LockerGoga fidye yazılımı, son yıllarda şirketlerin ve kurumların kabusu haline gelmiş sofistike bir siber saldırı türüdür. Bu yazılım, hedef sistemlerin dosyalarını şifreleyerek kullanıcılara erişimlerini kilitlemektedir. Ardından fidye ödemesi karşılığında verilerin serbest bırakılmasını talep etmektedir. LockerGoga’nın çalışma şekli ve etkileri, siber güvenlik uzmanlarını ve şirketleri endişelendiren önemli bir konuyu oluşturmaktadır.
Fidye Yazılımları ve Siber Güvenlik
Üretim sektörü ve endüstrideki dijitalleşme, şirketlere verimlilik ve düşük maliyet gibi avantajlar sağlıyor. Ancak, bu trendin olumsuz bir yönü, giderek artan ve sofistike hale gelen siber saldırılar. Uzmanlara göre, rasgele ve basit motivasyonlarla yapılan saldırılar, yerini planlı ve hedefe yönelik saldırılara bırakıyor.
Kaspersky’e göre, “WannaCry, ExPetr ve Bad Rabbit gibi dünya genelinde yayılan saldırılar ve silici yazılımlar, işletmeler üzerinde etkili oluyor” (1). Öte yandan, “fidye saldırıları” şirketlerin korkulu rüyası haline geldi. Bu saldırılar, şirketleri büyük ölçüde etkileyen ve savunma mekanizmalarını zorlayan tehlikeli bir dönemi başlattı.
Bu çerçevede, 2019 yılında en çok konuşulan fidye yazılımlarından biri ise LockerGoga. Norveçli Alüminyum Devi Hydro, tüm kurumu etkileyen bir fidye yazılımı saldırısına uğradığını açıkladı. Saldırının kim tarafından gerçekleştirildiğine dair henüz bir uzlaşma sağlanamamıştır. Ancak araştırmacılar, saldırının LockerGoga tarafından yapılmasını muhtemel görmektedir. Söz konusu güvenlik ihlali, şirkete büyük zarar vermiştir. Oayın kamuoyuna açıklanmasından iki hafta sonra şirket, ilk haftada 35-41 milyon dolar kaybettiğini açıklamıştır (2).
Norsk Hydro Saldırısının Anatomisi
LockerGoga bir fidye yazılımıdır. İsmi zararlı yazılımın kaynak kodlarını derlemek için kullanılan bir dosyanın dosya uzantısından türetilmiştir.
LockerGoga, dosyaları güçlü bir simetrik anahtar ve AES256 blok şifresi kullanarak şifreler. Şifrelenmiş sürümlere .locked uzantısı ekler. Yavaş şifreleme süreci ve enerji tüketimi, LockerGoga’nın zafiyetleri arasındadır. Saldırganların ilk erişimi nasıl sağladığı belirsiz. İlk teori, kullanıcının oltalama mailine tıklamasını içerirken, ikinci teori, Deep Web’den alınan kimlik bilgilerini içerir. Zararlı yazılım sisteme sızdıktan sonra, Metasploit veya Cobalt Strike gibi yaygın hack araçları ile saldırılara başlar. Ardından ise Mimikatz gibi kimlik bilgisi toplama araçları ile yönetici bilgileri aranır.
Antivirüsü Durdurma Yöntemleri
Saldırganlar fidye yazılımlarını başka makinelerde yaymak için Microsoft’un Active Directory yönetim araçlarını kullanırlar. Antivirüs programlarını atlatabilmek için ise bazı çalıntı sertifikaları kullanırlar. Bu, zararlı yazılımların meşru bir şekilde çalıştırılabilir gözükmesini sağlar. Bu sayede antivirüs çözümlerinin radarına girmemeyi başarırlar. Hedef makinelerde çalışan antivirüsü durdurmak veya virüsün algılama olasılığını ortadan kaldırabilmesi için ise bir “task kill” gerçekleştirirler.
LockerGoga, tüm dosyaları şifreledikten sonra basit bir İngilizce ile ne yaptıklarını açıklayan bir fidye notu bırakır. Ardından birkaç örnek dosyanın şifresini çözmeyi teklif eder. Bunun karşılığında ise genellikle Bitcoin ile ödeme talep eder. Dahası, eğer saldırganlar ile hızlı bir şekilde iletişime geçerseniz, size indirim uygulama olanakları sunduklarını belirtirler.
LockerGoga Yeni Versiyon
LockerGoga’nın yeni versiyonlarında tuhaf bir twist dosyası da yer alıyor. Nitekim, dosya şifrelemeyi bitirdikten sonra, saldırganlar tüm ağ arayüzlerini bu twist dosyası sayesinde algılayarak devre dışı bırakıyorlar. Ek olarak bilgisayarların kullanıcı ve yönetici şifrelerini değiştirdikten sonra saldırganlar makineleri kapatıyorlar. Buradaki amaç ise mağdurun fidye notunu görmek için sisteme giriş yapamaması ve böylece saldırganla iletişim kurma ve fidye ödemesi yapma süresinin geciktirilmesi. Bu durum, çok daha fazla kaos yaratarak saldırganların sadece kar aramadığı aynı zamanda bu saldırganların siber savaşla uğraşan devletler tarafından desteklendiği yönündeki düşünceleri de destekler nitelikte.
Kaynak: Security Affairs, LockerGoga is the most active ransomware that focuses on targeting companies
Güç Santralleri Etkilenmedi
Kaspersky’nin araştırmalarına göre, saldırı çok büyük çaplı olmasına rağmen şirketin faaliyetlerinin tamamını etkilemedi. Nitekim, Windows işletim sistemini kullanan cihazlar felç olsa da, Windows’a dayalı olmayan telefonlar ve tabletler çalışmaya devam etti. Bir diğer iyi haber ise, güç santrallerinin ana ağdan “izole” olmasından dolayı saldırıdan etkilenmemesi.
Mart 2021 itibariyle, Windows Defender LockerGoga’yı algılamayabilir. Antivirüs programı devre dışı kalmış veya saldırganlar farklı bir LockerGoga türü oluşturmuş da olabilir. Dolayısıyla zararlı yazılım antivirüs programları tarafından tespit edilemeyebilir. Uzmanlara göre, daha etkili bir koruma sağlamanın yolu, zararlı yazılımların davranışlarını tanımlayan ve olağan dışı kalıpları arayan çözümleri uygulamaktır.
Endpoint Detection & Response (EDR) tedarikçileri, fidye yazılımlarını tespit etmeyi kolaylaştırmak adına çözümlerine anormal sistem davranışlarına dayalı sezgisel özellikler eklemektedir.
Fidye Yazılımının Davranışsal Algoritma Özellikleri
Kimlik Bilgisi Dökümü
Çoğu EDR üreticisi, fidye yazılımı tespitinde Mimikatz gibi damping araçları kullanılarak, fidye yazılımı tespitini yapıyor. Bu durumda yapılması gereken ise, birkaç farklı değişken ekleyerek ile güvenlik kontrollerinizi bu değişkenlere göre test etmek.
Yanal Hareket
İdeal olarak, kurumunuzu, içeriden dışa doğru hareket etme olasılığını en aza indirecek şekilde tasarlamalısınız. Kötü amaçlı yazılımlar genellikle kullanıcılara şüphe uyandırmayacak e-postalar göndererek kuruma giriş yapar. Bu nedenle güvenlik önlemleriniz, saldırganların sistem içindeki kimlik bilgilerini toplamasını ve dosyalara erişim sağlamasını engellemelidir.
Şüpheli İşlem Etkinliği
LockerGoga, isimli fidye yazılımı dosyaları şifrelemek için bir dizi işlem başlatır. Bu beklenen ve tipik bir kullanıcının yapacağı işlemlerden ve çalışmalardan biri değildir. Modern güvenlik çözümleri davranışsal sorunları bulacak şekilde tasarlanmıştır. Dolayısıyla çözümlerin bu şekilde bir davranışı anormal olarak algılaması muhtemeldir. Peki bu davranışları sistemimizin tespit edebileceğinden emin olmak için ne yapmalıyız?
Güvenlik kontrolleri, bu davranışı tespit edip edemediğini doğrulamak için bir senaryo oluşturmayı içermelidir. Bu senaryo, güvenlik sistemini etkili bir şekilde kontrol etmek için önemli bir adımdır.
Çok Sayıda Şifreleme İşlemi
Birçok fidye yazılımı, bir sistemi şifreleyebilir. Davranışsal analiz ve taramalar, olağandışı şifreleme faaliyetlerini tespit etmeli ve güvenlik sistemini uyarabilmelidir. Fidye yazılımlarının şifreleme etkinliğini taklit eden bir senaryo oluşturarak sisteminizi test edebilir. Bu şekilde de fidye yazılımlarına karşı korunduğunuzdan emin olabilirsiniz. Aalınan bu önlemleri değerlendirirek gelebilecek atakların zararlarını en aza indirirsiniz.
Yedekleme Dosyalarının Ve Sistem Logların Silinmesi
Saldırganlar, fidye yazılımlarının neden olacağı zararı artırmak amacıyla genellikle yedek dosyaları ve sistem günlüklerini siler. Örneğin LockerGoga’nın bazı türleri dosya şifreleme işlemi tamamlandıktan sonra Windows işletim sistemi üzerindeki günlüklerini siliyor. Ancak CrowdStrike gibi birçok EDR satıcısı, hileli bir işlemi algılayarak yedek dosyaları silmeye ve işlemi durdurmaya çalışabilen bir sistem sunuyor.
Norsk Hydro’da Ne Yaşandı
Norveç alimünyum ve enerji devi olan Norsk Hydro, 19 Mart 2019 tarihinde bir siber saldırıya uğradı. Söz konusu siber saldırıda saldırganlar bir fidye yazılımı türü olan LockerGoga’yı kullandı. Gelişmiş ve yeni bir versiyonu kullanılan bu saldırı sonrasın şirketin global bütün operasyonlarını durduruldu.
Norsk Hydro şirketinin siber güvenlik analistleri, LockerGoga’nın sistemlerinde bulunan altı farklı türünü tespit etti. LockerGoga, Norsk Hydro tesislerine sıçrayarak birkaç iş birimini etkiledi ve manuel işlemlere geçmeye zorladı. Norveç Ulusal Güvenlik birimi de saldırıyı inceledi. Sonuç olarak, LockerGoga virüsünün daha önce bu birim tarafından tespit edildiğni belirtti.
Şirket, saldırıların ardından üretiminin çoğunun normal düzenine döndüğünü fakat bazı idari görevlerin ertelenmek zorunda kaldığını duyurmuştur. Şirketin mali sorumlusu, yaptığı açıklamada Norsk Hydro şirketinin saldırıya karşılık hiçbir şekilde fidye ödemediğini belirtti. Bazı araştırmacılar, saldırının araştırılmasının çok zor olduğunu çünkü virüsün bazı şaşırtıcı hamleler yaptığı belirtiyor. Son olarak, uzmanların görüşlerine göre, şirketlerin “korkulu rüyası” haline gelen fidye yazılımlarına önleyici aksiyonlar almak mümkün. Bunlardan biri doğru ağ segmentasyonu yapmak olarak belirtiliyor. Araştırmacılara göre, şirketteki ağ segmentasyonu doğru olsaydı fidye yazılımını durdurmak ve saldırıyı sınırlamak daha kolay olabilirdi (1).
Kaynakça:
1) Kaspersky Daily, “Alüminyum sektörünün dev şirketi Hydro, fidye yazılımı saldırısına uğradı”, 25.03.2019, Erişim: https://www.kaspersky.com.tr/blog/hydro-attacked-by-ransomware/5803/
2) Özden Erçin, “Norsk Hydro Ransomware Saldırısından Çıkarılacak Dersler”, 21.08.2019, Erişim: https://ozdenercin.com/2019/08/21/norsk-hydro-ransomware-saldirisindan-cikarilacak-dersler/
Faydalanılan Diğer Kaynaklar:
ATTACK IQ https://attackiq.com/blog/2019/04/14/locker-goga-the-2019-addition-to-the-ransomware-family/
ProQuest https://search.proquest.com/docview/2206932910/73B5F94FDBE84340PQ/6?accountid=16327#center
Derleme: Ceyda Kahya