Sophos, geçtiğimiz hafta MegaCortex adlı yeni bir fidye yazılımının küresel ölçekte yükselişine dikkat çekerek detaylı bulguları paylaştı. Başta Amerika Birleşik Devletleri, Kanada, Arjantin, İtalya, Hollanda, Fransa, İrlanda, Hong Kong, Endonezya ve Avustralya olmak üzere pek çok ülkede eş zamanlı olarak yükselişe geçen MegaCortex, Türkiye’deki kurumları da tehdit ediyor.
Sophos güvenlik araştırmacıları, daha önce nispeten alt sıralarda yer alan bir tehdit olan MegaCortex fidye yazılımının 1 Mayıs’tan itibaren başta Amerika Birleşik Devletleri, Kanada, Arjantin, İtalya, Hollanda, Fransa, İrlanda, Hong Kong, Endonezya ve Avustralya olmak üzere dünyanın pek çok yerinde aynı anda görülmeye başladığını tespit etti.
Ryuk ve BitPaymer gibi elle yönetilen bileşenlere sahip olan MegaCortex, saldırıyı yönlendirme aşamasında otomasyona dayalı araçları çok daha etkin kullanmasıyla benzerlerinden ayrılıyor. MegaCortex’in ortaya koyduğu bu yeni formül, tehdidin daha fazla kurbana çok daha hızlı ulaşmasını sağlıyor.
Fidye talebinde bulunuyor
MegaCortex, şifrelediği sistemlere bıraktığı fidye notunda ödenmesi gereken belli bir rakam telaffuz etmiyor. Bunun yerine kurbanlarının freemail.com üzerinde açtıkları e-posta adreslerine bir mesaj göndermesini ve sabit disklerinde bulacakları dosyayı mesajlarına ekleyerek “şifre çözme hizmeti” için başvuruda bulunmasını bekliyor.
Fidye notunda ayrıca fidyenin ödenmesi durumunda “bir daha kendileri tarafından asla rahatsız edilmeyecekleri garantisi” ve “şirketin siber güvenliğini güçlendirmek için danışmanlık sağlanacağı” ifadeleri de yer alıyor.
Sophos yeni tehdit MegaCortex’ten korunmak için önerilerini şöyle sıraladı:
- MegaCortex’in varlığının daha önce ortaya çıkan ve halen devam eden Emotet ve Qbot saldırılarıyla ilişkili olduğunu gözlemliyoruz. Eğer güvenlik sistemlerinizde daha önce Emotet veya Qbot enfeksiyonlarıyla ilgili uyarılarla karşılaştıysanız, MegaCortex’e karşı özellikle dikkatli olun. Farklı türden zararlı kodları taşımak üzere özelleşmiş bu tehditler, MegaCortex saldırısı için yolu açmış olabilir.
- Sophos olarak MegaCortex’in sistemlere sızmak için Uzak Masaüstü Protokolünü (Remote Desktop Protocol – RDP) kullandığına dair bir kanıta rastlamış değiliz. Ancak kurumsal firewall uygulamalarında kullanıcıların RDP bağlantısı kurmasına izin verecek boşluklar yaygın olarak yer alıyor. Bunun yerine sistem yöneticilerinin RDP bağlantılarını mutlaka VPN üzerinden sağlamalarını öneriyoruz.
- Saldırganlar yönetici şifrelerini ele geçirerek kullanmaya meyilli olduğu için iki aşamalı doğrulamayı mümkün olan her durumda aktif hale getirmeniz korunmanıza yardımcı olacaktır.
- Önemli verilerinizi düzenli olarak çevrimdışı yedekleme cihazlarında saklamanız, olası bir fidye saldırısında sizi fidye ödeme zorunluluğundan kurtaracaktır.
- Sophos Intercept X ve benzeri anti fidye yazılımları yardımıyla kendinizi MegaCortex ve gelecekteki benzer fidye yazılımı tehditlerinden koruyabilirsiniz.
Sophos Kıdemli Güvenlik Danışmanı John Shier, “MegaCortex’in arkasındaki kişiler sistemlerinizde yönetici yetkisini ele geçirdikten sonra onları durdurmanızın imkanı yok. Kendi alan adı kontrolcünüzden yapılan saldırılar, organizasyonunuza zarar vermek isteyen saldırganların ihtiyaç duydukları tüm yetkileri elde etmelerinin yolunu açıyor. Bu tuzağa düşmek istemeyen kurumların öncelikle temel güvenlik kurallarını yerine getirmeleri, başkaları keşfetmeden önce kendi güvenlik açıklarının farkına varmaları gerekiyor.” dedi.
