Lale Çorumlu

Microsoft bugün, bir kötü amaçlı yazılımın virüslü bilgisayarları sildiği ve ardından fidye yazılımı saldırısı olarak geçmeye çalıştığı, ancak bir fidye yazılımı ödeme ve kurtarma mekanizması sağlamadığı Ukrayna'da yıkıcı bir saldırının gerçekleştiğini gözlemlediğini söyledi.

Microsoft Tehdit İstihbarat Merkezi Cumartesi gecesi geç saatlerde bir blog yazısında , "Şu anda ve Microsoft görünürlüğüne dayanarak, inceleme ekiplerimiz etkilenen düzinelerce sistemdeki kötü amaçlı yazılımı tespit etti ve bu sayı araştırmamız devam ettikçe artabilir" dedi.

İşletim sistemi üreticisi, etkilenen sistemlerin tümü Ukrayna'da bulunan birden fazla devlet kurumuna, kar amacı gütmeyen kuruluşlara ve bilgi teknolojisi kuruluşlarına ait olduğunu söyledi.

Microsoft, dağıtım vektörünü henüz belirlemediğini veya saldırının orijinal Ukrayna hedeflerinin ötesine geçip geçmediğini söyledi.

Saldırı, sırasıyla Haziran ve Kasım 2017'de Ukraynalı kuruluşları hedef alan ve ardından tüm dünyaya yayılan NotPetya ve BadRabbit silecek olaylarıyla aynı ölçekte ve virallikte görünmüyor.

NotPetya ve BadRabbit siliciler gibi Microsoft, bu sonuncusunun da bir bilgisayarın Ana Önyükleme Kaydının (MBR) üzerine yazan ve bunların önyüklenmesini önleyen bir bileşenle geldiğini söyledi.

Kötü amaçlı yazılım dosyaları bozar, MBR'yi yeniden yazar, ransomware olarak gizlenir

Ransomware daha sonra açılış ekranını bir fidye notu ile değiştiriyor ve Microsoft'a göre bu not bir fidye ücreti, ödemeleri almak için bir Bitcoin adresi ve saldırganlarla iletişim kurmak için bir Tox ID'yi içeriyor.

Kurbanların MBR'lerini ve önyükleme sıralarını geri yüklemeyi başarmaları durumunda Microsoft, kötü amaçlı yazılımın, toplam 1 MB'a kadar sabit sayıda 0xCC bayt ile içeriklerinin üzerine yazarak belirli bir uzantıya sahip dosyaları da bozduğunu söylüyor.

Microsoft, "İçeriğin üzerine yazdıktan sonra, yıkıcı, her dosyayı görünüşte rastgele dört baytlık bir uzantıyla yeniden adlandırır" dedi.

.3DM .3DS .7Z .ACCDB .AI .ARC .ASC .ASM .ASP .ASPX .BACKUP .BAK .BAT .BMP .BRD .BZ .BZ2 .CGM .CLASS .CMD .CONFIG .CPP .CRT .CS .CSV .DB .DBF .DCH .DER .DIF .DIP .DJVU.SH .DOC .DOCB .DOCM .DOCX .DOT .DOTM .DOTX .DWG .EDB .EML .FRM .GIF .GO .GZ .HDD .HTML .HWP .IBD .INC .INI .ISO .JAR .JAVA .JPEG .JPG .JS .JSP .KDBX .KEY .LAY .LAY6 .LDF .LOG .MAX .MDB .MDF .MML .MSG .MYD .IMY .NEF .NVRAM .ODB .ODG .ODP .ODS .ODT .OGG .ONETOC2 .OST .OTG .OTP .OTS .OTT .P12 .PAQ .PAS .PDF .PEM .PFX .PHP .PHP3 PHP4 .PHP3 PHP4 .PHP7 .PHPS .PHTML .PL .PNG .POT .POTM .POTX .PPAM .PPK .PPS .PPSM .PPSX .PPT .PPTM .PPTX .PS1 .PSD .PST .PY .RAR .RAW .SAVRTF .SCH .SHTML .SLDM .SLDX .SLK .SLN .SNT .SQ3 .SQL .SQLITE3 .SQLITEDB .STC .STD .STI .STW .SUO .SVG .SXC .SXD .SXI .STBXM .KTAR.WX .TIF .TIFF .TXT .UOP .UOT .VB .VBS .VCD .VDI .VHD .VMDK .VMEM .VMSD .VMSN .VMSS .VMTM .VMTX .VMX .VMXF .VSD .VSDX .VSWP .WAR .WB2 .WK1 .WKS .XHTML .XLC .XLM .XLS .XLSB .XLSM .XLSX .XLT .XL. YML .ZIP

Yazma sırasında , fidye talebi 10.000 dolar olsa bile, saldırganların Bitcoin adresi yalnızca 5 dolarlık bir ödeme içeriyor.

Henüz resmi bir atıf yok

Microsoft araştırmacıları, grubu bilinen herhangi bir tehdit aktörüne henüz bağlayamadıklarını ve şu anda saldırganları DEV-0586 geçici kod adı altında takip ettiklerini söyledi.

Saldırı, Rusya ile ABD arasındaki başarısız görüşmelerin ve bir Rus işgali tehdidinin hemen ardından geldi.

Bilgisayar korsanlarının etkilenen sunucuları yönetmekten sorumlu bir hükümet yüklenicisinin BT sistemlerini ele geçirmesinin ardından Cuma günü on Ukrayna hükümetinin web sitesi de  tahrif edildi.

Geçmişteki olayları ve jeopolitik durumu ele alırsak, bu saldırının büyük ihtimalle bir Rus siber casusluk grubu tarafından gerçekleştiriliyor olma ihtimali de yüksek.

ABD ve Five Eyes müttefikleri, hem NotPetya hem de BadRabbit saldırılarını resmen APT28 (veya Fancy Bear) olarak bilinen bir Rus bilgisayar korsanlığı grubuna bağladılar.

Kaynak: https://therecord.media/microsoft-data-wiping-malware-disguised-as-ransomware-targets-ukraine-again/