FortiGuard Labs, “Big Head” ve muhtemelen aynı saldırgan tarafından kullanılan ve tüketicilerden para sızdırmayı hedefleyen başka bir fidye yazılımı olmak üzere iki yeni fidye yazılımı varyantıyla karşılaştı.
Bu varyant Mayıs 2023’te ortaya çıktı. Big Head fidye yazılımının en az üç varyantı olmasına rağmen, hepsi diğer fidye yazılımı varyantları gibi para sızdırmak için kurbanların makinelerindeki dosyaları şifrelemek üzere tasarlanmış.
Big Head fidye yazılımı örneklerinin çoğu Amerika Birleşik Devletleri’nden gönderilmiş. Aynı saldırgan tarafından kullanılan bir başka fidye yazılımı ise Amerika Birleşik Devletleri, İspanya, Fransa ve Türkiye’den gönderilmiş.
FortiGuard Labs, Big Head fidye yazılımının A ve B varyantları olarak adlandırılan en az iki varyantını tespit etti.
A Varyantı
Big Head fidye yazılımı A varyantı çalıştırıldığında, kullanıcıları perde arkasında meşru eylemlerin gerçekleştiğine inandırmak için sahte bir Windows Update ekranı görüntülüyor. Sahte Windows Güncellemesi yaklaşık 30 saniye sürüyor ve otomatik olarak kapanıyor. Sahte güncelleme tamamlandığında, fidye yazılımı, dosya adları rastgele değiştirilmiş tehlikeye atılmış makinelerdeki dosyaları çoktan şifrelemiş oluyor.
Fidye yazılımı daha sonra “README_[rastgele yedi basamaklı sayı] etiketli bir fidye notu açıyor ve kurbanların dosya şifre çözme ve veri sızıntısı için e-posta veya Telegram yoluyla saldırganla iletişime geçmesini talep ediyor.
B Varyantı
Big Head fidye yazılımı B varyantı tehlikeye atılmış makinelerdeki dosyaları şifrelemek için tasarlanmış. Analizler, B varyantının dosya şifreleme için “cry.ps1” adlı bir PowerShell dosyası kullandığını ortaya çıkardı. B varyantı bazı durumlarda cry.ps1 dosyasını bırakmıyor ve dosya şifreleme gerçekleşmiyor. Ancak bu durum B varyantının masaüstü duvar kağıdını kendi fidye notu ile değiştirmesini engellemiyor. A varyantı gibi, fidye notu da kurbanların aynı e-posta adresini veya telegram kanalını kullanarak saldırganla iletişime geçmesini istiyor. Aradaki fark, B varyantı fidye notunda bir Bitcoin’lik bir fidye ücretinin yer alması. Fidye ücretinin nispeten düşük olması, Big Head fidye yazılımının işletmelerden ziyade tüketicileri hedef almak için kullanıldığını gösteriyor.
B varyantı ayrıca duvar kağıdı ile aynı fidye mesajını içeren “Önce Beni Oku!/txt” etiketli bir fidye notu bırakıyor.
Kurumlar ne yapabilir?
Fidye yazılımlarının çoğu genellikle oltalama yoluyla iletildiğinden, kurulmların, kullanıcıları oltalama tehditlerini anlamaları ve tespit etmeleri için eğitmek üzere tasarlanmış Fortinet çözümlerinden yararlanmayı düşünmesi gerekiyor. FortiPhish Kimlik Avı Simülasyon Hizmeti, kurumların kimlik avı tehditlerine karşı kullanıcı farkındalığını ve dikkatini test etmesine ve kullanıcılar hedefli kimlik avı saldırılarıyla karşılaştığında doğru uygulamaları eğitmesine ve pekiştirmesine yardımcı olmak için gerçek dünya simülasyonlarını kullanıyor.
Kurumların, gelişen ve hızla artan fidye yazılımı riskiyle etkin bir şekilde başa çıkabilmeleri için veri yedeklemelerinin sıklığı, konumu ve güvenliği konusunda temel değişiklikler de yapmaları gerekiyor. Dijital tedarik zincirinin tehlikeye girmesi ve ağa uzaktan bağlanan işgücü ile birleştiğinde, saldırıların her yerden gelebileceğine dair gerçek bir risk ortaya çıkıyor. Riski en aza indirmek ve başarılı bir fidye yazılımı saldırısının etkisini azaltmak için Ağ dışı cihazları korumak için SASE gibi bulut tabanlı güvenlik çözümleri; kötü amaçlı yazılımı saldırının ortasında engelleyebilen EDR (uç nokta algılama ve yanıtlama) çözümleri gibi gelişmiş uç nokta güvenliği ve politika ve bağlama dayalı olarak uygulamalara ve kaynaklara erişimi kısıtlayan Zero Trust Access-Sıfır Güven Erişimi ve ağ segmentasyonu stratejilerinin tümünün araştırılması gerekiyor.
Fortinet Nasıl Yardımcı Olabilir?
Fortinet, güvenlik ekosisteminizde yerel sinerji ve otomasyon sağlayan sektörün önde gelen tam entegre Security Fabric’in bir parçası olarak, geniş bir teknoloji ve insan tabanlı as-a-service teklifleri portföyü sunuyor. Bu hizmetler, deneyimli siber güvenlik uzmanlarından oluşan küresel FortiGuard ekibi tarafından destekleniyor.
Fortinet müşterileri, AntiVirus ve FortiEDR hizmetleri aracılığıyla bu zararlı yazılım varyantına karşı aşağıdaki şekilde korunuyor: FortiGuard Labs, bilinen Big Head fidye yazılımı varyantlarını aşağıdaki AV imzaları ile tespit ediyor:
– MSIL/Fantom.R!tr.ransom
– MSIL/Agent.FOV!tr
– MSIL/Kryptik.AGXL!tr
– MSIL/ClipBanker.MZ!tr.ransom
FortiGuard AntiVirus hizmeti FortiGate, FortiMail, FortiClient ve FortiEDR tarafından destekleniyor. Güncel AntiVirus güncellemelerini çalıştıran Fortinet EPP müşterileri de korunuyor.
