Yeni fidye yazılımı MegaCortex, saldırıyı yönlendirme aşamasında otomasyona dayalı araçları çok daha etkin kullanmasıyla benzerlerinden ayrılıyor.
Sophos güvenlik araştırmacıları, daha önce nispeten alt sıralarda yer alan bir tehdit olan MegaCortex fidye yazılımının 1 Mayıs’tan itibaren başta Amerika Birleşik Devletleri, Kanada, Arjantin, İtalya, Hollanda, Fransa, İrlanda, Hong Kong, Endonezya ve Avustralya olmak üzere dünyanın pek çok yerinde aynı anda görülmeye başladığını tespit etti.
Ryuk ve BitPaymer gibi elle yönetilen bileşenlere sahip olan MegaCortex, saldırıyı yönlendirme aşamasında otomasyona dayalı araçları çok daha etkin kullanmasıyla benzerlerinden ayrılıyor. MegaCortex’in ortaya koyduğu bu yeni formül, tehdidin daha fazla kurbana çok daha hızlı ulaşmasını sağlıyor.
MegaCortex, şifrelediği sistemlere bıraktığı fidye notunda ödenmesi gereken belli bir rakam telaffuz etmiyor. Bunun yerine kurbanlarının freemail.com üzerinde açtıkları e-posta adreslerine bir mesaj göndermesini ve sabit disklerinde bulacakları dosyayı mesajlarına ekleyerek “şifre çözme hizmeti” için başvuruda bulunmasını bekliyor. Fidye notunda ayrıca fidyenin ödenmesi durumunda “bir daha kendileri tarafından asla rahatsız edilmeyecekleri garantisi” ve “şirketin siber güvenliğini güçlendirmek için danışmanlık sağlanacağı” ifadeleri de yer alıyor.
Bu yeni tehditten korunmak için önerilerimizi şöyle sıralıyoruz:
· MegaCortex’in varlığının daha önce ortaya çıkan ve halen devam eden Emotet ve Qbot saldırılarıyla ilişkili olduğunu gözlemliyoruz. Eğer güvenlik sistemlerinizde daha önce Emotet veya Qbot enfeksiyonlarıyla ilgili uyarılarla karşılaştıysanız, MegaCortex’e karşı özellikle dikkatli olun. Farklı türden zararlı kodları taşımak üzere özelleşmiş bu tehditler, MegaCortex saldırısı için yolu açmış olabilir.
· MegaCortex’in sistemlere sızmak için Uzak Masaüstü Protokolünü (Remote Desktop Protocol – RDP) kullandığına dair bir kanıta rastlamış değiliz. Ancak kurumsal firewall uygulamalarında kullanıcıların RDP bağlantısı kurmasına izin verecek boşluklar yaygın olarak yer alıyor. Bunun yerine sistem yöneticilerinin RDP bağlantılarını mutlaka VPN üzerinden sağlamalarını öneriyoruz.
· Saldırganlar yönetici şifrelerini ele geçirerek kullanmaya meyilli olduğu için iki aşamalı doğrulamayı mümkün olan her durumda aktif hale getirmeniz korunmanıza yardımcı olacaktır.
· Önemli verilerinizi düzenli olarak çevrimdışı yedekleme cihazlarında saklamanız, olası bir fidye saldırısında sizi fidye ödeme zorunluluğundan kurtaracaktır.
· Anti fidye yazılımları yardımıyla kendinizi MegaCortex ve gelecekteki benzer fidye yazılımı tehditlerinden koruyabilirsiniz.
“MegaCortex’in arkasındaki kişiler sistemlerinizde yönetici yetkisini ele geçirdikten sonra onları durdurmanızın imkanı yok. Kendi alan adı kontrolcünüzden yapılan saldırılar, organizasyonunuza zarar vermek isteyen saldırganların ihtiyaç duydukları tüm yetkileri elde etmelerinin yolunu açıyor. Bu tuzağa düşmek istemeyen kurumların öncelikle temel güvenlik kurallarını yerine getirmeleri, başkaları keşfetmeden önce kendi güvenlik açıklarının farkına varmaları gerekiyor.”
