Sophos, geçtiğimiz hafta MegaCortex adlı yeni bir fidye yazılımının küresel ölçekte yükselişine dikkat çekerek detaylı bulguları paylaştı.
Başta ABD, Kanada, Arjantin, İtalya, Hollanda, Fransa, İrlanda, Hong Kong, Endonezya ve Avustralya olmak üzere pek çok ülkede eş zamanlı olarak yükselişe geçen MegaCortex, Türkiye’deki kurumları da tehdit ediyor.
Sophos Kıdemli Güvenlik Danışmanı John Shier, Konuyla ilgili görüşlerini paylaştı. Shier: “Sophos güvenlik araştırmacıları, daha önce nispeten alt sıralarda yer alan bir tehdit olan MegaCortex fidye yazılımının 1 Mayıs’tan itibaren başta Amerika Birleşik Devletleri, Kanada, Arjantin, İtalya, Hollanda, Fransa, İrlanda, Hong Kong, Endonezya ve Avustralya olmak üzere dünyanın pek çok yerinde aynı anda görülmeye başladığını tespit etti.
MegaCortex, Ryuk ve BitPaymer gibi elle yönetilen bileşenlere sahip. Saldırıyı yönlendirme aşamasında otomasyona dayalı araçları çok daha etkin kullanmasıyla benzerlerinden ayrılıyor. MegaCortex’in ortaya koyduğu bu yeni formül, tehdidin daha fazla kurbana çok daha hızlı ulaşmasını sağlıyor.
MegaCortex, şifrelediği sistemlere bıraktığı fidye notunda ödenmesi gereken belli bir rakam telaffuz etmiyor. Bunun yerine kurbanlarının freemail.com üzerinde açtıkları e-posta adreslerine bir mesaj göndermesini istiyor. Sabit disklerinde bulacakları dosyayı mesajlarına ekleyerek “şifre çözme hizmeti” için başvuruda bulunmasını bekliyor. Fidye notunda ayrıca fidyenin ödenmesi durumunda “bir daha kendileri tarafından asla rahatsız edilmeyecekleri garantisi” ve “şirketin siber güvenliğini güçlendirmek için danışmanlık sağlanacağı” ifadeleri de yer alıyor” dedi.
Shier, Sophos olarak bu yeni tehditten korunmak için önerilerini ise şöyle sıraladı:
· MegaCortex’in varlığının daha önce ortaya çıkan ve halen devam eden Emotet ve Qbot saldırılarıyla ilişkili olduğunu gözlemliyoruz. Eğer güvenlik sistemlerinizde daha önce Emotet veya Qbot enfeksiyonlarıyla ilgili uyarılarla karşılaştıysanız, MegaCortex’e karşı özellikle dikkatli olun. Farklı türden zararlı kodları taşımak üzere özelleşmiş bu tehditler, MegaCortex saldırısı için yolu açmış olabilir.
· Sophos olarak MegaCortex’in sistemlere sızmak için Uzak Masaüstü Protokolünü (Remote Desktop Protocol – RDP) kullandığına dair bir kanıta rastlamış değiliz. Ancak kurumsal firewall uygulamalarında kullanıcıların RDP bağlantısı kurmasına izin verecek boşluklar yaygın olarak yer alıyor. Bunun yerine sistem yöneticilerinin RDP bağlantılarını mutlaka VPN üzerinden sağlamalarını öneriyoruz.
· Saldırganlar yönetici şifrelerini ele geçirerek kullanmaya meyilliler. Bu nedenle iki aşamalı doğrulamayı mümkün olan her durumda aktif hale getirmeniz korunmanıza yardımcı olacaktır.
· Önemli verilerinizi düzenli olarak çevrimdışı yedekleme cihazlarında saklayın. Bu şekilde olası bir fidye saldırısında fidye ödeme zorunluluğundan kurtulabilirsiniz.
· Sophos Intercept X ve benzeri anti fidye yazılımları yardımıyla kendinizi MegaCortex ve gelecekteki benzer fidye yazılımı tehditlerinden koruyabilirsiniz.