Manşetler

Yeni bir fidye yazılımı saldırısı Avrupa’yı tehdit ediyor

İşletmeleri kapanmanın eşiğine kadar getiren yeni bir fidye yazılımı saldırısı Avrupa genelini etkilemeye başladı. Geçen ayın WannaCry saldırısının artığı olarak nitelendirebileceğimiz bu yeni saldırının en şiddetli zararı Ukrayna’daki işletmelere verdiği belirtiliyor.

Ukrayna’nın merkez bankası, devlete ait telekomünikasyon şirketi, belediye metrosu ve Kiev’deki Boryspil Havalimanı bu fidye yazılımı saldırısının olumsuz şekidle etkilendi. Ayrıca Ukrayna’nın Ukrenego adlı elektrik tedarik şirketinin sistemleri de ele geçirildi. Ancak bir sözcünün verdiği bilgiye göre elektrik şebekesi saldırıdan etkilenmedi.

Saldırı Çernobil nükleer santralindeki işleyişi de etkiledi. Saldırının bir sonucu olarak manuel radyasyon izleme moduna geçildi. Ayrıca zararlı yazılımın satış noktası terminalleri ve ATM‘ler gibi daha fazla yalıtıma sahip cihazlara bulaştığı da söyleniyor.

Virüsün etkilerine dünya genelinde de rastlanıyor. Danimarkalı gemicilik şirketi Maersk, aralarında Rusyalı lojistik kolu Damco’nun da bulunduğu farklı birimlerde sistemlerin çöktüğünü açıkladı. Ayrıca virüs Rusyalı petrol şirketi Rosneft‘in sunucularına da ulaştı, ne var ki ne kadar zarara yol açtığı konusunda bir bilgi verilmedi. Ayrıca Amerika Birleşik Devletleri’nde de rapor edilen bazı vakalar bulunuyor. Bunların arasında Merck adlı bir eczacılık şirketi, Pittsburgh bölgesindeki bir hastane ve DLA Piper adlı hukuk şirketinin ABD ofisleri de bulunuyor.

Kaspersky’nin araştırmacılarından gelen ilk bilgiler, virüsün Petya fidye yazılımının bir çeşidi olduğu şeklindeydi. Ancak şirket daha sonra yepyeni türde bir fidye yazılımı olduğunu saptadı ve bunu “NotPetya” olarak nitelendirdi. Kaspersky’nin telemetre verileri en az 2 bin kullanıcının dün akşam saatleri itibarıyla virüsten etkilendiğini ortaya koyuyor.

İki farklı şirket; Symantec ve Avira da yeni fidye yazılımının WannaCry tarafından da kullanılan EternalBlue açığını kullandıklarını rapor ediyor. Bu da yazılımın bulaşmış sistemler arasında hızlıca yayılmasını sağlıyor. Nisan ayında Shadow Brokers tarafından yayınlanan bir makalede, EternalBlue’nun Windows’un SMB dosya paylaşım sistemini hedeflediği belirtilmişti, ayrıca grup bunun Amerikan Ulusal Güvenlik Ajansı ya da kısaca NSA tarafından geliştirildiğini iddia etmişti. Microsoft, tüm Windows versiyonlarında söz konusu açığı kapatmıştı, ancak birçok kullanıcı bu açığa karşı korunmasız kalmayı sürdürüyor. Sonuç olarak bir dizi zararlı yazılım çeşidi bu açığı kullanarak fidye yazılımı veya benzerlerini bulaştırıyor.

Microsoft, The Verge sitesine verdiği demeçte bu saldırıyı araştırmaya devam ettiğini söylüyor. Şirketin ilk analizi fidye yazılımının birden fazla tekniği kullanarak yayıldığını gösteriyor. Bu teknikler arasında Windows XP’den Windows 10’a, tüm platformlar için daha önce çıkarılmış MS17-010 güvenlik güncellemesiyle kapatılması hedeflenen açığın kullanılması da bulunuyor. Şirket, fidye yazılımının çoğunlukla e-posta üzerinden yayıldığını, bu nedenle müşterilerin bilinmeyen dosyaları açarken dikkatli davranmaları gerektiğini söylüyor. Ayrıca konuyu incelemeye devam ettiğini ve müşterileri korumak için gereken adımları atacağını da belirtiyor.

Bilgi Teknolojileri ve İletişim Kurumu’nun bünyesinde faaliyet gösteren Ulusal Siber Olaylara Müdahale Merkezi de resmi Twitter hesabı üzerinden konuyla ilgili açıklamada bulundu. Kuruluş, Goldeneye, Petya, NotPetya gibi isimlerle anılan fidye yazılımının WannaCry ile benzer şekilde bulaşıp yayıldığını belirtiyor. Etkiyi azaltmak için Microsoft’un da işaret ettiği MS17-010 yamalarının yüklenmesini ve kimlik avı sahteciliğini içeren e-posta iletilerine karşı dikkatli olunmasını tavsiye ediyor.

Petrwrap’ın kendisi de açıkça anlaşılır bir fidye yazılımı gibi görünüyor. Bir kere bulaştığında, virüs her bir bilgisayarı özel bir anahtar ile şifreliyor, sistemin şifresi tekrar açılıncaya kadar onu kullanılamaz hâle getiriyor. Program kullanıcıdan sabit bir Bitcoin adresine 300 dolarlık ödeme yapılmasını istiyor, daha sonra da bitcoin cüzdanının ve yükleme anahtarının bir Posteo e-posta adresine gönderilmesini istiyor. Haberi yayına hazırladığımız sırada kontrol ettiğimizde, hedef cüzdana 36 farklı işlemin yapıldığı görülüyor, bu da yaklaşık 9 bin Amerikan dolarına karşılık geliyor. Bu yapılan ödemelerden sonra sistemlerin başarılı şekilde yeniden açılıp açılmadığı ise bilinmiyor.

Bu yeni saldırının çıkış noktası bilinmiyor. Ancak Ukrayna’nın elektrik şebekesinin de hedefler arasında yer alması dikkatleri Rusya’nın üstüne çeviriyor. Ukrayna’nın elektrik şebekesi Aralık 2015’te kapsamlı ve karmaşık bir saldırıyla hedef alınmış ve birçok kişi veya kuruluş bunun arkasında Rusya’nın olduğunu düşünmüştü. Söz konusu saldırı 230 bin kişiyi altı saat gibi uzun bir süre boyunca elektriksiz bırakmıştı.