Bir Şakadan Gerçeğe Dönüşen Fidye Yazılım Tehdidi: DeathRansom 

Siber güvenlik uzmanları, ilk ortaya çıktığında “şaka” olarak kabul edilen fidye yazılım saldırısı DeathRansom’ın, geliştirilerek çok ciddi bir tehdit haline geldiği uyarısında bulundu. Uzmanlar ayrıca, DeathRansom’ın organize bir saldırı planı ile yayıldığı uyarısını paylaşıyorlar.

İlk DeathRansom saldırıları Kasım 2019’da tespit edilmişti. Kötücül yazılım ilk ortaya çıktığında etkilediği bilgisayarlardaki dosyaları şifrelemiyor, ancak bir dosya uzantısı ekleyerek fidye yazılım görüntüsü vermeye çalışıyordu.

Sahte fidye yazılım, fidye talep eden not ile kullanıcıları kandırmaya çalışıyordu. Amaç, bilgisayarına sızılan kullanıcılar dosyaları aslında şifrelenmemiş olmasına rağmen fidye elde edebilmekti.

Güvenlik uzmanları tarafından ilk ortaya çıktığında bir şaka olarak ifade edilen DeathRansom, bugün birçok farklı versiyon halinde kullanılarak ciddi bir fidye yazılım saldırısı metoduna dönüştü.

Fidye yazılımı analiz eden uzmanlar, DeathRansom’ın şifreleme şemasını inceleyerek, saldırılarda dosyaların gerçekten şifre ile kilitlendiğini belirtti.

Saldırının kaynağı bulundu ama…

DeathRansom’ın kaynak kodunu ve yayıldığı web sayfalarını araştıran güvenlik uzmanları, saldırının birkaç yıldır küresel siber suçlar işleyen bir kötü amaçlı yazılım operatörü ile bağlantılı olduğunu ortaya çıkardı.

Araştırmada, söz konusu kötü amaçlı yazılım operatörünün geçmişteki eylemlerinde bilgisayarları çoklu şifre çalan yazılımlar ile hedeflediği anlaşıldı (kullanılan yazılımlar arasında Vidar, Azorult, Evrial, 1msorryStealer yer alıyor). Ayrıca, SupremeMiner adlı kötü amaçlı yazılım ile kripto para madencilerinin de hedef alındığı anlaşıldı.

Apple Mac bilgisayarları etkileyen SupremeMiner, tarayıcılardan çerez ve diğer bilgileri toplayarak kripto para hırsızlığı için kullanılıyor.

Operatörün, hedeflediği bilgisayarlardan topladığı verilerle kullanıcı adı ve şifre gibi birçok kişisel veriyi çalıp internette sattığı fark edildi. Tüm saldırıların analiz edilmesi sonucunda, güvenlik uzmanları Rusya’da bir telefon numarası, e-posta adresi ve DeathRansom operatörü tarafından kullanıldığı tespit edilen gameshack.ru sayfasına erişti.

Tüm bilgiler bir araya getirildiğinde, operatörün sosyal medya hesapları bulundu ve siber korsanın kimliği ifşa edildi: Egor Nedugov.

Nedugov’un “Scat01” ismi ile yorum girdiği forumlarda, Vidar, Evrial ve SupremeMiner saldırılarına ait bilgiler bulundu.

Nedugov’un siber suç dünyasındaki aktif isimlerle birlikte olduğunu kaydeden güvenlik uzmanları, DeathRansom arkasındaki ismi tespit ettiklerine kesin gözüyle bakıyor.

İlgili kişinin siber suç dünyasında kurallara uymayan bir siber korsan olduğu da not düşülüyor. “Forum arkadaşlarına phishing saldırısı düzenlememe ve dolandırmama” kuralını ihlal ettiği anlaşılan Nedugov, üye olduğu tüm forumlarda bloke edilmiş.

Kaynağı bulunmuş olsa da DeathRansom, oltalama e-posta saldırıları ile yayılmaya devam ediyor.

Gerçeğinden farksız görünen e-postalarda beliren bağlantılara tıklanması halinde fidye yazılım aktif oluyor ve bilgisayardaki dosyalar şifreleniyor.

Güvenlik uzmanları, firmaların 2020’deki yeni nesil fidye yazılım saldırılarına karşı önlem alması gerektiğini vurgularken, DeathRansom’ın kilidinin kırılabilmesi için şifreleme şemasının analizlerine de devam ediliyor.