Ukrayna’yı hedef alan ve kötü amaçlı veri imha yazılımı kullanılarak gerçekleştirilen siber saldırıların Kasım ayında planlandığı ve yem olarak fidye yazılımı kullanıldığı ortaya çıktı.
Siber güvenlik firmaları ESET ve Broadcom’s Symantec’ten araştırmacılar, Ukrayna’da yüzlerce cihazı hedef alan son saldırı dalgasında kullanılan yeni bir tür kötü amaçlı “veri imha yazılımı” keşfetti.
ESET’in attığı bir tweet, şirketin telemetresinin (uzaktan ölçüm) ülkedeki yüzlerce cihazda “HermeticWiper” (aka KillDisk.NVC) adlı yazılımın varlığını tespit ettiğini ortaya koydu. Güvenlik firmasına göre, cihazlara virüs bulaşması Dışişleri Bakanlığı, Bakanlar Kurulu ve Rada da dahil olmak üzere birçok Ukraynalı web sitesine yönelik DDoS saldırılarının ardından gerçekleşti.
Yazılımın ilk örneği ESET tarafından geçtiğimiz perşembe 14:52 civarında gözlemlendi, ancak daha ilginç olanı, örneklerden birinin 28.12.2021 tarihli zaman damgasına sahip olmasıydı. Zira bu durum siber saldırının neredeyse iki aydır hazırlık aşamasında olabileceğini düşündürüyor.
Kötü amaçlı yazılım, Hermetica Digital Ltd’ye verilen bir kod imzalama sertifikası kullanılarak oluşturuldu. Symantec’in veri imha saldırıları hakkında paylaştığı yeni bilgiler, bazı durumlarda tehdit aktörlerinin GoLang tabanlı bir fidye yazılımı kullandığını ortaya koydu.
Ukrayna’yı yönelik siber saldırılar hakkında bilmeniz gereken 5 şey
Fidye yazılımı tuzağı, virüslü sistemlere, sözde fidye yazılımı çetesiyle iletişim kurmak için iki e-posta adresi içeren bir fidye notu da düştü ([email protected] ve [email protected] ) ve mağdurlara aşağıdaki siyasi mesaji iletti:
“Yeni seçimlerden öğrendiğimiz tek şey, eskilerden hiçbir şey öğrenmediğimiz!”
VERİ İMHA YAZILIMI FİDYE YAZILIMIYLA AYNI ANDA YERLEŞTİRİLDİ
“Symantec’in bugüne kadar araştırdığı birçok saldırıda, fidye yazılımı da hedefteki kuruluşlara veri imha yazılımı ile aynı anda yerleştirildi. Veri imha yazılımında olduğu gibi, fidye yazılımını dağıtmak için zamanlanmış görevler kullanıldı. Fidye yazılımı tarafından kullanılan dosya isimleri ise şunlar: client.exe, cdır.exe, cname.exe, connh.exe ve ıntpub.exe.
Symantec tarafından yayınlanan raporda şu ifadeler yer aldı: “Fidye yazılımının bir yem ya da dikkati veri imha saldırılarından başka bir yere çekme noktasında kullanılmış olması muhtemel görünüyor.” “Bu, imha yazılımının fidye yazılımı olarak gizlendiği Ukrayna’ya yönelik daha önceki WhisperGate saldırılarıyla bazı benzerliklere sahip.”
ESET tarafından HermeticWiper kötü amaçlı yazılımına dair yapılan analiz, saldırıların en az iki ay önce planlandığını gösteriyor. Symantec’ten araştırmacılar, bu tehdit aktörlerinin Litvanya’daki bir kuruluşa en az bir ay önce, Kasım 2021’de, bir PowerShell komutunu yürütmek için bir Tomcat zaafiyetinden yararlanarak eriştiklerini ve bunun veri imha yazılımının konuşlandırılmasına yol açtığını keşfetti.
