Türkiye kökenli fidye yazılımı dünyaya yayılıyor

PAYLAŞ
Türkiye kökenli fidye yazılımı dünyaya yayılıyor
  • 0
  • 0
  • 4 dakika da oku
  • +
  • -

ESET tahlilcileri,  Türkiye orijinli olduğunu düşündükleri CosmicBeetle grubunun Spacecolon vasıta setini tahlil ederek Scarab fidye yazılımını korunmasız sunuculara dağıttıklarını tespit etti. 

Siber güvenlik işletmeyi ESET tarafından CosmicBeetle olarak adlandırılan Spacecolon cerrahları net bir maksada sahip olmasa dahi en çok Avrupa ülkeleri, Türkiye ve Meksika ’da tespit edildi. 

Spacecolon, duyarlı bilgileri çalma veya Scarab fidye yazılımını dağıtma maharetine sahip bir uzaktan ulaşım truva atı olarak hizmet ediyor. CosmicBeetle muhtemelen ZeroLogon ’a karşı korunmasız web sunucularını veya kaba kuvvet uygulayabildiği RDP kimlik bilgilerine kastediyor. CosmicBeetle ’ın ScRansom ismi verilen yeni bir fidye yazılımının dağıtımına başlayacağı düşünülüyor. Muhtemelen kurban kuruluşlara, korunmasız web sunucuları aracılığıyla veya RDP kimlik bilgilerini kaba kuvvetle zorlayarak sızıyor. Bazı Spacecolon yapıları çok rakamda Türkçe terim kapsıyor; bu sebeple, ESET, Türkçe konuşan bir geliştirici tarafından yazıldığına inanıyor. 

 

Geçmişi 2020 senesine kadar uzanıyor

ESET ’in araştırmalarına göre Spacecolon ’un geçmişi en az Mayıs 2020 ’ye kadar uzanıyor ve faaliyetleri devam ediyor. ESET, Spacecolon ’un cerrahlarına “uzay” ve “scarab” iletişimini temsil etmesi için CosmicBeetle ismini verdi. ESET telemetrisi tarafından tespit edilen Spacecolon olayları, İspanya, Fransa, Belçika, Polonya ve Macaristan gibi Avrupa Birliği ülkelerinde yüksek yaygınlıkla beraber tüm dünyayı içeriyor. ESET, ayrıca Türkiye ve Meksika ’da yüksek yaygınlık tespit etti. CosmicBeetle, yeni fidye yazılımı ScRansom ’un dağıtımını hazırlıyor gibi görünüyor. Spacelogon, sunucuları ele geçirdikten sonra fidye yazılımı yüklemenin yanı gizeme saldırganların güvenlik mahsullerini devre dışı vazgeçmesine, duyarlı bilgileri çalmasına ve daha fazla ulaşım elde etmesine imkân tanıyan çok muhtelif üçüncü taraf vasıtalar kapsıyor.

 

Türkiye ve Meksika ’da yüksek yaygınlık tespit edildi

ESET analisti Jakub Souček şu açıklamayı yaptı: “Spacecolon ’un kurbanlarının arasında CosmicBeetle tarafından kullanılan ulaşım usullerine karşı korunmasız olmalarının dışında rastgele bir eşlik gözlemlemedik. Niyetlerin odaklandığı alanlar ya da büyüklükleri arasında da rastgele bir örüntü bulamadık. Ancak cins ve coğrafyaya göre birkaç ad vermek gerekirse, Spacecolon ’u Tayland ’da bir sağlık kurumu ve turizm beldesinde, İsrail ’de bir sigorta işletmesinde, Polonya ’da yerel bir devlet kurumunda, Brezilya ’da bir cümbüş sağlayıcısında, Türkiye ’de bir etraf işletmesinde ve Meksika ’da bir mektepte gözlemledik.” 

CosmicBeetle muhtemelen ZeroLogon güvenlik sarihine karşı korunmasız olan web sunucularını ya da kaba kuvvet uygulayabildiği RDP kimlik bilgilerine sahip olanları hedeflliyor. Spacecolon ayrıca  cerrahlarına arka kapı ulaşımı da sağlayabiliyor. CosmicBeetle makûs emelli yazılımını saklamak için kayda değer bir mücadele göstermiyor ve ele geçirilen sistemlerde çok rakamda iz vazgeçiyor. 

 

Yeni bir fidye yazılımı geliştiriliyor

CosmicBeetle korunmasız bir web sunucusunu ele geçirdikten sonra, kullandığı ana Spacecolon bileşeni olan ScHackTool ’u konuşlandırıyor. Atakları büyük miktarda vasıtanın GUI ’sine ve cerrahlarının etkin katılımını direniyor. Uygun gördükleri biçimde arz üzerine sızdıkları aygıta ek vasıtalar indirmelerine ve çalıştırmalarına imkân tanıyor. CosmicBeetle şayet maksadın değerli olduğunu düşünürse, ScInstaller ’ı dağıtabilir ve daha fazla uzaktan ulaşım sağlayan ScService ’i yüklemek için kullanabilir. CosmicBeetle ’ın dağıttığı son yük Scarab fidye yazılımının bir varyantı. Bu varyant dahili olarak pano içeriğini izleyen ve kripto para cüzdanı adresi olabileceğini düşündüğü içeriği saldırgan tarafından hakimiyet edilen bir adresle değiştiren bir makûs emelli yazılım cinsi olan ClipBanker ’ı kullanıyor.

Türkiye ’den VirusTotal ’e yüklenen misallere bakarsak yeni bir fidye yazılımı ailesi geliştiriliyor. ESET Research, ScRansom ismini verdiği bu yeni fidye yazılımın Spacecolon ile aynı geliştiriciler tarafından yazıldığından neredeyse emin. ScRansom tüm sabit, çıkarılabilir ve uzak sürücüleri şifrelemeye çalışıyor. ESET, bu fidye yazılımının yaygında dağıtıldığını gözlemlemedi ve hala geliştirme safhasında olduğu görülüyor.

 

Kaynak: BYZHA Beyaz Haber Ajansı