Verileri veya cihazları şifreleyip ya da kilitleyip
para talep etmekte kullanılan fidye yazılımları siber suçlular tarafından
kullanılmaya devam ediyor. Bu yazılımlar tüm dünyada kullanıcıları ve her
ölçekten kurumları etkileyebiliyor. Çoğu güvenlik çözümü artık bilindik
sürümleri ve saldırı vektörlerini tespit edebiliyor. Ancak, sodin gibi gelişmiş
sürümlerin tespit edilmesi vakit alabiliyor. Yakın zaman önce keşfedilen bir
Windows sıfır gün açığından yararlanan (CVE-2018-8453) Sodin, bulaştığı
sistemde üst düzey yetki ediniyor.
Zararlı yazılım Sodin, “hizmet olarak fidye
yazılımı” yönteminin bir parçası gibi görünüyor. Bu yöntemde siber suçlular
şifreleyicinin dağıtım şeklini kendileri seçebiliyor. Bu zararlı yazılımın bir
üye programıyla dağıtıldığına işaret eden ipuçları bulunuyor. Örneğin, zararlı yazılımı
geliştirenler üyelerin haberi olmadan dosyaların şifresini kaldırmayı sağlayan
bir “ana anahtar” hazırlıyor. Bu anahtar dağıtımcının anahtarına ihtiyaç
olmadan dosyaları açabiliyor. Normalde kurban parayı ödediğinde şifreleri
kaldırmak için dağıtımcı anahtarları kullanılıyor. Geliştiriciler bu şekilde
kurbanların verilerinin nasıl şifrelendiğini veya fidye yazılımın dağıtım
şeklini kontrol altına alıyor. Yazılımı kullanan bazı üyelerle ilişkilerini
kesmek istediklerinde ana anahtarı kullanarak şifrelemeyi kaldırabiliyorlar.
Fidye yazılımları genellikle kullanıcının, e-posta
eki açmak veya zararlı bir bağlantıya tıklamak gibi bir etkileşimiyle etkin
hale geliyor. Ancak Sodin’i kullanan saldırganlar buna ihtiyaç duymuyor. Zayıf
bir sunucu bulup “radm.exe” adlı zararlı dosyayı indirmek için bir komut
göndermeleri yeterli oluyor. Böylece fidye yazılımını yerel olarak kaydedip
çalıştırabiliyorlar.
Sodin fidye yazılımının hedeflerinin çoğu Asya
bölgesinde yer alıyor: Saldırıların %17,6’sı Tayvan’da, %9,8’i Hong Kong’da ve
%8,8’i ise Güney Kore’de tespit edildi. Ancak Avrupa, Kuzey Amerika ve Latin
Amerika’da da saldırılar gözlendi. Hedef alınan PC’lere bırakılan notta
kurbanlardan 2500 ABD doları değerinde Bitcoin talep ediliyor.
Sodin’in tespit edilmesini zorlaştıran şey ise
“Cennet Kapısı” tekniğini kullanması. Bu teknik sayesinde zararlı yazılım
32-bit çalışma sürecinden 64-bit kod çalıştırabiliyor. Çok sık rastlanmayan bu
yöntem fidye yazılımlarda da pek görülmüyor.
Araştırmacılar Sodin’de Cennet Kapısı yönteminin
kullanılmasının ardında iki neden olduğunu düşünüyor:
· Zararlı kodun analizini zorlaştırmak. Kod denetimcilerinin tümü bu tekniği desteklemediği için zararlı yazılım tespit edilemiyor. Kurulu güvenlik çözümleri tarafından tespit edilmekten kaçınmak. Bu teknik benzetme tabanlı tespitten kaçınmakta kullanılıyor. Bu yöntemde gerçek bir bilgisayara benzeyen sanal bir ortamda şüpheli davranan kodlar belirleniyor. Daha önceden bilinmeyen tehditler bu kodları kullandığında tespit ediliyor.
Kaspersky Güvenlik Araştırmacısı Fedor Sinitsyn, “Fidye yazılımları popülerliğini korusa da her zaman böyle gelişmiş bir sürümle karşılaşmıyoruz. Yakalanmamak için işlemci mimarisinden yararlanmak, şifreleyicilerde sık gördüğümüz bir yöntem değil. Bu tür bir zararlı yazılımı geliştirmek için gereken kaynaklar düşünüldüğünde, Sodin kullanılarak gerçekleştirilen saldırıların artacağını tahmin ediyoruz Bu yazılıma yatırım yapan kişiler mutlaka karşılığını almak isteyecektir.” dedi.