Bad Rabbit nedir? Ne gibi güvenlik önlemleri almak gerekiyor?

Ransomware saldırıları son zamanlarda yükselmeye başladı. Avrupa'daki kullanıcıları etkileyen yeni bir saldırı var, yaklaşık olarak 200 ana organizasyon siber saldırının kurbanı oldu.

Bad Rabbit kurumsal ağları hedefliyor

Yeni baş belası olan fidye yazılımının adı Bad Rabbit. Bu kötü yazılım hızlı şekilde yayılıyor. Ağırlıklı olarak Rusya, Almanya, Ukrayna ve Türkiye'deki kurumsal ağları hedef alıyor. Şimdiye kadar hedeflenen yerler içinde Kiev metrosu ödeme sistemi, Rus haber ajansları, Odessa Havalimanı ve Ukrayna'nın bir bakanlığı bulunuyor.

Bad Rabbit tam olarak ne yapıyor?

Bu ransomware bilgisayara başarıyla bulaştıktan sonra verileri şifreliyor, yani bilgisayarı kilitliyor ve şifrenin açılması için kullanıcıdan para talep ediyor. Saldırganlar 0.05 bitcoin istiyor. Şifrenin çözülmesi için verilecek olan para yaklaşık 285 dolar. Saldırganlar tarafından ödeme için 40 saatlik süre tanınıyor.

Bad Rabbit bilgisayara nasıl bulaşıyor?

Bu bela yazılım, 24 Ekim'de Kaspersky Labs araştırmacıları tarafından tepit edildi. Orkhan Mamedov, Fedor Sinitsyn ve Anton Ivanov tarafından yayınlanan blog yazısında, Bad Rabbit'in kendini Adobe Flash güncellemesi olarak gösterdiğini ve böylece sistemlere bulaştığı belirtiliyor. Yani mağdur kullanıcı Bad Rabbit'i Adobe'un resmi güncellemesi sanıyor ve sonrasında sahte güncellemeyi yaptığında, virüs bilgisayara girmiş oluyor.

Kurban kişi tarafından indirilen dosya install_flash_player.exe olarak gözüküyor. Dosya otomatik olarak açılmıyor, tam tersi mağdur kullanıcı tarafından çalıştırılıyor. Böylece Bad Rabbit şüphe de çekmiyor. Fakat yazılımın düzgün çalışması için standart UAC sistemi aracılığıyla elde edilen üst düzey yönetici ayrıcalıkları gerekli. Adobe Flash Player görünümlü Bad Rabbit, çalıştırıldığında kötü niyetli DLL dosyasını C:\Windows\infpub.dat konumunda saklıyor. Daha sonra rundll32 komutuyla başlatılıyor.

Kaspersky araştırmacıları Bad Rabbit tehdidi altındaki web sitelerini ortaya çıkardı. Görünüşe göre çoğu da haber ve medya siteleri.

ESET'teki araştırmacılar ise Bad Rabbit'in Petya isimli (NotPetya, GoldenEye, Petrwrap veya exPetr olarak da bilinir) diğer bir tehlikeli yazılımın varyantı olduğunu keşfetti (Win32/Diskcoder.D). Açık kaynaklı sürücü şifreleme yazılımı olan Diskcryptor, Bad Rabbit tarafından virüs bulaşmış bilgisayrlarda RSA 2048 anahtarlarını kullanarak veri şifrelemesini gerçekleştiriyor.

ESET'deki araştırmacılarına göre yeni saldırı EternalBlue exploit'ini kullanmıyor, ancak iç ağ (SMB-Server Message Block) paylaşımlarını tarıyor ve ardından kötü amaçlı yazılımlara ulaşmak için kodlanmış ortak kimlik bilgisi listesini kullanıyor. Aynı zamanda virüs bulaşmış sistemlerden kimlik bilgilerini almak için Mimikatz isimli hack aracından yararlanıyor.

Bad Rabbit'e karşı alınacak güvenlik önlemleri nedir?

Bilgi Teknolojileri ve İletişim Kurumu ve USOM, Bad Rabbit'e karşı kullanıcıları uyardı ve şu önerilerde bulundu:

-Güvenli olmayan kaynaklardan dosya indirilmemesi ve çalıştırılmaması

-Son kullanıcılarda 'local admin' yetkisine sahip kullanıcıların kullanılmaması

-Basit parola ve jenerik kullanıcı isimlerinin kullanılmaması

-Sistemlerin yama yönetiminin düzenli uygulanması

-Antivirüs yazılımı kullanımı (Çeşitli antivirüs yazılımlarının söz konusu zararlı yazılımı engellediği bilindiğinden, son kullanıcı makinaları ve sunucularda antivirüs yazılımlarının aktif ve tanımlarının güncel tutulması)

-WMIC (Windows Management Instrumentation Command-line) kullanımının engellenmesi

Not: Bazı sistemlerde WMI farklı amaçlarla kullanılmaktadır ve kapatılması farklı sorunlara neden olabilir.

Kaspersky de bilinmeyen kişilerden gelen e-postalardaki eklerin ve üçüncü parti platformlardan yazılım yüklenmemesini tavsiye ediyor.