Siber güvenlik uzmanları, KOBİ ölçeğindeki şirketleri hedef alan ve fast food benzeri ulaşımı kolay bir hizmet olarak sunulan Dharma adlı fidye yazılımına dair detaylı araştırmasının sonuçlarını paylaştı. Color by Numbers: Inside a Dharma Ransomware-as-a-Service (RaaS) Attack başlığıyla yayınlanan araştırma, Dharma’nın kiralama modelini, saldırı tekniklerini, araç setini ve destek altyapısını tüm detaylarıyla ortaya koyuyor.
İlk kez 2016 yılında tespit edilen Dharma, yaygınlığı ve servis odaklı mimarisiyle en fazla gelir getiren fidye yazılımı ailelerinin başında geliyor. Dharma’nın piyasada orijinal kaynak kodun değiştirilmesiyle hazırlanmış çok sayıda varyantı da bulunuyor. Sophos’un analizine göre 2020 yılında saldırılarının yüzde 85’ini RDP (Remote Desktop Protocol – Uzak Masaüstü Protokolü) açıkları üzerinden gerçekleştiren Dharma’nın ana hedefini KOBİ ölçeğindeki şirketler oluşturuyor.
Bu ‘Fast Food’un Bir Isırığı 8.620 Dolar
Fidye yazılımlarının neden olduğu zararları telafi etmeye odaklanan Coveware adlı şirketin paylaştığı veriler, Dharma’nın saldırı başına fidye beklentisinin ortalama 8,620 dolar olduğunu gösteriyor.
Sophos Kıdemli Tehdit Araştırma Uzmanı Sean Gallagher, Dharma’yı herkesin kolayca ulaşabileceği ve satın alabileceği, fidye yazılımlarına özel kurgulanmış bir fast food zincirine benzetiyor. “Dharma’nın servis modeliyle sunulan mimarisi, hemen herkesin yıkıcı saldırılar başlatabilmesinin önünü açıyor” diyor Gallagher. “Bu normal koşullarda bile yeterince endişe yaratabilecek bir durumken, pandemi ortamında hızla uzaktan çalışmaya uyum sağlamak zorunda olan şirketler için daha büyük bir risk oluşturuyor. Özellikle KOBİ ölçeğindeki şirketlerin uzaktan çalışanları desteklemek için uygun ekipmanları yeterince hızlı karşılayamaması ve bilgi teknolojileri destek ekiplerinin sayı ve tecrübe olarak yetersiz kalması, cihazların ve altyapıların saldırılara karşı daha açık hale gelmesine neden oluyor.”
Dikkatlerden Uzak Kalıp Küçük Servetler Biriktiriyorlar
Dharma müşterileri fidye aracını satın alarak hedefledikleri sisteme bulaştırmayı başardıklarında, menüler aracılığıyla yönetilen PowerShell scriptlerini çalıştırarak yazılımın hedef ağ üzerinde yayılmasını ve gereken bileşenlerin kurulmasını sağlıyor. Her şey hazırlanıp ana saldırı aktif hale geldiğinde Dharma kendini “Toolbox” olarak tanımlıyor ve “Have fun, bro!” açılış mesajıyla saldırıyı başlatıyor.
Dharma’nın saldırı tekniği ağırlıklı olarak açık kaynaklı araçların, özellikle de ticari yazılımların ücretsiz sürümlerinin suistimaline dayanıyor. Şifre çözme aşaması ise hem saldırı için Dharma’yı kiralayan operatörün, hem Dharma’nın asıl yapımcılarının dahil olduğu çift aşamalı karmaşık bir süreç gerektiriyor. Bu sürecin ne kadar sağlıklı işleyeceği operatörün becerisine ve o anki ruh haline göre değişiyor. Örneğin Sophos’un gözlemleri, bazı durumlarda operatörlerin anahtarı paylaşmayı reddettiğine ve daha fazla para koparmak için baskı kurulduğuna işaret ediyor.
Sean Gallagher, WastedLocker gibi yüksek profilli şirketlerden milyon dolarlar koparma peşinde koşan fidye yazılımlarının manşetlere çıktığı bir dünyada Dharma gibi örneklerin göz ardı edilmemesi gerektiği görüşünde. “8 bin dolar küçük bir rakam gibi görünebilir, ama bazıları 8 bin dolarları üst üste koyarak küçük servetler elde ediyor” diyor Gallagher.
Korunmak İçin Ne Yapmalı?
Sophos, Dharma’dan korunmak isteyen KOBİ’lere şu tavsiyelerde bulunuyor:
- Saldırganların ağınıza sızmasını engellemek için RDP (Remote Desktop Protocol – Uzak Masaüstü Protokolü) özelliğini kapatın. Kullanmanız gerekiyorsa bunu VPN bağlantısının arkasına alın.
- Ağınıza bağlı olan tüm cihazların listesini çıkarın ve hepsinin güvenlik güncellemelerini yaptığınızdan emin olun.
- Önemli dosyalarınızın çevrimdışı ortamlarda güncel bir yedeğini bulundurun.
- Fidye saldırılarının beş öncü belirtisini öğrenin.
- Ağınızı çok katmanlı ve derin öğrenme özelliklerine sahip güvenlik çözümleriyle koruma altına alın.