WannaCry Saldırısı

WannaCry, Amerikan Ulusal Güvenlik Ajansı (NSA) tarafından, casusluk amacıyla kullanılan Windows güvenlik açığının, sızması ve hackerların eline geçmesiyle meydana gelen global bir krizdir. Bu açığı kullanan fidye yazılımı solucanı, 2017 yılının mayıs ayından itibaren hızla yayıldı.

WannaCry çok hızlı yayıldı. Symantec ve bazı başka güvenlikçiler tarafından tespit olundu. İddiaya göre Kuzey Kore hükümetine bağlanabilecek bir siber suç örgütü olan Lazarus Grubu’nun bir operasyonu.

İçindekiler

1 WannaCry Ne Yapıyor?
2 WannaCry Ransomware Nasıl Çalışır?
3 WannaCry PC’lere nasıl bulaşır?
4 WannaCry yaması

WannaCry Ne Yapıyor?

Solucan, Windows bilgisayarlarına bulaştıktan sonra, PC’nin sabit diskindeki dosyaları şifreleyerek erişimi imkansız hale getiriyor. Şifrenin verilmesi için Bitcoin ile fidye ödemek gerekiyor. Ancak hackerların fidyeyi aldıktan sonra şifreyi vereceklerine dair bir garanti de yok.

WannaCry Ransomware Nasıl Çalışır?

WannaCry Ransomware birden fazla bileşenden oluşur. Virüs bulaşacağı bilgisayara, kendi kendini çalıştıran bir kod halinde gelir. Bu bileşenler şunları içerir:

Verileri şifreleyen ve şifresini çözen bir uygulama
Şifreleme anahtarları içeren dosyalar
Tor’un bir kopyası

Program kodu karışık değildir ve güvenlik uzmanlarının analiz etmesi nispeten kolaydı. WannaCry bir kez başlatıldığında, kodlanmış bir URL’ye (kill switch adı verilen) erişmeye çalışır ; başaramazsa, Microsoft Office dosyalarından MP3’lere ve MKV’lere kadar birçok önemli formattaki dosyaları aramaya ve şifrelemeye devam eder ve bunları kullanıcıya erişemez hale getirir. Daha sonra, dosyaların şifresini çözmek için Bitcoin olarak belli bir miktar talep eden bir fidye uyarısı görüntüler.

WannaCry PC’lere nasıl bulaşır?

WannaCry için saldırı vektörü, fidye yazılımının kendisinden daha ilginç. WannaCry’nin kullandığı güvenlik açığı, Windows Sunucu İleti Bloğu (SMB) protokolünün uygulanmasında yatıyor. SMB protokolü, bir ağdaki çeşitli düğümlerin iletişim kurmasına yardımcı olur ve Microsoft’un uygulaması özel hazırlanmış paketler tarafından rasgele kod yürütme konusunda kandırılabilir.

ABD Ulusal Güvenlik Ajansı’nın bu güvenlik açığını keşfettiğine ve infosec topluluğuna bildirmekten ziyade, EternalBlue adı verilen istismar kodunu geliştirdiğine inanılıyor. Bu istismar, 8 Nisan 2017’de Shadow Brokers olarak bilinen hack grubu tarafından çalındı. Microsoft, bir ay önce güvenlik açığını keşfetti ve bir yama yayınladı, ancak birçok sistem yamayı kullanmadı ve savunmasız kaldı. Dolayısıyla EternalBlue’u bilgisayarları enfekte etmek için kullanan WannaCry, 12 Mayıs’ta hızla yayılmaya başladı.

Bir PC’ye başarıyla virüs bulaşmış olsa bile, WannaCry dosyaları şifrelemeye başlamayacaktır. Bunun nedeni, yukarıda belirtildiği gibi, işe gitmeden önce ilk önce çok uzun ve saçma bir URL’ye erişmeye çalışır. Bu alana erişebilirse, WannaCry kendini kapatır. Bu işlevin amacının ne olduğu tam olarak belli değil. Bazı araştırmacılar bunun kötü amaçlı yazılımın yaratıcılarının saldırıyı engellemek için bir araç olduğuna inanıyordu. Bununla birlikte, WannaCry’nin bu URL ile iletişim kurmaya çalıştığını keşfeden İngiliz güvenlik araştırmacısı Marcus Hutchins, kodun analizini zorlaştırmak için yapıldığına inanıyor.

Hutchins yalnızca kodlanmış URL’yi keşfetmekle kalmadı, aynı zamanda etki alanını kaydettirmek ve orada bir site kurmak için 10,96 dolar ödedi, böylece kötü amaçlı yazılımın yayılmasını engellemese de, körelmesine yardımcı oldu. Bunun için bir kahraman olarak selamlandıktan kısa bir süre sonra Hutchins, 2014’te farklı kötü amaçlı yazılımlar geliştirdiği iddia edildi. Ama sonradan masumiyeti ortaya çıktı.

WannaCry yaması

İronik olarak, WannaCry enfeksiyonlarını önlemek için gereken düzeltme eki saldırı başlamadan önce gerçekten mevcuttu: 14 Mart 2017 tarihinde yayımlanan Microsoft Güvenlik Bülteni MS17-010, SMB protokolünün Windows uygulamasını EternalBlue yoluyla bulaşmayı önlemek için güncelledi. Bununla birlikte, Microsoft’un yamayı kritik olarak işaretlemesine rağmen, WannaCry’nin hızlı yayılmasına başladığında birçok sistem hala 2017 Mayıs ayından itibaren yamalamaya başladı.

Enfekte olan yamalı sistemler için, dosyaları güvenli bir yedekten geri yüklemenin ötesinde bir çözüm yoktur – bu nedenle dosyalarınızı her zaman yedeklemeniz gereken bir ders olsun.