İngiltere araştırma koleji Newcastle Üniversitesi, DoppelPaymer fidye yazılımı yöneticilerinin. 30 Ağustos sabahı sisteme girip sistemlerin bağlantısını kesmesinin ardından. BT yönetimlerini yeniden çevrimiçi duruma getirmenin biraz zaman alacağını söylüyor.

 Saldırı şu anda İngiltere Polisi ve Ulusal Suç Dairesi tarafından Newcastle Üniversitesi BT Servisi (NUIT) ile işbirliği içinde araştırılıyor.

Haftalar Süren Kurtarma Çabalar

“30 Ağustos 2020 Pazar günü, Üniversitemizin sistemlerimizde ve BT sistemlerimizde operasyonel. Rahatsızlıklara neden olan gerçek bir dijital olay yaşadığının farkına vardık” dedi.

 “Tüm Üniversite sistemleri- değiş tokuşlarda kaydedilenlerin özel durumlarıyla. (Office365 – e-posta ve Takımlar, Canvas ve Zoom dahil) ya erişilemez ya da kısıtlamalarla erişilebilir. Üniversite, hesap parolalarının da aynı şekilde sıfırlanıp sıfırlanmayacağını henüz seçmedi.  Ancak iç yardım gruplarına ve dışarıdan uzmanların önerilerine bağlı olabileceğini söylüyor.

 Newcastle Üniversitesi, temelde yatan saldırıdan yedi gün sonra, bugün dağıtılan bir güncellemede. “Sorunun doğası, bunun uzun bir süre devam eden bir durum olacağını ima ettiğini ve ele alınması yarım ay alacağını söylüyor.

“Olayla ilgili inceleme henüz başlangıç   aşamasındadır.  BT ortakları, sistem iyileştirme planına uymaya devam ediyor ve Polise ve Ulusal Suç Dairesine soruşturmalarında yardımcı oluyor.  Öyle olsa bile, bu temel inceleme bitene kadar bölüm hakkında daha fazla ayrıntı paylaşma seçeneğimiz olmayacak.  ICO ve Öğrenci Ofisi, dijital olay tanındıktan sonraki 72 saat içinde bilgilendirildi.  – Newcastle Üniversitesi temsilcisi

Sınırlı Sayıda BT Hizmeti Mevcuttur

Üniversiteye göre, şu anda BT yöneticilerinin önemli bir kısmı şu anda bağlantısı kesilmiş. Durumda ve “dönem boyunca” çalışmıyorken, çalışanlar iyileşme çabaları sırasında haber verilmeksizin indirilebilir.

 Newcastle Üniversitesi aynı şekilde şu güncellemeyi içeriyor:

  •  Çalışanlar, bildirimde bulunmaksızın BT hesaplarına girişlerini kaybedebilirler ve hızlı bir şekilde yeniden yetkilendirilmeyebilirler.
  •  NUIT, tuttuğunuz veya kullandığınız herhangi bir BT sisteminde kabul edilmenizi gerektirebilir.
  •  Ayrıntılı incelemeleri tamamlamak için, bilgisayarları, çalışanları veya farklı aygıtları, etkilendiklerini keşfetme ihtimalimize karşı ortadan kaldırmamız gerekebilir.

 İlerleyen incelemeler sırasında, alt çalışmalar ve temsilciler Office365 (e-posta, Office uygulamaları ve Teams iletişim kanalları), müşteri aracılığıyla. SAP merkezi yönetimleri (web arayüzü hala çalışmıyor) ve Zoom dahil olmak üzere sınırlı bir BT yönetimi düzenlemesine yaklaşacaklar.

 Kolej aynı şekilde, alt çalışmalardan ve personelden, birimin teklif sürücüsündeki temel belgeleri OneDrive kayıtlarına kopyalamalarını istedi.

 Üniversite, “Uygun olduğunda, işle ilgili temel bilgileri ve kayıtları kopyalayıp OneDrive’ınıza yedeklemenizi öneririz,” dedi.  “Yeni kayıtlar da aynı şekilde yapılabilir ve OneDrive’ınızda tasarruf edilebilir. Lütfen sadece temel kayıtları değiştirin ve belgeleri çoğaltmayın veya kendi kayıtlarınıza göndermeyin.”

ALINTI – Newcastle Üniversitesi’nde çalışıyorsanız veya orada çalışan birinin bu bölümle ilgili doğrudan. Verilerle çalıştığını fark ederseniz, bize Signal’den +16469613731 numaralı telefondan gizlice ulaşabilirsiniz.

DoppelPaymer Saldırının Arkasında Olduğunu İddia Ediyor

Newcastle Üniversitesi dijital bir saldırıya uğradıkları konusunda hemfikir olsa da, DoppelPaymer fidye yazılımı yöneticileri dikkatli olduklarını iddia ediyorlar.  Aynı şekilde, Şubat 2020’den bu yana Maze Ransomware’den aldıkları bir strateji olan bilgi sızıntısı siteleri. ‘Dopple Leaks’de onay olarak 750 KB değerinde alınan bilgileri paylaştılar.

 DoppelPaymer, Haziran 2019 ortasından bu yana, yönetici sertifikalarına erişerek ve bunları tüm sisteme fidye yazılımı yüklerini tüm cihazlara göndermek. İçin pazarlık yapmak için kullanarak her durumda saldırı girişimi odaklarına yönelik olarak bilinen bir fidye yazılımı etkinliğidir.

Saldırılarının yaralılarının sistemlerinde yüzlerce ve hatta çok sayıda sistemi kodladığı bilindiğinden, aynı şekilde büyük ödemeler talep ettikleri biliniyor.

 Kasım 2019’da, Meksika’nın devlete ait petrol kuruluşu PEMEX (Petróleos Mexicanos), bir DoppelPaymer fidye yazılımı saldırısına uğradı. Ve paket, belgelerin kodunu çözmek için bir ödeme olarak 4,9 milyon dolar değerinde bitcoin talep etti.

 DoppelPaymer, adını büyük kod parçalarını paylaştığı BitPaymer’den almıştır, ancak yöneticileri daha hızlı etkinlik için. Sıralı şifreleme önlemi Dahil olmak üzere kötü amaçlı yazılımlara çeşitli hareketler eklediler.

İran ‘dan düşük yetenekli hacker lar, Rusya, Hindistan, Çin ve Japonya’daki kuruluşlara odaklanan fidye yazılımı işine katıldı.  Faaliyetlerinde açık yöntemleri kullanarak basit vuruşları takip ederler.

 Yeni toplantı, Dharma fidye yazılımını dolaşıma sokuyor.  Ölçülebilir çalışmanın ışığında, bu siber suçta yeni olan basit, parasal olarak uyarılmış bir gruptur.

Amatör Bilgisayar Korsanları İş Başında

Tehdit aktörü açgözlü değil. Talepleri 1-5 Bitcoin arasında (şu anda 11.700 – 59.000 $), bu da diğer fidye yazılımı. Değişimlerine kıyasla daha düşük  fidye talebinde bulunuyor.

 Keşfedilmemiş uzak çalışma alanı dernekleri (RDP) için İnternet üzerindeki IP adres aralıklarını filtreleyerek kayıpları keşfederler;  bu aşama için tercih ettikleri aygıt, açık kaynaklı bir bağlantı noktası tarayıcısı olan Masscan’dir. 

Bu noktada, çalışan bir kombinasyonu bulmak için RDP parolalarının bir özetini değerlendiren. Bir yardımcı program olan NLBrute ile vahşi güce başlarlar.  Bazı durumlarda, Windows 7’den 10’a daha yerleşik bir zayıflığı (CVE-2017-0213) kötüye kullanarak faydaları artırmaya çalışırlar.

 Siber güvenlik kuruluşu Group-IB’deki analistler, Haziran ayında Rusya’daki bir organizasyonda yaşanan olayların tepkisi sırasında bu yeni toplantı hakkında eğitim aldı.  Yasal yapılar göz önüne alındığında, saldırganı “Farsça iletişim kuran amatör programcılar” olarak kabul ettiler.

 Bu sonucu destekleyin, bir sisteme girmenin ardından ne yapacağını anlayan bir şovcunun güvenine sahip değilmiş gibi görünen saldırının aşağıdaki aşamalarından bilgi parçalarıdır.  Bilim adamları,

“İlginçtir ki, tehlike eğlendirenleri, zayıflatılmış sistemleri nasıl yöneteceklerine dair makul bir tasarıma sahip değildi. RDP birliğini kurduktan sonra, yatay olarak hareket etmek için hangi aygıtları ileteceklerini seçiyorlar,”

Bilim adamları, “Örneğin, doğal antivirüsün etkisiz hale getirilmesi  saldırganlar, Defender Control ve Your Uninstaller’ı kullandı.

 Faaliyetin İran lı bir gencin durumu olduğuna dair daha fazla kanıt, saldırı için gerekli. Olan farklı araçları ve bunları veren Farsça Telegram istasyonlarını keşfetmek için Farsça sorgulama sorularından kaynaklanıyor.

 Gathering IB, bu özel tehlike eğlendiricisiyle birlikte görülen stratejileri, yöntemleri ve sistemleri bir araya getirdi:

Tıpkı, tehlike eğlendiricisini yardım olarak Dharma fidye yazılımı. (RaaS) etkinliğine götüren yol gibi, bu tehlike eğlendiricisi tarafından tehlikeye atılan kayıpların miktarı  belirsiz.

 Yine de, Dharma yöneticilerinin herhangi birinin siber suçlu olmasını kolaylaştıran bir araç kutusu verdikleri göz önüne alındığında. Tecrübeli kişilerin bu kötü amaçlı yazılım kodlayan kaydı kullanması beklenmedik bir durum olarak görülmemelidir.

 Group-IB’de kıdemli DFIR denetçisi Oleg Skulkin, Mart ayında dökülen Dharma fidye yazılımı. Kaynak kodunun bu kötü amaçlı yazılım türünün daha kapsamlı kullanımını açıklığa kavuşturduğunu söylüyor.

 İlginç bir şekilde, kötü amaçlı yazılım İran lı bir tehlike grubu tarafından parasal kâr için kullanılıyor.  Doğrulanabilir şekilde, bu alandaki dijital eylem, devlet destekli gizli faaliyetler ve hasar görevleri ile ilişkilendirilmiştir.

 “İran, genellikle gizli çalışma ve zararla meşgul olan devlet destekli saldırganların bulunduğu bir yer olduğundan. Dharma’nın onu parasal kazanç için kullanan İranlı içerikli gençlerin kontrolüne girmesi şaşırtıcıdır” – Oleg Skulkin

GandCrab Fidye Yazılımı Nedir?

GandCrab bir tür fidye yazılımıdır. GandCrab Fidye yazılımı bilgisayarınızdaki dosyaları şifreler ve şifre çözme karşılığında sizden fidye talep eder. GandCrab ilk olarak Ocak 2018’in sonlarına doğru gözlendi. Şimdiye kadar beş benzersiz iletişim dağıtıldı.  Bilinen son yorumlama, GandCrab v5.0.5, 29 Ekim 2018’de tarihinde yayınlandı.Temel uyarlamalar için bir sökme aparatı decryption tool (kod çözme aleti) yayınlandı. Bir web çalışanı bulundu, saldırıya uğradı ve özel anahtarlar zayıflatıldı.  Bazı şanslı kayıplar, ödeme yapmadan şifrelenen telafi etme seçeneğine sahipti.  GandCrab v2.0 yayınlandı ve işçi gelecekteki saldırılara karşı güçlendirildi.  Diğer fidye yazılımlarından farklı olarak GandCrab, DASH dijital para taksitleri talep ediyor.  DASH parasını kullanmak birincil ödeme programıdır.  Bazı analistler tarafından GandCrab için “New King of ransomware (fidye)” olarak sınıflandırıldı.

Gand Crab Fidye Yazılımı

Resimdeki açıklamada belirtildiği gibi, Gand Crab bir iş olarak fidye yazılımı (RaaS) ortağı yakalandı. Uzmanlar, Romanya ve İngiltere’de kolluk kuvvetleriyle işbirliği içinde bireyi tanımlayabildiler

 Siber suçlunun kimliği henüz yayınlanmadı ancak Belarus İçişleri Bakanlığı’nın “K” Ofisi, Belarus’un güneydoğusundaki Gomel’de yaşayan 31 yaşında olduğunu biliniyor.

Tahmini 100 Ülkede Şifrelenmiş Bilgisayarlar

Ele geçirilen bölümü, kuruluş için bir bağlı kuruluş ya da ‘Advert’ idi ve fidye yazılımını kurbanlara dağıtmaktan sorumluydu.

“Daha önce mahkumiyetleri (ceza ertelemesi) olmayan 31 yaşındaki Gomel sakininin binden fazla bilgisayarı enfekte ettiği tespit edildi, her birinin şifresini çözmek için 1.2 bin ABD doları ile orantılı bir miktar talep etmesi sağlandı.  Fidye yazılımı botnet ile ilgili yönetim kurulu, saldırganın uzun süre bilinmemesine izin veren darknet aracılığıyla gerçekleştirildi “dedi.

“Avantajın bir kısmı kiraladığı işçinin yöneticilerine (yöneticilerine) taşındı. Programcının kayıpları yüz kadar ülkeden gelen müşterilerdi ve en fazla kayıp Hindistan, ABD, Ukrayna, Büyük  İngiltere, Almanya, Fransa, İtalya ve Rusya”

 Suçlunun bu faaliyeti kullanarak ne kadar para kazandığı belli değil, ancak ücretli fidye bir kısmını karanlık ağda bir sunucuyu gizli tutan ve bağlı kuruluşların gizli kalmasına izin veren GandCrab yöneticileri ile paylaştı. Yaralıları azaltma işlerinin bir parçası olarak, GandCrab offsots sorumlu oldukları ilk üç ödeme taksiti için% 60 kazanacaktı.  Üçüncü taksitten sonra, gelir teklifleri% 70’e çıkacaktı.

 Bu, yakalanan bağlı kuruluşun fidye ödemesi olarak 1.200 dolar talep etmesini, yaralı başına 840 dolar kazanacağını ve Gand Crab  geliştiricileri 360 dolar kazanacağını gösterir. Gand Crab, ilk haziran 2019’da, 2 milyar dolardan fazla para kazandığını ve açıkça 150 milyon dolar kazandıklarını iddia ederek  1 Haziran 2019’da prosedürlerini kapattı.

GandCrab kapatıldıktan sonra, FBI fidye yazılımı için ana şifre çözme anahtarlarını serbest bıraktı ve kurbanların dosyalarını ücretsiz olarak kurtarmasına izin veren bir şifre çözücü yayınladı .Yasa gerekliliğinin bu anahtarları nasıl edindiği bilinmemekle birlikte, Tor ödeme sunucularından birinin ele geçirilmesi yoluyla olmuş olabilir. GrandCrab kapatıldıktan sonra, terk edilmiş boşluğu doldurmak için REvil Ransomware (fidye) veya Sodinokibi adlı başka bir fidye yazılımı varyasyonu yapıldı. REvil Ransomware (fidye) yöneticileri / üyeleri ve GandCrab arasında kod benzerlikleri ve bağları olduğu bildirmiştir.

 ThiefQuest veya EvilQuest gibi fidye yazılımları (ransomware) her yerde görünebilir, fakat ilk Mac fidye yazılımı sadece dört yıl önce ortaya çıktığı için özellikle Apple’ın Mac bilgisayarına bulaşmak için uyarlanmış çok fazla suç yoktur. Bu yüzden aslında bir çok önemli bir durum haline gelmiştir.

ThiefQuest (EvilQuest) Nedir ?

ThiefQuest veya EvilQuest olarak adlandırılan bu zararlı yazılım aslında 2012’den beridir aynı ismi taşıyan resmi bir Steam oyunu nedeniyle değiştirildi ve ThiefQuest olarak anılmaya başlandı. Bu yazılım aslında kötü amaçlı yazılım türlerinden birisi olan fidye yazılım türleri arasında yer almaktadır. Fakat bu fidye yazılımını diğer yazılımlardan ayıran özelliği macOS işletim sisteminde çalışmasından ziyade farklı özelliklere sahip olması. Bunlar;

  • Fidye yazılımlarının genel özelliklerinden olan dosya şifreleme özelliği bulunuyor.
  • Keylogger gibi çalışarak klavye vuruşlarını kaydetmek.
  • Kripto para birimi cüzdanı olan bilgisayarlardan dosya çalmak.


gibi özellikleri bulunduğu ortaya çıktı.

ThiefQuest Nasıl Yayılıyor ? 

Şu anda esas olarak korsan Mac yazılımları aracılığıyla yayılıyor ve yayılmaya devam ediyor. Bu yüzden korsan yazılımlar kullanmak yaptığınız bir şey değilse, korkacak veya endişelenecek bir durumunz yok demektir.

Şuan için MalwareBytes, ThiefQuest fidye yazılımının yüklenmesine en az iki farklı uygulamanın yardımcı olduğunu ve sahte yükleyiciler bulunduğunu söylüyor. Bunlar ise Little Snitch ve Mixed 8 in Key 8 ayrıca MalwareBytes Ableton Live çin sahte bir yükleyici bulunduğuna dair kanıtlarının olduğunu ve başkalarınında var olabileceğinin muhtemel olduğunu söylüyor.

Little Snitch Kurulumu 

MalwareBytes araştırmacıları uygulama ile ilgili şu yorumlarda bulundu.
Bu yükleyicinin analizinin garip bir şeyler olduğunu gösteriyor. Resmi Little Snitch yükleyicisi gibi profesyonel bir şekilde paketlenmiş ve uygun bir kod imzalanmış iyi bir şekilde ve özenle hazırlanmış.

Kötü Amaçlı Snitch Yükleyici
Kötü Amaçlı Snitch Yükleyici

Ancak, bu yükleyici genel bir simgeye sahip basit bir Apple yükleyici paketiydi. En kötüsü ise yükleyici paketinin bir disk görüntüsünün içine anlamsız bir şekilde dağıtılmasıydı. Her ne kadar diskin içine yayılmış olsa da uygulamanın yapısına göre Little Snitch uygulamasının başlaması gereksede aslında bu şekilde bir olay gerçekleşmedi. Ayrıca saldırganları harekete geçirmek adına bazı tuzak belgeler konulmasına rağmen kötü amaçlı yazılım bir şey şifrelemedi.

Mixed In Key Kurulumu

Mixed In Key yükleyicisi ile yüklenen zararlı yazılım ilk başlarda şifreleme işlemi yapmadığı gözlemlendi. Fakat birkaç saat sistem açık bırakılıp ardından sistem gün ve saati ile uğraşlar sonucunda sistem üç gün öncesine alınınca ağ bağlantısının kesildi. Ve hemen ardından sistemde birkaç kez yeniden başlatıldıktan sonra dosyaların şifrelenmeye başlandığı görüldü. 

Ancak bu kötü amaçlı yazılım, hangi dosyaları şifrelediği konusunda emin değildi.Birkaç ayar dosyasını ve anahtarlık dosyaları gibi birçok veri dosyalarını şifreliyordu. Bu şifrelemeler sonrasında oturum açarken birçok uygulama veya aracın değiştiğini görebilir veya hata iletisiyle karşılamaya başlayabilirsiniz. 

Fidye Yazılımı Tarafından Şifrenlendikten Sonraki Anahtarlık Hatası
Fidye Yazılımı Tarafından Şifrenlendikten Sonraki Anahtarlık Hatası

Bir diğer uyarı ise fidye ödeme talimatlarının bulunduğu ve bir dosya oluşturduğunu belirten ve dosyanın içeriğinde ise kullanıcıya fidye yazılımı (ransomware) bulaşmış olduğuna dair bir bilgilendirme metni yer alıyor. 

Şifreleme Mesajının Ekran Görüntüsü
Şifreleme Mesajının Ekran Görüntüsü

Terimler ve Anlamları

Little Snitch Nedir ?

Little Snitch macOS işletim sistemi için bir uygulama güvenlik duvarıdır. Uygulamaları izlemek, ağ trafiğini görüntüleme ve yönetme, anlık veri kullanımını görme, bağlantı haritası ve download / upload analizi gibi özelliklere sahiptir.  Aynı zamanda uygulamalar için gelişmiş kurallar oluşturabilir ve bazı uygulamaların ekli ağ bağlantılarına bağlanmasını sınırlandırabilirsiniz


Mixed In Key Nedir ?

Mixed In Key uygulaması aslında bir DJ uygulaması diyebiliriz. Harmonik karıştırma (Harmonic Mixing) adı verilen bir DJ tekniğini basit bir hale getiren bir yazılımdır. Mixed In Key’in en son sürümü MP3 ve WAV dosyalarını analiz eder ve her dosyanın müzik anahtarını belirler. Anahtarı bilen DJ’ler, müzik teorisini şarkıları uyumlu bir şekilde çalmak için kullanabilirler.

Fidye Yazılımı (Ransomware) Nedir ?

Fidye yazılımları, zararlı yazılım türlerinden birisidir. Fidye yazılımı bilgisayarınıza bulaştıktan sonra dosyalarını şifrelemeye başlar ve erişiminizi engeller. Dosyalarınıza erişim sağlamanız için sizden bir ücret (fidye) talep edilir, genellikle bu fidye verilsede verilmesede dosyalarınıza erişiminiz açılmaz. Fidye yazılımı genellikle truva atı veya yasal bir dosya olarak gizlenir ve dağıtılır. Fidye yazılımları Locky, Reveton ve ThiefQuest’i örnek olarak verilebilir.

Keylogger  Nedir ?

Keylogger, tuş vuruşlarını bir bilgisayara kaydeden bir programdır . Bunu, kullanıcının girişini izleyerek ve basılan tüm tuşların bir kaydını tutarak yapar. Keylogger, tuş vuruşlarını günlük bir dosyaya kaydedilebilir veya hatta bir ağ veya internet üzerinden başka bir makineye gönderilebilir. Keylogger programları genellikle casus yazılım olarak kabul edilir, çünkü genellikle kullanıcı bilmeden çalışırlar.

Kripto Para Nedir ?

Kripto para, kriptografi ile korunan dijital veya sanal para birimidir. Kriptografi ile korunması ise sahte veya çift harcama yapmayı imkansız hale getirir. Kripto para birimlerinin en büyük tanımlayıcısı ise herhangi bir merkeze, hükümete veya otoriteye bağlı olmamasıdır.