EKANS Fidye Yazılımı Sanayi Kontrol Sistemlerine Saldırıyor

Verizon 2020 veri ihlali raporuna göre fidye yazılım saldırıları, geçtiğimiz yıl düzenlenen tüm siber saldırıların 3’te 1’ini oluşturdu. Güvenlik uzmanları, altyapı ve üretim gibi kritik sistemler üzerinde uygulandıkları zaman fidye yazılımların “yıkıcı” etki gösterdiğini ve birçok şirketin ana faaliyetlerini korumak için ödeme yapmak zorunda kaldığını kaydediyor.

Bu noktada EKANS fidye yazılım ailesinin hedefli ICS saldırılarında öne çıktığı tespit edildi. Analizler, Mayıs ve Haziran tarihli EKANS kullanılan iki saldırı örneği ile ilgili ilginç detaylar sunuyor. Örneğin her iki örneğin, kötü amaçlı yazılım sektöründe tercih edilen GO programlama dili ile Windows‘a uyumlu şekilde yazıldığı belirtildi. GO, farklı işletim sistemleri üzerinde kullanılabilen yazılımlar geliştirilmesine izin verdiği için kötü amaçlı yazılım sektöründe ön planda.

Analizler Mayıs ayında hazırlanan EKANS’ın çok sayıda kodlama hatası bulunduruyor olmasına karşın ICS sistemlerine yönelik etkin bir saldırı için kullanılabildiğini gösteriyor. Buradan yola çıkılarak EKANS’ın spesifik bir hedef belirlediği ve buna ait alan adını IP listesinde taramadan geçirdiği görülüyor. Eğer hedef doğrulanmazsa, alan adı taraması doğrulama yapılana kadar devam ediyor. Hedef belirlendiğinde ise fidye yazılım, alan adı kontrollerini zorlayarak sisteme sızmaya çalışıyor.

Belli dosyalar şifreleniyor…

Araştırmacılar, Mayıs ayında hazırlanan saldırı örneklerinin sistemlere sızdıktan sonra sıradan bir fidye yazılım gibi davrandığını da buldu. Belli dosyalar şifreleniyor ve kullanıcıya fidye ödemesi gerektiği mesajı gönderiliyor. Haziran ayına ait örnek ise bir adım ileri giderek sızdığı sistemdeki tüm güvenlik bariyerlerini tahrip ediyor, hatta güvenlik duvarlarını devre dışı bırakabiliyor. Dahası, fidye yazılım dosyaları şifrelemeden önce güvenlik duvarını etkisiz hale getirip sistemdeki diğer önlemleri de taramadan geçiriyor ve onlara da saldırıyor.

EKANS, hedeflediği sisteme sızdığı anda önlenmesi neredeyse imkânsız bir tahribata yol açıyor. Fidye yazılımın çalışmasına mâni olacak tüm sistemleri devre dışı bırakıyor ve dosyaları kurtarmayı iyice zorlaştırmak için çok sayıda sahte kopya oluşturuyor.

Güvenlik uzmanları, gelişmiş fidye yazılım saldırılarına karşı koyabilmek için şirketlerin ‘süreklilik halinde’ hazırlıklı olması gerektiği uyarısını yineliyor. Bunu yapabilmek için siber saldırganların kullandığı temel yöntemlere dikkat edilmesi önemli. EKANS ve diğer fidye yazılım saldırılarını mümkün kılan temel yöntemler arasında uzaktan cihaz kontrolü, çalıntı kimlik bilgileri ile sistemleri ele geçirme, bilgisayar ağlarına sızma, siber güvenlik araçlarını devre dışı bırakma/değiştirme, Windows ayarlarını değiştirerek güvenliği devre dışı bırakma ve cihaz ayarlarını değiştirme yer alıyor.