"Fast Food Fidye Yazılımı" Dharma'nın Her Lokması 8 bin 620 Dolar!
Sophos, COVID-19 döneminde özellikle KOBİ ölçeğindeki şirketleri kıskacına alan Dharma adlı fidye yazılımına dair detaylı analizinin sonuçlarını paylaştı. Fast food mantığıyla herkesin ulaşabileceği bir hizmet olarak sunulan Dharma, tuzağa düşürdüğü KOBİ'lerden ortalama 8 bin 620 dolar fidye talep ediyor.
Yeni nesil siber güvenlik çözümlerinin lideri
Sophos, KOBİ ölçeğindeki şirketleri hedef alan ve
fast food benzeri ulaşımı kolay bir hizmet olarak sunulan
Dharma adlı fidye yazılımına dair detaylı
araştırmasının sonuçlarını paylaştı. Color by Numbers:
Inside a Dharma Ransomware-as-a-Service (RaaS) Attack
başlığıyla yayınlanan araştırma, Dharma'nın kiralama modelini,
saldırı tekniklerini, araç setini ve destek altyapısını tüm
detaylarıyla ortaya koyuyor.
İlk kez 2016 yılında tespit edilen Dharma, yaygınlığı ve servis odaklı mimarisiyle en fazla gelir getiren fidye yazılımı ailelerinin başında geliyor. Dharma'nın piyasada orijinal kaynak kodun değiştirilmesiyle hazırlanmış çok sayıda varyantı da bulunuyor. Sophos'un analizine göre 2020 yılında saldırılarının yüzde 85'ini RDP (Remote Desktop Protocol - Uzak Masaüstü Protokolü) açıkları üzerinden gerçekleştiren Dharma'nın ana hedefini KOBİ ölçeğindeki şirketler oluşturuyor.
Bu 'Fast Food'un Bir Isırığı 8.620 Dolar
Fidye yazılımlarının neden olduğu zararları telafi etmeye
odaklanan Coveware adlı şirketin paylaştığı
veriler, Dharma'nın saldırı başına fidye beklentisinin ortalama
8,620 dolar olduğunu gösteriyor.
Sophos Kıdemli Tehdit Araştırma Uzmanı Sean Gallagher, Dharma'yı herkesin kolayca ulaşabileceği ve satın alabileceği, fidye yazılımlarına özel kurgulanmış bir fast food zincirine benzetiyor. "Dharma'nın servis modeliyle sunulan mimarisi, hemen herkesin yıkıcı saldırılar başlatabilmesinin önünü açıyor" diyor Gallagher. "Bu normal koşullarda bile yeterince endişe yaratabilecek bir durumken, pandemi ortamında hızla uzaktan çalışmaya uyum sağlamak zorunda olan şirketler için daha büyük bir risk oluşturuyor. Özellikle KOBİ ölçeğindeki şirketlerin uzaktan çalışanları desteklemek için uygun ekipmanları yeterince hızlı karşılayamaması ve bilgi teknolojileri destek ekiplerinin sayı ve tecrübe olarak yetersiz kalması, cihazların ve altyapıların saldırılara karşı daha açık hale gelmesine neden oluyor."
Dikkatlerden Uzak Kalıp Küçük Servetler Biriktiriyorlar
Dharma müşterileri fidye aracını satın alarak hedefledikleri
sisteme bulaştırmayı başardıklarında, menüler aracılığıyla
yönetilen PowerShell scriptlerini çalıştırarak
yazılımın hedef ağ üzerinde yayılmasını ve gereken bileşenlerin
kurulmasını sağlıyor. Her şey hazırlanıp ana saldırı aktif hale
geldiğinde Dharma kendini "Toolbox" olarak tanımlıyor ve
"Have fun, bro!" açılış mesajıyla saldırıyı
başlatıyor.
Dharma'nın saldırı tekniği ağırlıklı olarak açık kaynaklı araçların, özellikle de ticari yazılımların ücretsiz sürümlerinin suistimaline dayanıyor. Şifre çözme aşaması ise hem saldırı için Dharma'yı kiralayan operatörün, hem Dharma'nın asıl yapımcılarının dahil olduğu çift aşamalı karmaşık bir süreç gerektiriyor. Bu sürecin ne kadar sağlıklı işleyeceği operatörün becerisine ve o anki ruh haline göre değişiyor. Örneğin Sophos'un gözlemleri, bazı durumlarda operatörlerin anahtarı paylaşmayı reddettiğine ve daha fazla para koparmak için baskı kurulduğuna işaret ediyor.
Sean Gallagher, WastedLocker gibi yüksek profilli şirketlerden milyon dolarlar koparma peşinde koşan fidye yazılımlarının manşetlere çıktığı bir dünyada Dharma gibi örneklerin göz ardı edilmemesi gerektiği görüşünde. "8 bin dolar küçük bir rakam gibi görünebilir, ama bazıları 8 bin dolarları üst üste koyarak küçük servetler elde ediyor" diyor Gallagher.
Korunmak İçin Ne Yapmalı?
Sophos, Dharma'dan korunmak isteyen KOBİ'lere şu tavsiyelerde
bulunuyor:
- Saldırganların ağınıza sızmasını engellemek için RDP (Remote Desktop Protocol - Uzak Masaüstü Protokolü) özelliğini kapatın. Kullanmanız gerekiyorsa bunu VPN bağlantısının arkasına alın.
- Ağınıza bağlı olan tüm cihazların listesini çıkarın ve hepsinin güvenlik güncellemelerini yaptığınızdan emin olun.
- Önemli dosyalarınızın çevrimdışı ortamlarda güncel bir yedeğini bulundurun.
- Fidye saldırılarının beş öncü belirtisini öğrenin.
- Ağınızı çok katmanlı ve derin öğrenme özelliklerine sahip güvenlik çözümleriyle koruma altına alın.