Sistemler arasında hayalet gibi dolaşan fidye yazılımı

featured
Paylaş

Bu Yazıyı Paylaş

veya linki kopyala

Sophos, Ragnar Locker adlı fidye yazılımının güvenlik sistemlerinin denetiminden kaçmak için uyguladığı ilginç bir yöntemi ortaya çıkardı. Söz konusu fidye yazılımı kendini gizlemek için hedef aldığı tüm sistemlerde kapsamlı birer sanal makine oluşturuyor ve tüm faaliyetlerini bu sanal makine aracılığıyla gerçekleştiriyor.

Yeni keşfedilen saldırıda Ragnar Locker’in ele geçirdiği sistemleri GPO aracılığıyla 122 MB’lık özel tasarlanmış, imzasız bir MSI paketini yüklemeye zorladığı tespit edildi. Paket 5 Ağustos 2009 tarihli Sun xVM VirtualBox Version 3.0.4 platformu ve Windows XP SP3 işletim sisteminin kırpılmış bir sürümü olan MicroXP v0.82’nin disk imajından oluşuyor. Bu imajın içinde 49 KB’lık Ragnar Locker fidye yazılımı yer alıyor.

Ragnar Locker’in arkasındaki kişiler, sızdıkları ağlarda fidye saldırısını başlatmadan önce para koparma şansını artırmak için veri hırsızlığı yapmalarıyla biliniyor. Nisan ayında Portekizli enerji dağıtım şirketi Energias de Portugal’ı hedef alan siber saldırganlar, 10 TB büyüklüğünde hassas şirket verisinin ellerinde olduğunu söyleyerek yaklaşık 11 milyon dolara karşılık gelen 1,580 Bitcoin talep etmişlerdi.

Gerçek Dünyayla Etkileşim Kurabilen Bir Hayalet Gibi

Ragnar Locker grubu, gözlerine kestirdikleri ağda yönetici yetkilerini ele geçirmek için öncelikle yönetilen servis sağlayıcıların açıklarını veya Windows Uzak Masaüstü Protokolünü (RDP) hedef alan saldırılar gerçekleştiriyor. Giriş yaptıktan sonra Powershell ve Windows Group Policy Objects (GPO) gibi Windows yönetim araçlarını kullanarak ağ içindeki Windows sunucu ve istemcileri arasında sinsice ilerliyor ve sanal makine kurulumlarını gerçekleştiriyor. İşlemin başarıyla gerçekleşmesini takiben fidye yazılımı içinde ağırlıklı olarak yedekleme, veri tabanı, iş ve uzaktan yönetim uygulamalarının bulunduğu 50 civarında süreç ve hizmeti durdurarak üzerlerinde çalıştıkları dosyaları erişime açık hale getiriyor. Ardından şifreleme işlemini gerçekleştiriyor. Tüm işlemler sanal makine üzerinden gerçekleştiği için fiziksel makinedeki güvenlik sistemleri sürece müdahale edemiyor.

Sophos Tehdit Önleme Mühendislik Direktörü Mark Loman, konuya dair şunları söylüyor: “Geçtiğimiz birkaç ay içinde fidye yazılımlarının farklı yönlerde geliştiğini gözlemledik. Ancak Ragnar Locker bu işi gerçekten farklı bir seviyeye taşıdı. Güvenilir hipervizörleri eşzamanlı olarak yüzlerce uç noktaya yerleştirip içinde sakladıkları fidye yazılımının işini yapmasını garanti altına alıyorlar. Bu sanal makineler gerçek dünyayla etkileşim kurabilen birer hayalet gibi sistemler arasında çoğu güvenlik yazılımı tarafından tespit edilmeden süzülerek yerel makinelerdeki ve ağ üzerindeki diskleri şifreliyor. Uygulanan yöntem 50 KB’lık bir fidye yazılımını saklamak için biraz fazla karmaşık ve zahmetli görünse de, fidye yazılımlarına karşı yeterli koruması olmayan ağlarda işe yaradığını gözlemliyoruz.”

Sistemler arasında hayalet gibi dolaşan fidye yazılımı

izmir escort

izmir escort

antalya escort

escort izmir

bursa escort

porno izle

türk porno

escort antalya

apkdownloadx.com

izmir escort

eskişehir escort

takipçi satın al

instagram takipçi satın al

tiktok takipçi satın al

tiktok beğeni satın al

gramtakipci.com.tr

smm panel

oyun forumu

antalya escort

istanbul escort

izmit escort

porno

escort beşiktaş

Darıca Kombi

porno izle

porno izle

porno izle

porno izle

porno izle

istanbul escort

porno izle

izmir escort

porno izle

istanbul escorts