RobinHood ile Tanışın : Bir Şehrin Tamamını Etkileyen Fidye Yazılımı
Saldırısı
Siber güvenlik
ile ilgili her türlü soru ve yardım talebiniz için: sparta@sparta.com.tr
Birkaç
gün evvel yeni bir fidye yazılımı saldırısı ile tanıştık: RobinHood.
Bilgisayar
ağının tamamını hedefleyen ve erişim sağlayabildiği tüm bilgisayarları
şifreleyen zararlı yazılımın başarıya ulaşması durumunda saldırganlar ilk
olarak tek bir bilgisayarı açmak için bir miktar Bitcoin istiyor, ardından
şifrenin dosyaları kurtarabildiğinin ispatlanması ile daha yüksek bir fidye
talep edilerek tüm ağın şifresinin kaldırılması sağlanıyor.
Şu
anda bu fidye yazılımı ile çok detaylı bir bilgi bulunmamakla birlikte fidye
yazılımı notu ve birçok kurbandan gelen şifrelenmiş dosyalar incelenebilmiş ve
fidye yazılımının nasıl çalıştığı konusunda bir araştırma yapılabilmiş.
Özellikle
ilgi çekici olan bir kısım ise; kurbanlarının mahremiyetinin kendileri için
önemli olduğunu vurgulayarak, ödeme yapılması durumunda kurbanı ifşa
etmeyeceklerini belirttikleri fidye notları yollamaları.
Fidye notuna göre, RobinHood fidye yazılımının ardındaki kişiler ağın tamamına
sızmaya çalışıyor ve erişim sağlayabilirlerse ağda bulunan ne kadar çok
bilgisayara fidye yazılımı yayabilirlerse hızla yayıyorlar. Kullanılan
şifreleme sistemi hakkında henüz hiçbir bilgi bulunmuyor ancak şifrelenmiş olan
dosyaların genel olarak benzer isimle
(Encrypted_b0a6c73e3e434b63.enc_robbinhood.) kaydedildiği tespit edilmiş.
Fidye
yazılımı aynı anda 4 farklı isimle fidye notu iletiyor. Bu notların isimleri
ise; _Decryption_ReadMe.html, _Decrypt_Files.html, _Help_Help_Help.html,
and _Help_Important.html.
Bu
fidye notları kurbanın dosyalarına ne olduğu hakkında bilgi, istenen fidye
tutarı, fidyeciler ile görüşme sağlayabilmek için linkler ve ücretsiz olarak
10MB’a kadar 3 dosyanın açılabilmesi için gerekli bilgileri içeriyor. Bu
notlarda iletilen farklı fidye tutarları tek bir bilgisayarın mı yoksa komple
ağın mı kurtarılmasını istediğinize bağlı olarak değişiyor. BleepingComputer
tarafından incelenen bir fidye yazılımı notunda tek bilgisayar için 3 bitcoin,
tüm ağ için 7 bitcoin istendiği görülmüş. Aynı zamanda kurbanları hızlı hareket
etmeye zorlamak amacıyla, fidye ödemesi 4 gün içerisinde yapılmadığı takdirde
tutarın 10.000 Dolara yükseleceği de belirtiliyor.
RobinHood’un
ardındaki saldırganlar fidye yazılımının Tor ödeme sayfasında, kurbanlarının
mahremiyetinin onlar için önemli olduğunu ve ödeme yapıldıktan sonra hiçbir
bilgi ifşa edilmeyeceği gibi şifreleme anahtarlarının ve IP adreslerinin de
silineceğini söylüyor.
Daha
da ilginç olan ise; kurbanlarına saldırıya uğradıklarını kamuya açıklamaları
gerekmediğini, sırlarının onlarla güvende olduğunu söylemeleri.
Şimdiye
kadar yaşanan fidye yazılımı saldırılarında bu şekilde bir tavsiye verilmesi
bir ilk. Bu şekilde, kuruluş itibarına zarar vermeden ve bir veri sızıntısı
halinde ceza ödemek zorunda kalmadan fidyeyi gönül rahatlığı ile
ödeyebilecekleri konusunda kurbanlar hem zorlanıyor hem de rahatlatılıyor ve
elbette fidye ödemesinin yapılması ihtimalini de oldukça yükseltiyor.
Geçtiğimiz
haftanın önemli haberlerinden bir tanesi Kuzey Carolina’da bulunan Greenville
şehrinin tüm ağını etkileyen bu fidye yazılımı saldırısı oldu ve bu sayede
RobinHood’da adını duyurdu.
News Channel 12 haberine göre, Kuzey
Carolina’da, şehir tümüyle RobinHood fidye yazılımından etkilendi ve 10
Nisan Çarşamba günü zararı kontrol altına alabilmek adına neredeyse tüm ağ
bağlantılarını kesmek zorunda kaldılar. Şehir yetkilileri tarafından yapılan
açıklamada fidye notunun kendilerine ulaştığı söylenirken, fidye ödemesinin
yapılmasının düşünülmediği de belirtildi.
ABD’nin
diğer şehirlerindeki BT uzmanları ve FBI’ın yardımları ile fidye yazılımının
ardındaki failleri bulmak için ortaklaşa bir çalışma başlatıldığı da açıklandı.
Haber
videosunu dilerseniz aşağıdaki linkten izleyebilirsiniz:
