Haberler

Koronavirüs Salgınında Sağlık Kurumlarına Siber Saldırılar Düzenleniyor

Bilgi Güvende

tarafından

20 Nisan 2020

tarihinde yayımlandı

Dünyanın dört bir yanındaki sağlık kurumları koronavirüs salgını ile boğuşurken, vicdan ve empatiden yoksun siber suçlular hastane, araştırma tesisleri ve devlet sağlık kurumlarına fidye yazılım ve diğer kötü amaçlı yazılım saldırıları düzenliyor. Bu kapsamda Kanada’ya bağlı bir sağlık örgütü ve medikal araştırma üniversitesinin bilgisayar ağının fidye yazılımı ile kilitlendiği kaydedildi. 24-26 Mart tarihleri arasında gerçekleştirilen saldırılar, koronavirüs salgını ile giderek artan oltalama saldırılarının bir parçası.

Kanadalı kurumların maruz kaldığı saldırının öncesinde ABD Sağlık ve İnsan Kaynakları (HHS), 10x Genomics adlı biyoteknoloji şirketi, Çek Cumhuriyeti’nden Brno Üniversite Hastanesi ve Hammersmith Medicines Araştırma şirketi benzer siber saldırılara maruz kalmıştı. Düzenlenen saldırıların Dünya Sağlık Örgütü’ne (DSÖ) aitmiş gibi gösterilen “noreply@who[.]int” e-posta adresiyle düzenlendiği belirtildi. “20200323-sitrep-63-covid-19.doc” adlı RTF formatında dosya içeren e-posta, ekteki sahte dokümanın açılması ile EDA2 fidye yazılımını aktif hale getiriyor. CVE-2012-0158 adlı açıktan yararlanan saldırı, bilgisayarlardaki verileri kilitliyor.

Dosya adı kendini ele veriyor

Güvenlik uzmanları, dosya adında verilen tarihin 23 Mart 2020’yi gösterdiğini, ancak saldırının düzenlendiği tarihlerde siber suçluların bunu değiştirme zahmetinde bile bulunmadığına dikkat çekti. EDA2 fidye yazılımı, aktif olmasının ardından kumanda ve kontrol sunucusuna (C2) fidye yazılım enfeksiyonu bilgilendirmesi olarak işlev görecek bir görüntü yüklüyor. Ardından enfekte edilen bilgisayarın bilgilerini dosyaları şifreleyecek bir anahtar oluşturmak için siber suçluların kontrolündeki sunucuya gönderiyor. Ayrıca ele geçirilen bilgisayar üzerinden Gelişmiş Şifreleme Standardı (AES) kullanılarak deşifre anahtarı oluşturuluyor.

Öte yandan uzmanlar, EDA2 gibi işlev gösteren “Hidden Tear” fidye yazılımında da revaçta olduğunu bildirdi. Her iki fidye yazılımı da siber suçluların sıklıkla kullandığı araçlar halini aldı. Güncel güvenlik raporlarına göre koronavirüs karantinası nedeniyle tüketicilerin mobil kullanımlarının artması, mobil cihazları hedef alan oltalama saldırılarını ciddi ölçüde artırdı. Siber suçluların özellikle Netflix, Airbnb gibi dijital hizmetlere ait sahte sayfalar ile kullanıcıların bilgilerini çalmaya çalıştıkları ifade edildi.