ICT Media
Kaspersky’nin Avrupa ve Asya’da incelediği iki vakada tespit edilen ve ilk olarak 2020 ilkbaharında duyulan VHD fidye yazılımının Kuzey Koreli ünlü APT grubu Lazarus tarafından yönetildiği belirlendi. Lazarus’un kendi fidye yazılımını geliştirip yayması, grubun yeni bir strateji benimsediğini ve devlet destekli APT gruplarında nadir görülen bir şekilde büyük ölçekli maddi kazanç için saldırıya geçmeye hazırlandığını gösteriyor.
Mart ve Nisan 2020’de aralarında Kaspersky’nin de yer aldığı bazı siber güvenlik kuruluşları VHD fidye yazılımını raporlamıştı. Kurbanlardan para sızdırmak için tasarlanan bu zararlı program kendi kendini kopyalama özelliğiyle dikkat çekmişti. Zararlı yazılımın kurbana özel kimlik bilgileriyle derlenen bir araçla dağıtılması akla APT saldırılarını getirmişti. O dönemde saldırıların arkasında kimin olduğu henüz kesin olarak belirlenmemiş olsa da Kaspersky araştırmacıları, Fransa ve Asya’da şirketlere yönelik kullanıldığı bilinen Lazarus araçlarıyla olan yakın ilişkisi nedeniyle VHD fidye yazılımı ile Lazarus arasında büyük olasılıkla bir ilişki olduğunu dile getirmişti.
Mart ve Mayıs 2020 dönemlerinde VHD fidye yazılımına yönelik iki ayrı araştırma düzenlendi. Avrupa’da gerçekleşen ilk vakada saldırının arkasında kim olduğuna dair fazla ipucu bulunmasa da APT gruplarının kullandıklarına benzer yayılma yöntemlerinin görülmesi araştırma ekibinin dikkatini çekti. Ayrıca, saldırının büyük kuruluşları hedef alan gruplarda görülen yöntemlerden farklı bir yol izlemesi de merak uyandırdı. VHD fidye yazılımının örneklerinin birkaç açık referans ile yalnızca sınırlı sayıda görülmesi de bu fidye yazılımının, genel durumun aksine karaborsada yaygın bir şekilde satılmadığını da gösterdi.
VHD fidye yazılımının görüldüğü diğer vaka ise tüm yayılma zincirini ortaya koyarak araştırmacıların bu programın Lazarus’la ilişkili olduğunu anlamasını sağladı. Elde edilen bilgiler arasında en önemli olan ise saldırganların MATA adlı çok platformlu çerçevenin parçası olan bir arka kapı kullanmaları oldu. Kaspersky’nin hakkında ayrıntılı bir rapor hazırladığı bu çerçeve, çeşitli kod ve araç benzerlikleri nedeniyle Lazarus ile ilişkilendiriliyordu.
Tüm bu bulgular Lazarus’un bugüne kadar düzenlenen VHD fidye yazılımı saldırılarının arkasında olduğunu gösterdi. Bu saldırılar ayrıca Lazarus grubunun maddi kazanç için hedefli fidye yazılımlarını kullandığını tespit edildiği ilk saldırılar oldu. Ayrıca siber suç ekosisteminde pek görülmeyen bir şekilde grubun kendi fidye yazılımını geliştirip kullandığı belirlendi.
“Lazarus’un her zaman maddi kazanç peşinde olduğunu biliyoruz fakat WannaCry’dan bu yana fidye yazılımlarıyla ilgili bir girişimlerine rastlamamıştık. Grubun hedefli fidye yazılımlarına yönelik bu vur kaç taktiğiyle diğer siber suç çetelerinin verimine ulaşamayacağı kesin olsa da bu tür saldırılara yönelmiş olması endişe verici. Dünya genelinde fidye yazılım tehdidi şu anki haliyle de yeterince büyük. Bu saldırıların hedefi olan kurumlar neredeyse iflasın eşiğine gelecek kadar olumsuz sonuçlar yaşayabiliyor. Burada önemli olan soru, bu saldırıların tek seferlik bir deney mi yoksa yeni bir eğilimin parçası mı olduğu. Özel şirketler, devlet destekli tehdit gruplarının hedefi olmaktan endişe duymalılar mı?” diyen Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Ivan Kwiatkowski, sözlerini şöyle sürdürdü: “Her durumda, kurumların veri güvenliğinin her zamankinden de önemli hale geldiğini aklından çıkarmaması gerekiyor. Kurumlar mutlaka önemli verilerin ayrı yedeklerini saklamalı ve etkin güvenlik önlemleri almalı.”
