WannaCry fidye yazılımı siber güvenlik araştırmacılarını şaşırtmaya devam ediyor

Araştırmacılar, WannaCry fidye yazılımının tam olarak nasıl yayıldığından hala emin değiller çünkü eski veritabanlarını araştırmalarına rağmen saldırıyla bağlantılı herhangi bir kimlik avı e-postası bulamadılar.

WannaCry, Fidye Yazılımı, Wannacry fidye yazılımı, Küresel Siber Saldırı, Siber Saldırı, Siber Güvenlik, Lazarus bilgisayar korsanları, fidye yazılımı saldırısı, Bitcoin ödemesi, Siber güvenlik araştırmacıları, siber araştırmacılarAraştırmacılar, WannaCry saldırısını daha endişe verici yapan şeyin bilgisayar korsanlarının ücretsiz olarak erişilebilen araçları bu kadar etkili kullanma şekli olduğunu söylüyor (Kaynak: AP Photo/Mark Schiefelbein, Dosya)

Birkaç saat içinde 100'den fazla ülkeye yayılan WannaCry kötü amaçlı yazılımı, siber güvenlik araştırmacıları için ilk tutunma noktasını nasıl elde ettiği, nasıl bu kadar hızlı yayıldığı ve bilgisayar korsanlarının neden bundan fazla para kazanamadığı da dahil olmak üzere çeşitli sürprizler yaratıyor.

Bazı araştırmacılar, Kuzey Kore'yi saldırıyla ilişkilendirebileceğini söyledikleri kanıtlar buldular, ancak diğerleri daha temkinli, ilk adımın kötü amaçlı yazılımın kendisiyle ilgili en temel sorulara bile ışık tutmak olduğunu söylüyor.

İlk olarak, IBM Security'den Caleb Barlow, araştırmacıların kötü amaçlı yazılımın ilk etapta nasıl yayıldığından tam olarak emin olmadıklarını söyledi. Çoğu siber güvenlik şirketi, fidye yazılımını indiren kimlik avı e-postalarını (kötü amaçlı ekler veya dosyalara bağlantılar içeren e-postalar) suçladı. Çoğu fidye yazılımı, kurbanların bilgisayarlarına bu şekilde girer.



WannaCry vakasındaki sorun, şirketin 1 Mart'a kadar uzanan 1 milyardan fazla e-postadan oluşan veritabanını incelemesine rağmen, Barlow'un ekibinin saldırıyla bağlantılı hiçbir şey bulamamış olmasıdır.

Boston merkezli Barlow, Microsoft Windows'ta solucanın bir bilgisayardan diğerine geçmesine izin veren bir güvenlik açığını açıklayarak, bir ağın içindeki bir kurbana bulaştığında yayıldığını söyledi.

Ayrıca Okuyun: WannaCry fidye yazılımı: Shadow Brokers hacker grubu kod satmakla tehdit ediyor

NSA, Shadow Brokers adlı gizemli bir grubun eline geçen ve daha sonra bu ve benzeri araçları çevrimiçi olarak yayınlayan EternalBlue kod adlı bir bilgisayar korsanlığı aracı oluşturmak için Microsoft kusurunu kullandı.

Ancak bulmaca, her ağdaki ilk kişiye solucanın nasıl bulaştığıdır. Barlow, tarama yapıp hiçbir gösterge bulamamamızın istatistiksel olarak çok sıra dışı olduğunu söyledi.

Diğer araştırmacılar aynı fikirde. Dell'in bir parçası olan RSA Security'den Budiman Tsjin, şu anda WannaCry için ilk uzlaşmanın açık bir göstergesi olmadığını söyledi.

Kötü amaçlı yazılımın nasıl bulaştığını ve yayıldığını bilmek, mevcut saldırıları durdurabilmenin ve yenilerini tahmin edebilmenin anahtarıdır. Bu nasıl oldu ve bu tekrar tekrar kullanılabilir mi? dedi Barlow.

küçük fidye

Ancak bazı siber güvenlik şirketleri, kimlik avı e-postalarının birkaç örneğini bulduklarını söylüyor. FireEye, müşterilerin saldırıyla ilgili bazılarını başarılı bir şekilde tespit etmek için raporlarını kullandıklarının farkında olduklarını söyledi.

Ancak şirket, kötü amaçlı yazılımın diğer saldırılara göre kimlik avı e-postalarına daha az güvendiğini kabul ediyor. Belirli sayıda virüs bulaştığında, Microsoft güvenlik açığını onların yardımı olmadan yaymak için kullanabildi.

Bunun sıradan bir fidye yazılımı saldırısı olmadığını gösteren başka sürprizler de var. Mevcut kanıtlara göre, bilgisayar korsanları tarafından çoğunlukla bitcoin kripto para biriminde yalnızca önemsiz miktarlar toplandı.

Sadece üç bitcoin cüzdanı vardı ve kampanya, yaygın enfeksiyonlara rağmen sadece 50.000 dolar kazandı. Barlow, diğer bazı fidye yazılımı vakalarında tek ödemenin kurbana bağlı olarak bundan daha fazla olduğunu söyledi.

Bitcoin ödemelerini izleyen Chainalysis'ten Jonathan Levin, çoğu fidye yazılımı kampanyasına kıyasla başka farklılıklar olduğunu söyledi: örneğin, kurbanları ödemeye ikna etmek için önceki vakalarda kullanılan karmaşık yöntemlerin eksikliği. Geçmişte bu, çeşitli dillerde sıcak hatları içeriyordu.

Ve şimdiye kadar, Levin, Bitcoin cüzdanlarını düzenli olarak boşaltırken 15 milyon dolar kazanan Locky olarak bilinen başka bir kampanyayla karşılaştırıldığında, saldırganların cüzdanlarına ödenen bitcoin'in orada kaldığını söyledi.

Levin, Bitcoin ödemelerini idare etmek için gerçekten iyi kurulmadıklarını söyledi.
Gelişmişlik eksikliği, Kuzey Kore'yi saldırıya bağlayabilecek kanıtlar bulduklarını söyleyen siber güvenlik araştırmacılarını destekleyebilir.

Ayrıca Okuyun: İşte uzmanların WannaCry saldırısını Kuzey Kore'ye bağlamasının nedeni

Güney Kore'nin Hauri Laboratuarlarından kıdemli bir araştırmacı olan Simon Choi, Salı günü yaptığı açıklamada, münzevi devletin yalnızca Ağustos ayından bu yana fidye yazılımı programları geliştirdiğini ve test ettiğini söyledi. Bir durumda, bilgisayar korsanları Güney Koreli bir alışveriş merkezinden çaldıkları müşteri bilgileri karşılığında bitcoin talep etti.

Kuzey Kore'nin bilgisayar korsanlığı yetenekleri hakkında kapsamlı bir araştırma yapan Choi, bulgularının Symantec ve Kaspersky Lab'ın bulgularıyla eşleştiğini söyledi. Araştırmacılar, Kuzey Kore tarafından yürütülen bir bilgisayar korsanlığı operasyonu olarak.

Bununla birlikte, bazı siber güvenlik şirketlerine göre, Lazarus bilgisayar korsanları finansal kazanç peşinde koşma konusunda diğerlerinden daha yüzsüz ve Bangladeş merkez bankasından 81 milyon dolarlık hırsızlıktan sorumlu tutuldular. Amerika Birleşik Devletleri, 2014 yılında Sony Pictures'a yapılan bir siber saldırının arkasında olmakla suçladı.

Hong Kong'daki PwC'nin siber güvenlik ortağı Marin Ivezic, saldırının arkasında kim bulunursa bulunsun, bilgisayar korsanlarının ücretsiz olarak kullanılabilen araçları bu kadar etkili kullanma biçiminin bu kampanyayı daha endişe verici hale getirebileceğini söyledi.

Sızan NSA dosyalarından elde edilen bir aracı kendi fidye yazılımlarıyla bir araya getirerek, geleneksel bir yolla elde edebileceklerinden daha iyi bir dağıtım elde ettiklerini söyledi.

Ivezic, EternalBlue'nun (hackleme aracı) artık doğru solucan türünün yatırım getirisini (yatırım getirisi) gösterdiğini ve bunun siber suçlular için araştırma odağı haline geleceğini söyledi.