Siber güvenlik uzmanları şirketleri hedef alan Sodin adlı yeni bir fidye yazılım keşfetti. Yakın zaman önce keşfedilen bir Windows sıfırıncı gün açıklığını istismar ederek sistemde üst düzey yetki elde eden Sodin, daha önceki fidye yazılımlarda çok rastlanmayan bir şekilde tespit edilmemek için işlemcinin mimarisinden yararlanıyor.
Dijital verileri ve cihazları kriptolayarak karşılığında talep eden siber saldırganların kullandıkları fidye yazılımlarından biri olan Sodin’in yakın zaman önce keşfedilen CVE-2018-8453 kodlu Windows sıfırıncı gün açıklığını istismar ettiği açıklandı.
Kaspersky tarafından yapılan açıklamada Sodin’in bir üye programıyla dağıtıldığına işaret eden ipuçları bulunduğu belirtildi. Üye programının çalışma sistemine göre, zararlı yazılımı geliştirenler üyelerin haberi olmadan dosyaların şifresini kaldırmayı sağlayan bir “ana anahtar” hazırlıyor. Bu anahtar dağıtımcının anahtarına ihtiyaç olmadan dosyaları açabiliyor. Normalde kurban parayı ödediğinde şifreleri kaldırmak için dağıtımcı anahtarları kullanılıyor. Geliştiriciler bu şekilde kurbanların verilerinin nasıl şifrelendiğini veya fidye yazılımın dağıtım şeklini kontrol altına alıyor. Yazılımı kullanan bazı üyelerle ilişkilerini kesmek istediklerinde ana anahtarı kullanarak şifrelemeyi kaldırabiliyorlar.
Fidye yazılımları genellikle kullanıcının, e-posta eki açmak veya zararlı bir bağlantıya tıklamak gibi bir etkileşimiyle etkin hale geliyor. Ancak Sodin’i kullanan saldırganlar buna ihtiyaç duymuyor. Zayıf bir sunucu bulup “radm.exe” adlı zararlı dosyayı indirmek için bir komut göndermeleri yeterli oluyor. Böylece fidye yazılımını yerel olarak kaydedip çalıştırabiliyorlar.
Sodin ‘Cennet Kapısı’ tekniğini kullanıyor
Sodin fidye yazılımının hedeflerinin çoğu Asya bölgesinde yer alıyor: Saldırıların %17,6’sı Tayvan’da, %9,8’i Hong Kong’da ve %8,8’i ise Güney Kore’de tespit edildi. Ancak Avrupa, Kuzey Amerika ve Latin Amerika’da da saldırılar gözlendi. Hedef alınan PC’lere bırakılan notta kurbanlardan 2500 ABD doları değerinde Bitcoin talep ediliyor.
Sodin’in tespit edilmesini zorlaştıran şey ise “Cennet Kapısı” tekniğini kullanması. Bu teknik sayesinde zararlı yazılım 32-bit çalışma sürecinden 64-bit kod çalıştırabiliyor. Çok sık rastlanmayan bu yöntem fidye yazılımlarda da pek görülmüyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
