Sophos, ProLock adlı yeni fidye yazılımı üzerinde yaptığı analizlerde ilgi çekici bulgulara ulaştı. ProLock, diğer fidye yazılımlarında olduğu gibi dosyaların tamamını şifrelemek yerine dosyaların sadece bir kısmının şifrelendiği yeni bir tekniğe başvuruyor. Ancak ProLock saldırısına uğrayanlar, fidye ödemeyi kabul etseler dahi kendilerine gönderilen şifre çözücünün bu dosyaları eski haline getiremediğinden ve işleri çok daha zorlaştırdığından şikayet ediyor.
SophosLabs’ın yaptığı detaylı analizler, ProLock adlı yeni fidye yazılımının alışılmadık bir şifreleme tekniği uyguladığını ortaya koyuyor. ProLock, şifreleme sırasında 8.192 byte uzunluğuna kadar olan küçük dosyaları es geçerken, büyük dosyaları ilk 8.192 byte sonrasından itibaren şifrelemeye başlıyor. Bu da dosyaların bir kısmının okunabilir, bir kısmının şifreli olmasına yol açıyor.
Ancak bu durum önemli bir sorunu beraberinde getiriyor: ProLock saldırısına uğrayan kurumlar, fidye ödemeyi kabul etseler dahi kendilerine gönderilen şifre çözücünün kısmi olarak şifrelenmiş dosyaları eski haline getiremediğini, hatta işi daha da karmaşık hale getirerek dosyaların kurtarılma ihtimalini iyice zayıflattığını söylüyor. Bu da fidye ödemeyi kabul etmeniz durumunda bile dosyalarınızı geri alamayabileceğiniz anlamına geliyor. Bu nedenle şirket ve kurumların ProLock’a karşı özellikle dikkatli olması gerekiyor.
ProLock dosyaları şifrelemeye fırsat bulamasa dahi, planlı ve kapsamlı bir saldırının son ayağını temsil ettiği için bulaştığı kurumlarda ciddi ekonomik zararlara neden olabilme potansiyeline sahip. Bu nedenle kurumların bu gibi saldırılardan korunmak için uzak masaüstü erişimini sanal özel ağ aracılığıyla gerçekleştirmesi ve uzaktan erişimde iki aşamalı kimlik doğrulamayı hızla devreye alması gerekiyor.
Ayrıca ProLock ve benzer fidye yazılımlarının neden olacağı zararların engellenmesinde düzenli çevrimdışı yedekler almak ve Intercept X with EDR gibi güncel güvenlik çözümlerinden faydalanmak büyük önem taşıyor.
Sophos Kıdemli Güvenlik Uzmanı Sean Gallagher, konuya dair şunları söylüyor:
“En iyi koşullar altında bile fidye yazılımı saldırılarından kurtulmak oldukça zordur. Ancak ProLock’un kullandığı olağandışı şifreleme tekniği ve paylaşılan şifre çözücünün işini düzgün yapmaması, fidye ödemeyi kabul edenler için bile bu süreci çok daha zor ve karmaşık hale getiriyor. ProLock, yayılmak için diğer pek çok fidye yazılımının başvurduğu uzak masaüstü protokolü (RDP), kimlik avcılığı, üçüncü parti kötü amaçlı yazılımlar ve organizasyon içinde hareket etmek için yerel Windows araçlarını kullanmak gibi alışıldık taktiklerden yardım alıyor. Kodlarını gizlemek için steganografiye başvurmaları ve saldırının başlangıcında PowerShell komut dosyaları arasına gizlenmeleri, güçlü bir güvenlik çözümü olmadan bu tür saldırıların tespitin oldukça zorlaştırıyor. Kurumların özellikle RDP ve uzaktan erişimi nasıl sağladıklarına çok dikkat etmesi gerekiyor. Uzaktan erişimde iki aşamalı kimlik doğrulamayı aktif hale getirmek ve RDP oturumlarını sanal özel ağların arkasından gerçekleştirmek, bu gibi saldırıların başarıya ulaşma olasılığını önemli ölçüde azaltacaktır.”