Emotet olarak adlandırılan bir truva atı (malware) son haftalarda yayılan en yaygın fidye yazılımı olarak ortaya çıktı. Emotet ve diğer zararlı yazılımların yarattığı tehlikeyi engellemek için önce bunların çalışma şekillerini anlamalıyız.
Fidye yazılımları (Ransomware)
Fidye yazılımları, her tür ve boyuttaki kuruluşlar ve kurumlar için büyük bir tehdit olarak görülüyor. Siber güvenlik şirketi Sophos tarafından yayınlanan ‘The State of Ransomware 2020’ adlı küresel araştırmanın sonuçları, geçtiğimiz yıl kurum ve kuruluşların yüzde 51'inin fidye yazılımı saldırılarına maruz kaldığını ve tek bir saldırının ve etkilerinin bıraktığı tahribatı gidermenin ortalama maliyetinin küresel düzeyde yaklaşık 761 bin doları bulduğunu gözler önüne serdi.
Uluslarrası alanda çeşitli fidye yazılımları bulunuyor. Ancak en yaygın ve tehlikeli olanı ve güvenlik şirketi Mimecast'in bu yıl için hazırladığı ‘Intelligence Threat’ raporuna göre fidye yazılımı saldırılarının baş aktörü Emotet.
Dark Reading adlı internet sitesinde yer alan habere göre bu saldırıların en çok hedef aldığı ülkelerin başında Almanya, Avusturya, İsviçre, ABD, Birleşik Krallık ve Kanada geliyor.
Fidye yazılımının kamuflajı
Peki, nedir bu Emotet?
Emotet, bir truva atı, yani bir malware yazılımıdır. Bir hizmet sağlayıcı kılığına bürünmüş kötü amaçlı bir yazılımdır. Bu da bilgisayar korsanlarının şirketlere ve kişilere yönelik doğrudan saldırılarda kullanmak için bu yazılımı birkaç yüz dolara bir paket olarak satın alabileceği veya aylık bir abonelik ücreti ile indirebileceği anlamına geliyor. Virüs genellikle spam e-posta aracılığıyla gönderilen kötü amaçlı komut dosyası, makro etkin belge dosyaları veya Outlook hesaplarındaki ya da bulut depolama alanlarındaki bir bağlantı listesi gibi gelebilir.
Danışmanlık şirketi olan Ernst & Young (EY) siber güvenlik uygulamaları direktörü Keith Mularski, Emotet’in fidye saldırısına başlamadan önce hedef alınan noktaya yerleştiği ve 30 ila 45 gün boyunca herhangi bir faaliyette bulunmadan kaldığı bilgisini verdi.
Emotet'in kötü amaçlı yazılım bileşenlerini sistemlere kadar taşıdığından oldukça etkili olduğunu söyleyen Mularski, güvenlik duvarları gibi geleneksel güvenlik araçlarının onu engelleyemediğini, çünkü güvenlik duvarının izleyemediği şifreli kanallar kurduğunu, ardından Emotet hedef dosyaları kontrol edip şifrelediği anda dolandırıcıların Bitcoin gibi takip edilemeyen bir elektronik para birimiyle ödenen bir fidye talep ettiğini söyledi.
Siber güvenlik şirketi Sophos’un önde gelen güvenlik danışmanlarından John Shier’e göre siber suçlular, Emotet’i, kendilerini müşterilerine sigorta desteği gibi hizmetler sunan bir firma gibi göstererek kullanıcıların bilgisayarlarına gönderiyorlar.
Saldırı süreci
Peki, kötü yazılım nasıl çalışıyor?
Bu, genellikle kullanıcının e-posta aracılığıyla gelen bir bağlantıya tıklamasıyla meydana gelen kimlik avı saldırısı şeklinde oluyor. Bu bağlantı, kullanıcıyı ‘yemi’ taşıyan bir siteye veya hizmete yönlendiriyor. Kötü amaçlı komut dosyası veya makro etkin belge dosyaları bilgisayara yerleştikten sonra diğer bağlı bilgisayarlar için arama başlıyor ve daha fazla kötü amaçlı yazılım yayılıyor. E-posta ile yapılan bu tür saldır için genellikle Microsoft Outlook kullanılıyor.
Emotet’in hedef sisteme ulaştığında parolaları kırmak ve güvenli verilere erişmek için hesaplara şiddetli saldırılar başlattığını ve ardından bu dosyaları kontrol edip şifrelemek için çalıştığını belirten John Shier, siber suçluların şifrelenmiş verilere erişip hedeflerine kilitlendikten sonra ‘ele geçirilmiş’ dosyaların kodlarını çözme ve düzenleme ücreti olarak birkaç bin ile milyon dolar arasında değişen fidyeler istediklerini söyledi. The State of Ransomware 2020 araştırmasının sonuçları, kuruluşların yüzde 94'ünün verilerinin kontrolünü yeniden ele geçirmeyi başardığına ancak saldırı başına ortalama maliyetin 732 bin 520 doları bulduğuna işaret ediyor.
Etkili darbe
Peki, Emotet neden bu kadar etkili?
Emotet’in birçok farklı versiyonu bulunuyor. Ayrıca bulunmasını ve engellenmesini zorlaştıran bir tasarıma sahiptir. Bilgisayar sistemlerine girmek için sosyal mühendislik tekniklerini kullanan bu virüs yakalanmama konusunda oldukça usta. Dahası, Emotet’in saldırısı sürekli olarak geliştiriliyor. Shier’e göre bazı versiyonları, siber dolandırıcıların kamuoyuna duyurmakla tehdit ettikleri bankacılık bilgilerini veya son derece hassas kurumsal verileri çalmayı hedefliyor. Bu şekilde tehdit etmek karşı tarafı fidyeyi ödemeye itecek ek bir teşvik oluşturuyor.
Virüsün sisteme girmesini sağlayan ilk e-posta, bir çalışan veya şirketteki üst düzey bir yönetici gibi güvenilir bir kaynaktan gönderilmiş gibi görünebilir. Ya da bir internet sitesi veya yasal hizmet gibi görünen bir bağlantı içerebilir. Emotat, virüsü yaymak için doc, docx ve exe gibi farklı dosya türlerinin yanı sıra ZIP gibi dosya sıkıştırma tekniklerini kullanıyor. Çünkü bu şekilde ağda dolaşırken dosyanın gerçek adını gizliyor.
Bu dosyalar, kullanıcıların güvenebileceği şirketlerinden gelecek bir gönderi halinde olabilir veya kullanıcıları ‘faturanız’ veya ‘ödeme ayrıntıları’ gibi ikna edici başlıklar kullanarak kötü amaçlı dosyaları tıklamaya yönlendirebilir.
Ayrıca son zamanlarda, yeni tip koronavirüsü (Kovid-19) öne çıkaran ve genellikle aynı şirketten gelen ve kötü niyetli yazılımlar içerebilen normal dosyalar olan yasal e-postalarla gelen bazı mesajlar da ortaya çıktı.
Emotet’in diğer bir üstün özelliği de sızdığı sistemi izleme kabiliyeti. Örneğin, bir virüs sanal makineye ne zaman yerleşmesi gerektiğini bilir ve kötü amaçlı yazılımları yakalayan antivirüs taramalarında algılanmamak için uykuda kalır.
Fakat Emotat gizli güncellemeleri almak için hazırlanan sunucuları kullanır. Bu da bilgisayar korsanlarının kötü amaçlı yazılımı güncellemesine ve diğer malwarelerin sisteme yerleştirmesine olanak tanır.
Virüs, bilgisayar temizledikten sonra dahi yeniden ortaya çıkabilir.
Emotet’e karşı mücadele
Peki, Emotet’e karşı nasıl mücadele edilir?
Uzmanlar, bu virüsün bilgisayarınıza bulaşma riskini azaltmanın ve neden olduğu sorunlara karşı koruma sağlamanın bazı yolları olduğunu söylüyorlar.
Öncelikle, şüpheli e-postaları algılayan ve engelleyen bir güvenlik programı kullanmalısınız. Ağa bağlı olan tüm yönetilen ve yönetilmeyen cihazlar da güvenli hale getirilmelidir. Güçlü parolalar, iki aşamalı kimlik doğrulama, düzenli güvenlik güncellemesi yapma ve casus yazılım algılama yazılımının kullanımı gibi ek güvenlik önlemleri de uygulanabilir. Son olarak ise çalışanların şüpheli e-postaları tanımayı öğrenmeleri gerekiyor.
Diğer yandan ne yazık ki ne fidye yazılımlarının ne de Emotet’in yakın bir zamanda ortadan kalkması beklenmiyor. Bu, sadece birkaç hafta içinde ikinci kez en güçlü fidye yazılımlarından biri olarak ortaya çıktı. Saldırıları giderek daha da karmaşık hale geliyor. Bu da onu her alandaki kurum ve kuruluşlar için gerçek bir tehdit haline getiriyor.
SA yöneticisi Jared Isaacman, cuma günü Florida'da düzenlenen basın toplantısında konuşuyor (AFP)