Eşine sıkça rastlamadığımız bir siber saldırı, geçen haftadan bu yana tüm dünyadaki birçok bilgisayarı etkiledi. WanaCrypt0r, Wcry, Wannacry gibi isimlerle anılan zararlının bu denli güçlü olmasının nedenlerinden biri, The Shadow Brokers adlı hacker grubunun ABD Ulusal Güvenlik Ajansı'nın (NSA) elindeki açıklardan birini geçen ay herkese açmış olması.
Son dönemde artan fidye yazılımlarının (ransomware) şekline bürünen zararlı, antivirüs geliştiricisi Avast'a göre en az 100 bin bilgisayarı etkiledi. Saldırı Türkiye'yi de etkilerken en çok Rusya, Ukrayna ve Tayvan'daki bilgisayarları çökertti. WanaCrypt0r bilgisayarınıza bulaştığında sizden 300 dolar talep ediyor ve şaşırtıcı biçimde bunu iki düzineden farklı dilde yapabiliyor.
Neler Oluyor?
WanaCrypt0r, sadece evde oturan kullanıcıların bilgisayarlarını değil, bankaların, hastanelerin, telekomünikasyon kurumlarının, elektrik santrallerinin ve diğer kritik birimlerin de işleyişini etkiledi. Sadece Birleşik Krallık'ta en az 40 Ulusal Sağlık Hizmeti, acil duruma geçti ve önemli ameliyatları iptal etti. Hasta güvenliğinin de gerilemesiyle zararlının ölümlere yol açtığı tahmin ediliyor.
İlk olarak Şubat 2017'de çıkan WanaCrypt0r'un ilk sürümü, bulaştığı dosyaların uzantısını .WNCRY olarak değiştiriyor, her dosyaya "WANACRY!" dizisini ekliyordu.
WanaCrypt0r, en çok Equation Group'la eşleştirilen bir açığın kullanıldığı bilgisayarlar arasında yayılıyor. Equation Group, NSA ile yakından ilişkilendirilen bir grup.
Yeni Açıklar
WanaCryptor 2.0, sızan SMB (Server Message Block, bir Windows ağ dosya paylaşım protokolü) açığını (EternalBlue) da kullanarak yanı başınızdaki bir bilgisayara sıçrayabiliyor. Bunun için eposta, bağlantı gönderme gibi yolları izlemeye ihtiyaç da duymuyor.
Bir başka NSA açığı olan DOUBLEPULSAR'ı da kullanan WanaCryptor, bu sayede uzaktan kötü amaçlı kod çalıştırabiliyor. Burada daha önce arka kapı yüklenen sistemler taranıyor ve bulunduğunda WanaCryptor yükleniyor. DOUBLEPULSAR arka kapısı bulunmazsa zararlı, ETERNALBLUE SMB açığına geri dönüş yapıyor.
Kritik Güvenlik Güncellemesi
NSA hack'leme araçlarının ortaya dökülmesinden ardından NSA'in sıfırıncı gün açıklarını kendi bünyesinde biriktirdiği gün gibi ortaya çıkmıştı. Böyle bir hareketin ne kadar büyük bir tehlike olabileceğini şimdi açıkça görüyoruz.
Microsoft, Eternalblue açığını rastlantı eseri Mart ayında, Shadow Brokers'ın etkili açıkları tamamen ortaya dökülmeden önce kapatmıştı. Saldırının doğası sayesinde bu açığın kullanıldığı anlaşılıyor. Yayılma hızına bakıldığında ise çok büyük sayıda kurumun kritik güncellemeyi, yayınlanmasının iki ay sonrasında bile yükleyemediği anlaşılıyor.
Sonuç olarak sorun yaşayan şirketler, başkalarını suçlama yoluna gidecekler. Peki parmaklar kimi gösterecek? Elbette birçok tehlikeli sıfırıncı gün açığını stoklayan NSA'i. Zararlının geliştiricileri, onu NSA'in açıklarıyla güncelleyerek etkili hale getirdiler.
Riskte misiniz?
Açık, SMBv1'i devre dışı bırakarak kapatılabiliyor. Bunu nasıl yapabileceğiniz, Microsoft tarafından burada detaylı olarak anlatılıyor. Buna ek olarak, sisteminizi normal bir biçimde güncelliyorsanız, bu saldırılardan direkt olarak etkilenme olasılığınız düşük.
Bundan Sonra Ne Olacak?
Temizlik süreci başlayacaklar ve sorundan etkilenen firmalar, veri ve finansal bakımdan kayıplarını hesaplayacaklar. Umarız ki yaşanan bu olay, firmaların artık güvenlik uygulamalarını gerçekten gözden geçirip güvenliği ciddiye almalarını ve kullanımı tehlikeli hale gelen Windows XP'yi bırakmalarını sağlar.