Windows ve Linux Sunucularını Maksat Alan Fidye Yazılımı

Siber hatalılar, potansiyel kurbanları yakalanmadan maksat almak için daima yeni teknikler geliştiriyor. Bu durum, bir tertibin ağına girip buradaki hassas belgeleri şifreleyerek adeta rehin alan fidye yazılımı saldırganları için bilhassa geçerli. 'Tycoon' ismi verilen yeni bir fidye yazılımı, Java kullanarak Windows ve Linux sunucularını gaye alıyor. BlackBerry Araştırma ve İstihbarat Takımı ile KPMG İngiltere Siber Müdahale Hizmetleri tarafından yayınlanan rapor, bu hücumların nasıl düzenlendiğine ışık tutuyor.

Geçen aralık ayından bu yana görülen Tycoon, çok platformlu bir Java fidye yazılımı ve gayesi Windows ve Linux sunucularındaki belgeler. Tycoon, açığa çıkmaktan kurtulmak için pek bilinmeyen bir Java imaj formatı olan JIMAGE'ı kullanıyor. JIMAGE, işleyişi esnasında Java Virtual Machine (JVM) tarafından kullanılan Java Runtime Environment (JRE) imgelerini depoluyor. Özel olarak Tycoon fidye yazılımı, virüslü JRE derlemesini içeren bir ZIP evrakı olarak geliyor. Fidye yazılımları daha evvel de Java kullanmış olsa da bu seferki Java'da JIMAGE formatını kullanarak şahsileştirilmiş ve makûs niyetli bir JRE derlemesiyle birinci sefer karşılaşılıyor.

Maksatta şirketler ve eğitim kurumları var:

Fidye yazılımının küçük ve orta ölçekteki şirketleri, eğitim kurumlarını ve yazılım şirketlerini maksat aldığı görülüyor. Birinci bulaşma, internete bağlı bir RDP (Remote Desktop Protocol – Uzak Masaüstü Protokolü) sunucusu aracılığıyla gerçekleşiyor. Bu sistem, kendi inançlı bölgesi aracılığıyla öteki aygıtların denetim edilmesinde kullanılıyor. Alan ismi denetim ünitesine ve belge sunucularına saldırdıktan sonra hackerlar, sistem yöneticilerini kendi makinelerinin dışında bırakıyor. 

Sonrasında 'sunucu olarak hacker', sürecini başlatıp mahallî antivirüs güvenliğini devre dışı bırakan saldırganlar, kapalılığı ihlal edilmiş sisteme bir art kapı bırakıyor ve ağdan ayrılıyor. Saldırgan, daha sonra bir RDP sunucusuna bağlanıyor ve onu ağda yatay olarak hareket ettirmek için kullanıyor. Her sunucuda manuel olarak RDP kontağı başlatan hacker, süreci işleterek güvenlik muhafazasını devre dışı bırakıyor ve fidye yazılımını başlatmak için bir yığın belgesi çalıştırıyor.

Saklılığı ihlal edilen evrakların, Galois/Counter (GCM) modunda bilgi bütünlüğünü sağlamak emeliyle 16 Byte uzunluğundaki GCM kimlik doğrulama etiketiyle birlikte ES-256 algoritmasıyla şifrelendiği belirtiliyor. Saldırganlar, daha büyük belgelerin belli modüllerini şifrelemeyerek süreci hızlandırırken yeniden de belgeleri kullanılamaz hâle getirmeyi başarıyor. Belgeler, asimetrik RSA algoritması kullanılarak şifreleniyor. Böylelikle bu şifreleri kırmak için saldırganın özel RSA anahtarına ihtiyaç duyuluyor ki bunu bulmak için devasa boyutlarda hesaplama gücü gerekiyor.

Tycoon yaklaşık 6 aydır piyasada olsa da bu ataklardan etkilenenlerin sayısının hudutlu olduğu belirtiliyor. Bu durumda akınlar, ya belli tertiplere yöneldi ya da farklı tipte fidye yazılımların kullanıldığı daha büyük atağın bir kesimi.