Fast Food fidye yazılımlarının her biri 8 bin 620 dolara mâl oluyor

Siber güvenlik uzmanları, KOBİ ölçeğindeki şirketleri maksat alan ve fast food gibisi ulaşımı kolay bir hizmet olarak sunulan Dharma isimli fidye yazılımına dair ayrıntılı araştırmasının sonuçlarını paylaştı. Color by Numbers: Inside a Dharma Ransomware-as-a-Service (RaaS) Attack başlığıyla yayınlanan araştırma, Dharma’nın kiralama modelini, taarruz tekniklerini, araç setini ve dayanak altyapısını tüm ayrıntılarıyla ortaya koyuyor.

Birinci kere 2016 yılında tespit edilen Dharma, yaygınlığı ve servis odaklı mimarisiyle en fazla gelir getiren fidye yazılımı ailelerinin başında geliyor. Dharma’nın piyasada orjinal kaynak kodun değiştirilmesiyle hazırlanmış çok sayıda varyantı da bulunuyor. Sophos’un tahliline nazaran 2020 yılında hücumlarının yüzde 85’ini RDP (Remote Desktop Protocol – Uzak Masaüstü Protokolü) açıkları üzerinden gerçekleştiren Dharma’nın ana maksadını KOBİ ölçeğindeki şirketler oluşturuyor.

Bu ‘Fast Food’un Bir Isırığı 8.620 Dolar

Fidye yazılımlarının neden olduğu ziyanları telafi etmeye odaklanan Coveware isimli şirketin paylaştığı datalar, Dharma’nın hücum başına fidye beklentisinin ortalama 8,620 dolar olduğunu gösteriyor.

Sophos Kıdemli Tehdit Araştırma Uzmanı Sean Gallagher, Dharma’yı herkesin basitçe ulaşabileceği ve satın alabileceği, fidye yazılımlarına özel kurgulanmış bir fast food zincirine benzetiyor. “Dharma’nın servis modeliyle sunulan mimarisi, çabucak herkesin yıkıcı ataklar başlatabilmesinin önünü açıyor” diyor Gallagher. “Bu olağan şartlarda bile gereğince telaş yaratabilecek bir durumken, pandemi ortamında süratle uzaktan çalışmaya ahenk sağlamak zorunda olan şirketler için daha büyük bir risk oluşturuyor. Bilhassa KOBİ ölçeğindeki şirketlerin uzaktan çalışanları desteklemek için uygun ekipmanları gereğince süratli karşılayamaması ve bilgi teknolojileri takviye gruplarının sayı ve deneyim olarak yetersiz kalması, aygıtların ve altyapıların taarruzlara karşı daha açık hale gelmesine neden oluyor.”

Dikkatlerden Uzak Kalıp Küçük Servetler Biriktiriyorlar

Dharma müşterileri fidye aracını satın alarak hedefledikleri sisteme bulaştırmayı başardıklarında, menüler aracılığıyla yönetilen PowerShell scriptlerini çalıştırarak yazılımın amaç ağ üzerinde yayılmasını ve gereken bileşenlerin kurulmasını sağlıyor. Her şey hazırlanıp ana atak faal hale geldiğinde Dharma kendini “Toolbox” olarak tanımlıyor ve “Have fun, bro!” açılış iletisiyle saldırıyı başlatıyor.

Dharma’nın atak tekniği yüklü olarak açık kaynaklı araçların, bilhassa de ticari yazılımların fiyatsız sürümlerinin suistimaline dayanıyor. Şifre çözme etabı ise hem akın için Dharma’yı kiralayan operatörün, hem Dharma’nın asıl yapımcılarının dahil olduğu çift basamaklı karmaşık bir süreç gerektiriyor. Bu sürecin ne kadar sağlıklı işleyeceği operatörün hünerine ve o anki ruh haline nazaran değişiyor. Örneğin Sophos’un müşahedeleri, kimi durumlarda operatörlerin anahtarı paylaşmayı reddettiğine ve daha fazla para koparmak için baskı kurulduğuna işaret ediyor.

Sean Gallagher, WastedLocker üzere yüksek profilli şirketlerden milyon dolarlar koparma peşinde koşan fidye yazılımlarının manşetlere çıktığı bir dünyada Dharma üzere örneklerin göz gerisi edilmemesi gerektiği görüşünde. “8 bin dolar küçük bir sayı üzere görünebilir, ancak kimileri 8 bin dolarları üst üste koyarak küçük servetler elde ediyor” diyor Gallagher.

Korunmak İçin Ne Yapmalı?

Sophos, Dharma’dan korunmak isteyen KOBİ’lere şu tavsiyelerde bulunuyor:

  • Saldırganların ağınıza sızmasını engellemek için RDP (Remote Desktop Protocol – Uzak Masaüstü Protokolü) özelliğini kapatın. Kullanmanız gerekiyorsa bunu VPN kontağının gerisine alın.
  • Ağınıza bağlı olan tüm aygıtların listesini çıkarın ve hepsinin güvenlik güncellemelerini yaptığınızdan emin olun.
  • Değerli evraklarınızın çevrimdışı ortamlarda şimdiki bir yedeğini bulundurun.
  • Fidye taarruzlarının beş öncü belirtisini öğrenin.
  • Ağınızı çok katmanlı ve derin öğrenme özelliklerine sahip güvenlik tahlilleriyle muhafaza altına alın.