Popüler spor ve GPS teknolojileri şirketi Garmin, 23 Temmuz tarihinde bir kripto fidye yazılımının hedefi oldu. Şirketin en ünlü servislerini üç gün boyunca devre dışı bırakan bu saldırıda, şirketin iç ağı ve üretim sistemleri şifrelendi ve 10 milyon dolar fidye istendi. Bu yüksek profilli vaka, büyük kurumları hedef alan fidye yazılımı saldırılarının en yakın örneği oldu.
Garmin’i hedef alan fidye yazılımı, bu yılın ilk yarısından bu yana dikkate değer ölçüde aktif olan WastedLocker adlı Truva atıydı. Özellikle Garmin’i hedef almak için tasarlanan bu sürüm, sahip olduğu alışılmadık teknik özelliklerle dikkat çekiyor.
Bunların ilki, Kullanıcı Erişimi Kontrolünü (UAC) atlatmakta kullanılan yöntem. Truva atı bir cihazda çalışmaya başladığında öncelikle cihazın yüksek yetkiye sahip olup olmadığını kontrol ediyor. Eğer yeterince yüksek yetki yoksa kendini alternatif bir NTFS akışında gizli olarak çalıştıran Truva atı, bu yolla yetkilerini artırıyor.
Ayrıca, Garmin saldırısında kullanılan WastedLocker örneği incelendiğinde dosyaları şifrelemek için tek bir açık RSA anahtarının kullanıldığı görüldü. Zararlı yazılım geniş kitlelere dağıtılıyor olsaydı bu özellik bir zayıflık olarak kabul edilebilirdi. Şifre çözücünün dosyaları kurtarması için tek bir özel RSA anahtarı içermesi yeterli olurdu. Ancak bu hedefli saldırıda tek bir RSA anahtarının kullanılmasıyla çok etkili bir sonuç elde edildi.
Kaspersky Güvenlik Uzmanı Fedor Sinitsyn, “Bu vaka, geçmişte görülen WannaCry ve NotPetya gibi geniş kitleleri etkileyen fidye yazılımlarının aksine yalnızca büyük şirketleri hedef alan kripto fidye yazılımı saldırılarında bir artış olduğunu gösteriyor. Kurban sayısı daha az olsa da bu hedefli saldırılar çok daha gelişmiş ve yıkıcı oluyor. Yakında bu tür saldırıların azalacağına dair bir ipucu da yok. Bu nedenle, kurumların her zaman dikkatli olmaları ve kendilerini koruyacak adımlar atmaları gerekiyor.” dedi.
Garmin’e yönelik WastedLocker saldırısı hakkında daha fazlasını Securelist adresinden okuyabilirsiniz.
WastedLocker ve diğer fidye yazılımlarının hedefi olma riskini azaltmak için Kaspersky uzmanlarının şu önerilerini uygulayabilirsiniz:
- İşletim sistemlerinin ve uygulamaların güncel sürümlerini kullanın.
- Şirket kaynaklarına uzaktan güvenle erişmek için VPN kullanın.
- Fidye yazılımlarından korunmak için Kaspersky Endpoint Security for Business gibi, davranış tespiti desteği, dosyaların otomatik kurtarılmasına olanak veren onarım motoru ve bir dizi başka teknolojiye sahip, modern bir uç nokta güvenliği çözümü kullanın.
- Çalışanların siber güvenlik eğitimine özen gösterin. Kaspersky Security Awareness, siber güvenlik uzmanlığı ile en iyi eğitim yöntemleri ve teknolojilerini bir araya getiren bilgisayar tabanlı eğitim ürünleri sunuyor.
- Güvenilir bir veri yedekleme planı veya çözümü kullanın.