fidye Yazılımı RobinHood Yöntem Değiştirdi

Fidye yazılımı (ransomware) saldırıları hız kesmeden devam ederken, bir süredir hayatımızda olan bazı fidye yazılımlarının da değişerek ve saldırganlar tarafından geliştirilerek yeniden dolaşıma çıktığına rastlıyoruz.

Fidye yazılımı saldırısı çoğunlukla oltalama saldırılarından sonra bilgisayardaki tüm dosyaların (ya da bazı zamanlar araştırmasını iyi yapan siber saldırganlar tarafından seçilen “en çok işe yarayan” dosyaların) şifrelenmesi ve ardından bitcoin talep edilmesi şeklinde görülmeye devam ediyor.

Bir çok zararlı yazılım güvenlik ürünleri tarafından tanınır hale geldiği için arkalarındaki siber saldırganlar bu kârlı işe devam edebilmek adına yeni yöntemler bulmak zorunda kalıyor.

2019 yılında bu saldırıların toplam maliyetinin sadece Amerika’da 7.5 Milyar doları geçtiği düşünülüyor.

RobinHood Fidye Yazılımı Neydi?

İlk olarak Nisan 2019’da karşılaştık ve Kuzey Carolina’da bulunan Greenville şehrinin tüm ağını şifrelemesi ile tanındı.

“Mahremiyetiniz bizim için önemli, eğer ödeme yaparsanız sizi ifşa etmeyeceğiz” diye not bırakması nedeniyle dikkat çekti.

RobinHood fidye yazılımı notu
RobinHood fidye yazılımı notu

İlk çıkan haberler hakkında daha detaylı bilgilere https://sibersavascephesi.com/robinhood-bir-sehrin-tamamini-etkileyen-fidye-yazilimi-saldirisi/ linkinde yer vermiştik.

RobinHood Saldırılarında Neler Değişmiş?

RobinHood’u geliştiren saldırganların yeni yöntemleri fidye yazılımını sistemde etkileştirmeden önce antivirüs gibi güvenlik ürünlerini devre dışı bırakmayı hedefliyor.

Saldırganlar, Microsoft’un sürücü imza zorlama özelliğini devre dışı bırakmak için bilinen bir güvenlik açığından etkilenen GIGABYTE sürücüsünü yüklüyor.

Tayvan merkezli anakart üreticisi Gigabyte tarafından yayınlanan ve artık kullanımdan kaldırılmış bir yazılım paketinin parçası olan imzalı sürücü, CVE-2018-19320 olarak izlenen bir güvenlik açığına sahip.

Bu saldırı senaryosunda, suçlular Gigabyte sürücüsünü kullanıyor, böylece Windows’a ikinci, imzasız bir sürücü yükleyebiliyor.

Bu ikinci sürücü daha sonra fidye yazılımının müdahale ile karşılaşmadan bulaşmasını sağlamak için uç nokta güvenlik ürünlerine ait işlemleri ve dosyaları siliyor.

Sophos tarafından gerçekleştirilen örnek saldırılarda, operatörler GIGABYTE gdrv.sys sürücüsünde CORE-2018-0007 güvenlik açığından yararlanan Steel.exe adlı bir yürütülebilir dosya çalıştırdı.

Uzmanlar, Steel.exe programının dosyaları PLIST.TXT adlı bir dosyaya dahil edilen işlemleri sonlandırdığını ancak hangi güvenlik çözümlerinin hedeflendiğini belirleyemediklerini açıkladı.

Steel.exe mevcut güvenlik yazılımının çalışmasını sonlandırdıktan sonra, RobbinHood fidye yazılımı virüslü sistemlerde dosyaları şifreleyebiliyor.

Saldırı yöntemi hakkında daha detaylı bilgilere https://news.sophos.com/en-us/2020/02/06/living-off-another-land-ransomware-borrows-vulnerable-driver-to-remove-security-software/ adresinden erişilebilir.

Paylaş

İlk yorum yapan siz olun

    Bir cevap yazın

    E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir