Haberler
WannaRen Fidye Yazılımının Kodlayıcısı Deşifre Anahtarını Paylaştı
WannaRen fidye yazılımının arkasındaki Hidden Shadow adlı siber suç örgütü, bir siber güvenlik şirketi ile temasa geçerek deşifre anahtarını paylaştı. İşte detaylar…
Nisan ayında Çin’de ortaya çıkan WannaRen adlı fidye yazılım, birkaç ay içinde ülke anakarasının yanı sıra Tayvan’daki binlerce şirketi mağdur etmişti. Araştırmalar, WannaRen’in Mayıs 2017’de gündeme gelen WannaCry fidye yazılımının kodundan üretildiğini ortaya çıkardı. Ek olarak WannaRen fidye yazılımının EternalBlue güvenlik zafiyetini kullanarak şirketlerin bilgisayar ağlarına kolayca sızdığı anlaşıldı. ABD Ulusal Güvenlik Ajansı (NSA) tarafından geliştirilen EternalBlue, Nisan 2017’de Shadow Brokers siber suç örgütü tarafından sızdırılmıştı.
WannaCry gibi kısa zamanda on binlerce şirketin kâbusu haline gelen WannaRen’in, Kuzey Kore merkezli siber korsanlar tarafından geliştirildiği ve elde edilen fidyelerin Pyongyang rejimini desteklemek için kullanıldığı kaydedildi. Ayrıca Çin merkezli siber güvenlik şirketi Qihoo 360, WannRen yazılımcılarının “Hidden Shadow” adı verilen bir siber suç örgütü olduğunu tespit etti.
Hidden Shadow, fidye yazılımını yaymak için Çin’de oldukça popüler bir dosya indirme platormu olan Xixi üzerinden Notepad++ metin editleme uygulamasını kullandı. Fidye yazılımın bir anda etkisini hissettirmesinin ardından binlerce Çinli kullanıcı sosyal medya, internet forumları ve sohbet gruplarında fidye yazılımı deşifre edebilmek için yardım çağrısında bulundu.
WannaRen, ağırlıklı olarak bireysel kullanıcıları etkilemekle birlikte binlerce şirketin bilgisayar ağına sızmayı da başardı. Notepad++ uygulamasının tuzaklı versiyonunu indiren kullanıcılar, yüklemeyi başlattıkları anda bir arka kapı trojanını indirmiş oldular. Buradan yola çıkarak EternalBlue zafiyetini kullanan yazılım, PowerShell komut dizisini kullanarak WannaRen’in indirilmesi ve yüklenmesine neden oldu.
Kâbus sona erdi
Şifreledikleri bilgisayarlarda 0.05 BTC (yaklaşık 550 dolar) fidye talep eden Hidden Shadow’un, kısa süre sonra ise Çin’in yaptırımlarından endişe duyarak ülkedeki siber güvenlik firmalarından Huorong Security ile temasa geçtiği öğrenildi.
Siber güvenlik uzmanları ile yapılan e-posta yazışmalarının ardından Hidden Shadow, fidye yazılımının deşifre anahtarını paylaştı.
9 Nisan’da yapılan paylaşımın ardından Huorong, WannaRen deşifre aracını yayınlarken, QiAnXin Technology şirketine bağlı RedDrip siber güvenlik birimi de benzer bir deşifre aracı sundu.
En nihayetinde WannaRen kâbusu büyük ölçüde sona erdi. Zira Nisan ayında dosyaları şifrelenen kullanıcılar, bedava deşifre araçları ile söz konusu verilerini kurtarabiliyor.
