"Emotet" diye isimlendirilen bir truva atı (malware) son haftalarda yayılan en yaygın fidye yazılımı olarak ortaya çıktı.
Emotet, spam e-postalar aracılığıyla bilgisayarlara sızan ve kullanıcıları ustaca kandıran bir "truva atı" olarak biliniyor.
Fidye yazılımları, her tür ve boyuttaki kuruluşlar ve kurumlar için büyük bir tehdit olarak görülüyor. Siber güvenlik şirketi Sophos tarafından yayınlanan "The State of Ransomware 2020" isimli küresel araştırma raporuna göre geçen yıl kurum ve kuruluşların yüzde 51'i fidye yazılımı saldırılarına maruz kaldı.
Tek saldırının ve etkilerinin bıraktığı tahribatı gidermenin ortalama maliyetinin küresel ölçekte yaklaşık 761 bin Amerikan Doları'nı bulduğu belirtiliyor.
FİDYE YAZILIMLARIN BAŞ AKTÖRÜ: EMOTET
Uluslararası alanda çeşitli fidye yazılımları bulunuyor. Ancak en yaygın ve tehlikeli olanı ve güvenlik şirketi Mimecast'in bu yıl için hazırladığı Intelligence Threat raporuna göre fidye yazılımı saldırılarının baş aktörü Emotet.
"Dark Reading" isimli internet sitesinde yer alan habere göre bu saldırıların en çok hedef aldığı ülkelerin başında Almanya, Avusturya, İsviçre, Amerika Birleşik Devletleri (ABD), Birleşik Krallık ve Kanada geliyor.
Emotet, bir truva atı, yani bir malware yazılımıdır. Bir hizmet sağlayıcı kılığına bürünmüş kötü amaçlı bir yazılımdır. Bu da bilgisayar korsanlarının şirketlere ve kişilere yönelik doğrudan saldırılarda kullanmak için bu yazılımı birkaç 100 dolara bir paket olarak satın alabileceği veya aylık bir abonelik ücreti ile indirebileceği anlamına geliyor.
E-POSTA ÜZERİNDEN GÖNDERİLİYOR
Virüs genellikle spam e-posta vasıtasıyla gönderilen kötü amaçlı komut dosyası, makro etkin belge dosyaları veya Outlook hesaplarındaki ya da bulut depolama alanlarındaki bir bağlantı listesi gibi gelebilir.
Danışmanlık şirketi olan Ernst & Young (EY) siber güvenlik uygulamaları direktörü Keith Mularski, Emotet’in fidye saldırısına başlamadan önce hedef alınan noktaya yerleştiğini ve 30 ila 45 gün boyunca herhangi bir faaliyette bulunmadan kaldığını söyledi.
Kötü maksatlı yazılım bileşenlerini sistemlere kadar taşıyan Emotet'in oldukça etkili olduğunu söyleyen Mularski, güvenlik duvarları gibi geleneksel güvenlik araçlarının saldırıyı engelleyemediğini vurguladı.
Mularski, Emotet hedef dosyaları kontrol edip şifrelediği anda dolandırıcıların Bitcoin gibi takip edilemeyen bir elektronik para birimiyle ödenen bir fidye talep ettiğini söyledi.
KENDİLERİNİ SİGORTA DESTEĞİ SUNUN BİR FİRMA GİBİ GÖSTERİYORLAR
Siber güvenlik şirketi Sophos’un önde gelen güvenlik danışmanlarından John Shier’e göre siber suçlular, Emotet’i, kendilerini müşterilerine sigorta desteği gibi hizmetler sunan bir firma gibi göstererek kullanıcıların bilgisayarlarına gönderiyorlar.
Genellikle kullanıcının e-posta aracılığıyla gelen bir bağlantıya tıklamasıyla meydana gelen kimlik avı saldırısı şeklinde oluyor. Bu bağlantı, kullanıcıyı "yemi" taşıyan bir siteye veya hizmete yönlendiriyor.
Kötü amaçlı komut dosyası veya makro etkin belge dosyaları bilgisayara yerleştikten sonra diğer bağlı bilgisayarlar için arama başlıyor ve daha fazla kötü amaçlı yazılım yayılıyor.
E-posta ile yapılan bu tür saldır için genellikle Microsoft Outlook kullanılıyor.
Shier, Emotet’in hedef sisteme ulaştığında parolaları kırmak ve güvenli verilere erişmek için hesaplara şiddetli saldırılar başlattığını ve ardından bu dosyaları kontrol edip şifrelemek için çalıştığını belirtti.
FİDYE TUTARI MİLYONLARCA DOLARI BULABİLİR
Siber suçluların şifrelenmiş verilere erişip hedeflerine kilitlendikten sonra ‘ele geçirilmiş’ dosyaların kodlarını çözme ve düzenleme ücreti olarak birkaç bin ile milyon dolar arasında değişen fidyeler istediklerini söyledi.
The State of Ransomware 2020 araştırmasının sonuçları, kuruluşların yüzde 94'ünün verilerinin kontrolünü yeniden ele geçirmeyi başardığına, ancak saldırı başına ortalama maliyetin 732 bin 520 doları bulduğuna işaret ediyor.
VİRÜS YAKALANMAMAK ÜZERİNE PROGRAMLANMIŞ
Emotet’in birçok farklı versiyonu bulunuyor. Ayrıca bulunmasını ve engellenmesini zorlaştıran bir tasarıma sahiptir. Bilgisayar sistemlerine girmek için sosyal mühendislik tekniklerini kullanan bu virüs yakalanmama konusunda oldukça usta. Dahası, Emotet’in saldırısı sürekli olarak geliştiriliyor.
Shier’e göre bazı versiyonları, siber dolandırıcıların kamuoyuna duyurmakla tehdit ettikleri bankacılık bilgilerini veya son derece hassas kurumsal verileri çalmayı hedefliyor. Bu şekilde tehdit etmek karşı tarafı fidyeyi ödemeye itecek ek bir teşvik oluşturuyor.
Virüsün sisteme girmesini sağlayan ilk e-posta, bir çalışan veya şirketteki üst düzey bir yönetici gibi güvenilir bir kaynaktan gönderilmiş gibi görünebilir. Ya da bir internet sitesi veya yasal hizmet gibi görünen bir bağlantı içerebilir.
Emotet, virüsü yaymak için doc, docx ve exe gibi farklı dosya türlerinin yanı sıra ZIP gibi dosya sıkıştırma tekniklerini kullanıyor. Çünkü bu şekilde ağda dolaşırken dosyanın gerçek adını gizliyor.
GÜVENİLİR ŞİRKETLERDEN DE GELMİŞ BİR E-POSTA MI?
Bu dosyalar, kullanıcıların güvenebileceği şirketlerinden gelecek bir gönderi halinde olabilir veya kullanıcıları "faturanız" veya "ödeme ayrıntıları" gibi ikna edici başlıklar kullanarak kötü amaçlı dosyaları tıklamaya yönlendirebilir.
Ayrıca son zamanlarda, yeni tip Koronavirüs'ü (Kovid-19) öne çıkaran ve genellikle aynı şirketten gelen ve kötü niyetli yazılımlar içerebilen normal dosyalar olan yasal e-postalarla gelen bazı mesajlar da ortaya çıktı.
Independet Türkkçe'nin haberine göre Emotet’in diğer bir üstün özelliği de sızdığı sistemi izleme kabiliyeti. Örneğin, bir virüs sanal makineye ne zaman yerleşmesi gerektiğini bilir ve kötü amaçlı yazılımları yakalayan antivirüs taramalarında algılanmamak için uykuda kalır.
Fakat Emotet gizli güncellemeleri almak için hazırlanan sunucuları kullanır. Bu da bilgisayar korsanlarının kötü amaçlı yazılımı güncellemesine ve diğer malwarelerin sisteme yerleştirmesine imkân tanır.
Virüs, bilgisayar temizledikten sonra dahi yeniden ortaya çıkabilir.
EMOTET'A KARŞI NASIL MÜCADELE EDİLİR?
Uzmanlar, bu virüsün bilgisayarınıza bulaşma riskini azaltmanın ve sebep olduğu aksaklıklara karşı koruma sağlamanın bazı yolları olduğunu belirtiyor.
Öncelikle, şüpheli e-postaları algılayan ve engelleyen bir güvenlik programı kullanılmalı. Ağa bağlı olan tüm yönetilen ve yönetilmeyen cihazlar da güvenli hale getirilmelidir.
Güçlü parolalar, iki aşamalı kimlik doğrulama, düzenli güvenlik güncellemesi yapma ve casus yazılım algılama yazılımının kullanımı gibi ek güvenlik önlemleri de uygulanabilir. Son olarak ise çalışanların şüpheli e-postaları tanımayı öğrenmeleri gerekiyor.
Diğer yandan ne yazık ki ne fidye yazılımlarının ne de Emotet’in yakın bir zamanda ortadan kalkması beklenmiyor.
Bu, sadece birkaç hafta içinde ikinci kez en güçlü fidye yazılımlarından biri olarak ortaya çıktı. Saldırıları giderek daha da karmaşık hale geliyor. Bu da onu her alandaki kurum ve kuruluşlar için gerçek bir tehdit haline getiriyor.