Günümüz dijital dünyasında birçok kötü amaçlı web sitesi bulunduğu için kullanıcıların web sitesi güvenliğini kontrol etmesi önemli bir konu olmaya devam ediyor.
Hâl böyle olunca internet üzerinde akıllıca gezinmek ve birden fazla yaklaşım kullanarak ziyaret ettiğimiz sitelerin tehlikeli olmadığından emin olmamız gerekiyor.
1-URL’Yİ KOPYALAMAK YERİNE KENDİNİZ YAZIN
Basit adımlardan daha ileri adımlara doğru yol alacak olursak temel olarak bir URL’yi kopyalayıp yapıştırmak veya üzerine tıklamak yerine URL’yi kendimiz yazmak bizi sahte adreslere girmekten koruyacaktır.
Ayrıca sitelerin HTTP VEYA HTTPS ile çalışıp çalışmadığını kontrol etmek de güvenliğe giden yolda önemli bir adım atmanızı sağlar.
“Girdiğim web sitesi güvenli mi?” sorusunun cevabını bulmak için URL’nin kaynağına inmek de büyük oranda yardımcı olur. Ziyaret ettiğiniz adresin güvenilir olduğunu kontrol etmek içinse çeşitli çevrimiçi araçlar bulunuyor.
2- SİTELERİ KONTROL ETME ARAÇLARI KULLANIN
Web sitesi güvenliğini kontrol etmek için en çok önerilen yöntem, çevrimiçi sayfa tarayıcılarından kontrol etmektir. Bunlar arasında ücretsiz olarak şu siteleri kullanabilirsiniz:
WOT ile de web sitesinin güvenilirliğini için itibar kontrolü yapabilirsiniz.
3- GOOGLE GÜVENLİ TARAMA KULLANIN
Google’ın güvenlik ekibinin kullanıcılar için sunduğu Google Güvenli Tarama, internetteki güvenli olmayan web sitelerini belirlemek, kullanıcıları olası zararlardan haberdar etmek için hizmet görüyor.
Güvenli Tarama ayrıca web siteleri kötü niyetli kişiler tarafından ele geçirildiğinde web yöneticilerini bilgilendiriyor ve ziyaretçilerinin güvende kalması için sorunu teşhis etmeleri ve çözmelerine yardımcı oluyor.
Güvenli Tarama korumaları tüm Google ürünlerinde çalışıyor ve internet genelinde daha güvenli tarama deneyimleri sağlıyor.
Karşılaştığınız tehlikeli URL’leri aşağıda belirtilen hizmetlere bildirmek, hem sizin hem de başka kullanıcıların daha sonra tehlikeye girmemesi için önemli bir sorumluluktur.
Tehlikeli siteleri aşağıdaki adreslere bildirerek söz konusu sitelerin kara listeye alınmasını sağlayabilirsiniz. Bunlar arasında:
Web sitesi itibarı, kullanıcıların eriştiği sayfaların güvenli ve kötü amaçlı yazılımlar, casus yazılımlar ve kullanıcıları kişisel bilgilerini vermeleri için kandırmak üzere tasarlanmış kimlik avı dolandırıcılığı gibi web tehditlerinden arınmış olduğunu göstermeye yardımcı olur.
Bazı araçlar yardımıyla gezdiğiniz sitelerin güvenilirliklerini öğrenebilirsiniz. Bunlar arasında:
Bu adımlar aracılığıyla ziyaret ettiğiniz sitelerin güvenilir olup olmadığını öğrenebilir bu vesileyle siber suçluların kişileri kandırmak için kullandığı çeşitli sofistike teknikleri, kötü amaçlı yazılımları ve diğer siber tehditleri atlatabilir, daha güvenli gezinmeler yapabilirsiniz.
Mobil cihazlara yönelik zararlı yazılım saldırılarında en çok Türkiye ve İspanya’daki kullanıcıların hedef alındığı ortaya çıktı.
ThreatFabric siber tehdit istihbaratı firmasının son raporuna göre, Android cihazlarına yönelik başta bankacılık truva atı saldırılarında son aylarda büyük artış yaşandı.
En çok saldırıya Türkiye ve İspanya’nın uğradığı tespit edilirken, hedef ülkeler arasında Polonya, Avustralya, ABD, Almanya, İngiltere, İtalya, Fransa ve Portekiz yer alıyor.
Raporda 2022 yılın ilk 5 ayında özellikle cihaz üzerinden düzenlenen ve kolay fark edilmeyen saldırıların yüzde 40 oranın arttığı belirtildi.
Saldırılarda en sık görülen zararlı bankacılık yazılımları arasında Hydra, FluBot , Cerberus, Octo ve ERMAC bulunuyor.
Android işletim sisteminde geliştirilen yeni güvenlik önlemleri, zararlı yazılımların yüklenmesi önemli ölçüde zorlaştırıyordu. Ancak ThreatFabric’e göre, bazı ayarları değiştirerek güvenlik önlemlerinin aşılabiliyor. Bu yüzden söz konusu zararlı yazılımlara karşı daha sıkı önlemlerin alınması gerekiyor.
Türkiye’den gazeteci Barış Pehlivan’ı da hedef alan hacker çetesinin, kurbanlarının bilgisayarına sahte delil yerleştirme yöntemleri ortaya çıktı.
Yeni yapılan bir araştırma, Hindistan’daki aktivistlerin cihazlarına sahte suç delilleri yerleştirdiği bilinen bir siber suç grubunun taktiklerini ve tekniklerini açığa çıkardı.
En az on yıl boyunca, Hindistan’daki insanları hedef alan hackerlar dijital kabiliyetlerini cihazlara uydurulmuş suç faaliyeti kanıtları yerleştirmek için kullandı. Bu sahte kanıtlar, kurbanların tutuklanması noktasında sıklıkla bir gerekçe olarak gösterildi.
Siber güvenlik firması Sentinel One tarafından yayımlanan rapor, dijital taktiklerin Hindistan’daki “insan hakları aktivistlerini, insan hakları savunucularını, akademisyenleri ve avukatları” araştırmak ve hedeflemek için nasıl kullanıldığını aydınlatan önemli ayrıntıları ortaya koyuyor.
Araştırmacıların “ModifiedElephant” (Modifiye Edilmiş Fil) olarak adlandırdıkları grup, büyük ölçüde casusluk faaliyetlerinde bulunuyor, ancak bazen suç hedeflerini açıkça karalamaya yönelik işler de yapıyorlar. Araştırmacılara göre, Modifiedelephant’ın amacı, koordineli tutuklamalardan önce, ‘kanıtların’ belli dönemlerde yerleştirilmesiyle sonuçlanan uzun vadeli casusluk işleri.
Elephant’ın dahil olduğu en önemli dava, Maocu aktivist Rona Wilson ve 2018’de Hindistan güvenlik güçleri tarafından tutuklanan ve hükümeti devirmek için komplo kurmakla suçlanan bir grup ortağı etrafında toplanıyor. Sözde komploya yönelik kanıtlar — ülkenin başbakanı Narendra Modi’ye suikast planlarını detaylandıran bir word belgesi de dahil olmak üzere — Wilson’ın dizüstü bilgisayarında bulundu. Ancak, daha sonra cihaza yönelik yapılan adli incelemede belgelerin aslında sahte olduğu ve kötü amaçlı yazılım kullanılarak yerleştirildi tespit edildi. Sentinel araştırmacılarına göre, belgeleri yerleştirenler Elephant grubunun üyeleriydi.
Washington Post tarafından yayınlandıktan sonra dikkatleri üzerine çeken dava, söz konusu dizüstü bilgisayarın Boston merkezli Arsenal Consulting adlı bir dijital adli tıp firması tarafından analiz edilmesinden sonra açıldı. Arsenal nihayetinde Wilson ve sözde komplocularının yanı sıra diğer birçok aktivistin dijital manipülasyonla hedef alındığı sonucuna vardı. Şirket konuyla ilgili yayınladığı bir raporda izinsiz girişin ne kadar kapsamlı olduğunu şu şekilde detaylandırdı:
Arsenal, aynı saldırganı yaklaşık dört yıl boyunca yalnızca Bay Wilson’ın bilgisayarına 22 ay boyunca saldırmak ve ihlal etmek için değil, Bhima Koregaon davasındaki sanıklarına ve diğer yüksek profilli Hint davalarındaki sanıklara saldırmak için dağıtılan önemli bir kötü amaçlı yazılım altyapısı ile ilişkilendirdi.
BELGELER İLK ETAPTA BİLGİSAYARA NASIL YERLEŞTİRİLDİ?
Rapora göre, Elephant kurbanların bilgisayarlarına yerleşmek için ortak hackerlık araçları ve teknikleri kullanıyor. Genellikle mağdurun ilgi alanlarına göre uyarlanmış kimlik avı e-postaları, ticari olarak temin edilebilen uzaktan erişim araçları (RATs) içeren kötü amaçlı belgelerle yükleniyor. Bu belgeler dark webde bulunan ve bilgisayarları ele geçirebilecek kullanımı kolay programlar olarak biliniyor. Özellikle, Elephant’ın iki tanınmış marka olan DarkComet ve Netwire’ı kullandığı düşünülüyor.
Araştırmacılar, bir kurban başarılı bir şekilde avlandıktan ve hackerların kötü amaçlı yazılımları indirildikten sonra, RAT kurbanın cihazı üzerinde kapsamlı bir kontrole izin veriyor; sessizce gözetim yapabiliyor veya Wilson’ın durumunda olduğu gibi sahte, suçlayıcı belgeler yerleştirebiliyor.
Hacker dünyasındaki her şeyde olduğu gibi, “Filin” gerçekte kim olduğunu kesin olarak bilmek zor. Araştırmacılar, grubun Hindistan hükümeti “çıkarları” için çalıştığının varsayıyor:
GAZETECİ BARIŞ PEHLİVAN DA KURBANLAR ARASINDA
Modified Elephant faaliyetlerinin Hindistan devletinin çıkarlarıyla keskin bir uyum içinde olduğunu ve tartışmalı, politik olarak suçlanan davalarda değiştirilmiş elephant saldırıları ile bireylerin tutuklanması arasında gözlemlenebilir bir ilişki olduğunu gözlemliyoruz.
Ne yazık ki, ModifiedElephant bu tür şeyleri yapan tek grup değil. Türkiye’de terör faaliyetleri ile suçlanmasının ardından 2016 yılında 19 ay hapis cezasına çarptırılan gazeteci Barış Pehlivan’a karşı da bambaşka bir grup tarafından benzer operasyonlar yürüttüğüne inanılıyor.
Adli tıp daha sonra Pehlivan’ın suçlamalarını haklı çıkarmak için kullanılan belgelerin Wilson’ın dizüstü bilgisayarındakiler gibi sonradan yerleştirildiğini ortaya çıkardı.
Çinli siber güvenlik şirketinin ABD tarafından yürütülen siber operasyonu tespit ettiği ortaya çıktı.
Çinli firma Pangu Lab, yayımladığı ayrıntılı raporda, zararlı yazılımlar üreten Equation Group tarafından oluşturulan hacker aracı hakkında ABD Ulusal Güvenlik Ajansı (NSA) bağlantılı iddiasının güçlendiği kaydedildi.
Pangu Lab, NSA’yı on yıldır kullanılan bir hackerlik aracının arkasındaki el olmakla suçladı.
Raporda araştırmacılarının ilk olarak 2013’te “önemli bir yerel departmana” yönelik bir saldırı soruşturması sırasında karşılaştığı zararlı yazılımlar inceleniyor.
Araştırmacılar o tarihte saldırının failini bulamamıştı. Ama daha sonra NSA bağlantılı olduğu düşünülen hacker grubu Equation Group hakkında Shadow Brokers ve Almanlar Der Spiegel dergisi tarafından yayınlanan NSA verileri ve ellerindeki ipuçlarının NSA’yı işaret ettiğini dile getirdi.
Çinli şirket tarafından yayınlanan raporda şu ifadeler yer aldı: “Equation Group, dünyanın önde gelen siber saldırı grubu ve hakkında NSA ile alakalı olduğuna dair genel bir kanaat var. Bvp47 de dahil olmak üzere bu kuruluşla ilgili saldırı araçlarına bakıldığında, Equation Group gerçekten birinci sınıf bir hack grubu. Sıfırıncı gün güvenlik açıklarıyla donatılan ağ saldırısı yenilmezdi ve gizli kontrol altında çok az çabayla veri topladı. Equation Group, ulusal düzeyde siber çatışmada baskın bir konumda.”
Çinli bir siber güvenlik şirketinin Amerikan istihbarat hackleme operasyonu hakkındaki araştırmasının sonuçlarını paylaşması ilk kez yaşanmıyor ancak uzmanlara göre, hiç de sık görülen bir durum değil. Söz konusu yöntem değişikliği Çinli şirketlerin Batılı rakipleri gibi tespit ettikleri siber suçluları ifşa etme politikasına geçiş yapabileceğinin bir işareti olarak okunuyor.
Ukrayna’daki onlarca devlet kuruluşu, kendilerine ait web sitelerine yönelik düzenlenen siber saldırılarda hedef alındı. Peki gerçekte ne oldu?
Geçtiğimiz haftalarda Ukrayna’daki onlarca devlet kuruluşu, hackerların web sitelerinin ana sayfalarını politik içerikli bir mesajla değiştirdikleri bir web sitesi tahrif kampanyasının hedefi oldu. Hackerların aynı zamanda kurumlardan veri çaldığı iddia edilse de, hükümet iddiaların doğru olmadığını açıkladı.
Öte yandan Microsoft, web siteleri tahrif edilmiş olanlar da dahil olmak üzere Ukrayna’daki birçok devlet kuruluşunun sistemlerinde “silici kötü amaçlı yazılımlar” tespit ettiğini açıkladı. Söz konusu yazılımlar genellikle önemli sistem dosyalarını siliyor veya üzerine yazıyor, böylece sistemler önyükleme yapamıyor az veya başka şekilde çalışamaz hale gelir.
Silici yazılımın gerçekten de bir sistemde başlatılıp başlatılmadığı veya gelecekteki bir silme işlemine hazırlık olarak bu sistemlere yüklenip yüklenmediği henüz netlik kazanmış değil.
Kim Zetter, yankıları süren olaylar zincirini anlamaya yardımcı olacak bilgileri derledi.
NE OLDU?
Geçtiğimiz hafta perşembe günü gece yarısından kısa bir süre sonra, Rusya’nın Ukrayna sınırındaki askeri yığınağı konusunda ABD, Rusya ve NATO arasında yapılan görüşmelerin başarısızlıkla sonuçlanmasından üç gün sonra hackerlar çoğu üst düzey devlet kuruluşuna ait Ukrayna merkezli 70 web sitesine tahrif saldırısı düzenledi. Hackerlar yaklaşık bir düzine sitenin ana sayfasını “kork ve daha kötüsünü bekle” yazılı tehdit mesajıyla değiştirdiler.
Saldırıda hedef olan siteler arasında dışişleri, savunma, enerji, eğitim ve bilim bakanlıklarının yanı sıra Devlet Acil Durum Servisi ile halkın çok sayıda kamu hizmetine dijital erişimini sağlayan e-devlet hizmetinin de dahil olduğu Devlet Acil Servisi ve Dijital Dönüşüm Bakanlığı yer alıyor.
Dışişleri Bakanlığı internet sitesine gönderilen ve Ukrayna, Rusça ve Lehçe olarak üç dilde yazılan tahrif mesajında şu ifadeler yer alıyordu: “Ukraynalılar! Tüm kişisel verileriniz genel ağa yüklendi Bilgisayardaki tüm veriler yok edildi, geri yüklemek imkansız. Hakkınızdaki tüm bilgiler halka açıldı, korkun ve en kötüsünü bekleyin. Bu senin geçmişin, şimdiki zamanın ve geleceğin için. Volyn için, OUN UPA için, Galiçya için, Polissya için ve tarihi topraklar için.”
Bir bakanlık yetkilisi, Ukrayna’nın “büyük bir siber saldırı” ile vurulduğuna ilişkin tweet attı. Ancak birçok site toplu olarak tahrif edilebilse de tek tek değerlendirildiğinde bu tür kampanyalar önemli değil veya büyük kabul edilmiyor.
Mandiant İstihbarat Analizi John Hultquist, “Aynı anda birden fazla hedefi vurmak ilk bakışta karmaşık, gelişmiş bir operasyon gibi görünüyor olsa da bu tek bir içerik yönetim sistemine erişim sonucu gerçekleşmiş olabilir. Bu saldırıyı gerçekleştirmek için gereken yeteneği abartmamak gerekir.” diyor.
Yöneticiler tahrif edilmiş sayfaları kaldırmak ve olayları araştırmak için çevrimdışı moda geçtiğinden siteler hızla ortadan kayboldu. Kısa sürede tüm sitelere yeniden erişim sağlandı.
Dışişleri Bakanlığı’nın internet sitesinde yer alan tahrif mesajında verilerin elde edildiği ve yakında sızdırılacağı söylense de verilerin alındığına dair bir kanıt yok ve web sitelerinin sunucularında genellikle çalınacak önemli veriler bulunmadığı biliniyor.
Devlet Özel İletişim ve Bilgi Koruma Hizmetleri Müdür Yardımcısı Victor Zhora, sigortalı araçları kaydeden bir kamu kuruluşunun web sitesinin ön portalından bazı verilerin silindiğini, ancak arka uç veritabanlarının sağlam olduğunu söyledi. Kamu kuruluşu web sitesini kapattı ve yedek verilerle portalı geri yükledi.
Tahrif saldırısı, belirlenen bir zamanda otomatik olarak tahrif için ayarlanmış bir komut dosyası aracılığıyla değil, manuel olarak gerçekleştirildi. Zhora, bunun tahrifleri birden fazla aktörün koordine ettiğini gösterdiğini söylüyor. Araç sigortası portalındaki verilerin silinmesi de manuel olarak yapıldı.
Ayrıca, tahrifatın Polonya’yı suçlamak için sahte bayrak operasyonu girişimi olabileceği de düşünülüyor. Dışişleri Bakanlığı internet sitesine gönderilen tahrif mesajı, Polonyalı vatanseverler tarafından yazılmış gibi gösterilmek suretiyle Ukrayna ile Polonya arasındaki bölünmeyi karıştırmak için tasarlanmış görünüyor. Ve tahrifatta kullanılan görüntünün meta verileri, Polonya’dan geldiğini gösteriyor. Ancak Polonyalı gazeteciler, tahrifattaki Polonyalı metnin, Polonyalı olmayan biri tarafından yazıldığını ve metnin muhtemelen Google Translate aracılığıyla üretildiğini gösteren üslup sorunları olduğunu fark etti.
Daha sonra cuma günü, saldırılardan etkilenen bazı devlet kurumları DDoS saldırılarının da hedefi oldu. Bu saldırılar, meşru trafiğin sitelere erişmesini kasıtlı olarak önlemek için web sunucularına gönderilen trafik akışını içeriyordu. Pazartesi günü ise başka bir tahrifat saldırısı meydana geldi, bu kez hedefte kamu ihalelerine ilişkin faaliyette bulunan Pro Zorro’ya ait bir web sitesi vardı.
HACKERLAR KİTLESEL BİR TAHRİFATI NASIL BAŞARDILAR?
Araştırmacılar saldırganların birden fazla yöntem kullanmış olabileceklerine inanıyorlar. Saldırıya uğrayan web sitelerinin çoğu OctoberCMS adlı aynı yazılımı kullanıyordu. Bu durum araştırmacıların hackerların OctoberCMS yazılımında bilinen bir güvenlik açığını kullanarak web sitelerinin gizliliğini tehlikeye attığına inanmalarına neden oldu. Saldırıya uğrayan 70 sitenin yaklaşık 50’si de Kitsoft adlı Ukraynalı bir şirket tarafından tasarlanmıştı ve aynı şirket tarafından yönetilmekteydi. Araştırmacılar Kitsoft’un gizliliğinin de tehlikeye atıldığını belirlediler ve bu da hackerların Kitsoft’un yönetici paneline erişmesine ve şirketin kimlik bilgilerini müşteri web sitelerini tahrif etmek için kullanmasına izin verdi.
Bununla birlikte, etkilenen sitelerin tümü Kitsoft tarafından yönetilmemekteydi, bu nedenle araştırmacılar hala bazılarının OctoberCMS sistemindeki bir güvenlik açığı veya başka bir ortak yazılım aracılığıyla tehlikeye atılmış olabileceğine inanıyor. Saldırıların son zamanlarda çok sayıda yazılım programı tarafından kullanılan açık kaynaklı bir kitaplıkta keşfedilen Log4j güvenlik açığını kullanıp kullanmadığı üzerinde de duruyorlar.
SALDIRILAR HENÜZ BİR BAŞLANGIÇ MI?
Tahrifatların gerçekleşmesinden iki gün sonra, Ukrayna ulusal güvenlik ve savunma konseyi sekreter yardımcısı Serhiy Demedyuk Reuters’e verdiği demeçte, tahrifatların “perde arkasında gerçekleşen ve yakın gelecekte hissedeceğimiz sonuçları daha yıkıcı eylemler için sadece bir örtü olduğunu” söyledi.”
Dermedyuk ayrıntı vermedi, ancak birkaç saat sonra Microsoft, tahrifatların gerçekleştiği gün Microsoft’un “Ukrayna hükümeti ile yakın çalışan birkaç Ukrayna devlet kurumuna ve kuruluşuna” ait sistemlerde yıkıcı kötü amaçlı yazılım tespit ettiğini açıkladı.”
Microsoft, kuruluşların isimlerini vermedi ancak aralarında “kritik yürütme organı veya acil müdahale işlevleri sağlayan” kurumların yanı sıra, web siteleri yakın zamanda tahrif edilmiş devlet kurumları da dahil olmak üzere kamu ve özel sektör müşterileri için web sitelerini yöneten bir BT firması yer aldığını söyledi. Microsoft BT firmasının ismini vermedi, ancak açıklama Kitsoft’a uyuyor.
Kitsoft, Pazartesi günü Facebook sayfasına gönderilen bir mesajda, silici yazılım tarafından enfekte olduğunu ve altyapısının bir kısmının hasar gördüğünü belirttiğini doğruladı. Ancak şirket sözcüsü Alevtina Lisniak gönderdiği bir e-postada söylediklerinden geri adım attı: “Birkaç bölüme virüs bulaştı ve bu nedenle gizlilikleri tehlikeye atılmış oldu, bu yüzden bu kısımları sıfırdan yeniden yüklemeye karar verdik Kitsoft’un silici yazılımla enfekte olup olmadığı sorulduğunda ise soruşturmanın sürdüğünü ifade etti.
Şirketin sözcüsü, dolaylı olarak bahsettiği “virüslerin” WhisperGate adlı silici kötü amaçlı yazılımın bileşenleri olduğunu ve silici yazılımın ana önyükleme kayıtlarının üzerine yazıldığını söylüyor. Bu kayıtlar sabit sürücü ön yüklendiğinde işletim sistemini bir cihazda başlatmaktan sorumlu olan kısmı.
Lisniak, “Üzerine yazılmış bazı ana önyükleme kayıtları keşfettik ve daha fazla saldırı olmasını önlemek için altyapıyı durdurduk.” ifadelerini kullandı. Bu, yalnızca silici yazılımın ilk aşamasının etkinleştirilebileceğini gösterir, ancak bu hala belirsizdir.
Microsoft’un WhisperGate adını verdiği kötü amaçlı yazılım, görünürde fidye yazılımı taklit ediyor. Ama bu onun altında yatan, daha yıkıcı yeteneğinin bir örtüsü. WhisperGate, sistemleri çalışamaz hale getirmek için virüslü sistemlerdeki kritik dosyaları silmek veya üzerine yazmak üzere tasarlanmış bir yazılım.
WHISPERGATE NASIL ÇALIŞIYOR?
Whispergate’in üç aşaması bulunuyor. İlk aşamada, hackerlar whispergate’i bir sisteme yüklüyor ve cihazın kapanmasına neden olmak suretiyle yazılımı çalıştırıyor. Kötü amaçlı yazılım, cihaz önyüklendiğinde işletim sisteminin başlatılmasından sorumlu sabit sürücünün bölümünün üzerine yazar. 10.000 $ değerinde Bitcoin talep eden bir fidye notu ile sistemin üzerine yazıyor.
Notta “Sabit sürücünüz bozuldu. Kuruluşunuzun tüm sabit disklerini kurtarmak istiyorsanız, bitcoin cüzdanı üzerinden 10 bin ABD doları ödemelisiniz. Daha fazla talimat vermek üzere sizinle iletişime geçeceğiz.” yazıyor.
İkinci ve üçüncü aşamalar halihazırda gerçekleşmiş durumda. Ve şu şekilde gerçekleştiği biliniyor: Kötü amaçlı yazılım bir Discord kanalına ulaştı ve başka bir kötü amaçlı bileşeni aşağı çekti, bu da virüslü sistemdeki diğer birçok dosyayı bozdu.
Sentinelone’un baş tehdit araştırmacısı Juan Andrés Guerrero-Saade, elektrik kesintisi gerçekleştiğinde bunun muhtemel olduğunu söylüyor. Sistem tekrar açıldığında fidye mesajı görüntüleniyor. Kullanıcı fidye yazılımı mesajını görüyor ve sistemin şifresini çözmek için para ödemeleri gerektiğine inanıyor.
Guerrero-Saade, enfeksiyonların nasıl geliştiği hakkında hala bilinmeyen çok şey olduğunu söylüyor: “Enfeksiyon vektörünü bilmiyoruz … saldırıları nasıl düzenlediklerini bilmiyoruz.”
Microsoft, blog yazısında, herhangi bir sistemin gerçekten silinip silinmediği veya kötü amaçlı yazılımın, hackerlar bir güç kesintisi ile başlatmadan önce sistemlerde bulunup bulunmadığı konusu net değil. Zhora, bir fidye mesajı görüntüleyen bazı devlet sistemlerinin farkında olduğunu söyledi, ancak araştırmacılar şu ana kadar Microsoft’un keşfettiği silici yazılımın doğru olup olmadığını belirleyemediler çünkü sistemlere erişilemiyor.
Microsoft, fidyeyi ödemek için Bitcoin cüzdan adresinin 14 Ocak’ta küçük bir para transferi aldığını söyledi. Ancak, mağdurların faillerle iletişim kurması için bir web sitesi veya destek portalı yoktu. Fidye yazılımı notu, mağdurların genellikle fidye yazılımı operatörleriyle iletişimlerine dahil etmeleri talimatı verilen özel bir kimlik içermiyordu.
Zira bu kimlik sayesinde operatörler kurbanları kilitlenen sistemlerini açmak için gereken şifre çözme anahtarı verebiliyordu. Bütün bunlar Microsoft’un kötü amaçlı yazılımın fidye kısmının sadece bir hile olduğuna ilişkin tespitini destekler nitelikte.
TAHRİFAT SALDIRILARI VE SİLİCİ YAZILIMI İLİŞKİLİ Mİ?
Silici yazılımının tahrifat için hedeflenen aynı kurumlardan bazılarına bulaşmış olması ve tahrifatın gerçekleştiği gün bulunmuş olması, iki olayın birbiriyle ilişkili olduğunu gösteriyor. Ancak Ukraynalı araştırmacılar terabaytlarca logu inceliyorlar ve hala iki olayın bağlantılı olup olmadığını ve tahrifatların silici yazılımların sistemlere yerleştirme noktasında bir örtü olup olmadığını veya zamanlamanın tesadüf olup olmadığını bilmiyorlar. Ayrıca kötü amaçlı yazılımların sistemlere nasıl girdiğini de bilmiyorlar. Silici yazılımın tahrif edilen aynı sistemlere bulaşıp bulaşmadığı da belli değil.
