Kaspersky Lab uzmanlarının yaptığı en son analizlere göre, son günlerde gündemde olan şifreleyici fidye yazılımı ExPetr’in hedefleri en az %50 oranında sanayi şirketlerinden oluşuyor. Söz konusu şirketler arasında elektrik, petrol ve gaz, ulaştırma, lojistik ve çeşitli diğer şirketler bulunuyor. Yukarıdaki grafikte 28 Haziran itibarıyla Kaspersky Lab telemetri verilerine göre ExPetr hedeflerinin dağılımı görülüyor.
Bir tür şifreleyici zararlı yazılım olan ExPetr, kurbanının bilgisayarına bulaştıktan sonra sabit diski şifreleyerek bilgisayarı kullanılmaz hale getiriyor ve ekranda kurbandan fidye talep eden bir mesaj gösteriyor.
Kaspersky Lab araştırmacılarının kısa bir süre önce keşfettiği üzere, ExPetr, fidye ödense bile dosyaları bir daha deşifre edilemeyecek şekilde tasarlanmış. Dolayısıyla bu zararlı yazılımla gerçekleştirilen başarılı bir saldırı, sanayi tesisleri ve kritik altyapılar için yıkıcı sonuçlar doğurabilir.
Kaspersky Lab güvenlik uzmanlarından Kirill Kruglov konuyla ilgili olarak yaptığı açıklamada, “Şu anda ExPetr spesifik bir sanayi kolunu mu hedefliyor yoksa bu kadar çok sayıda sanayi şirketini tesadüfen mi vurdu, söylemek zor. Fakat, yapısı gereği bu zararlı yazılım bir üretim tesisinin faaliyetlerini kolaylıkla ve kayda değer bir süre boyunca durdurabilir. Bu saldırı, sanayi şirketlerinin siber tehditlere karşı güvenilir şekilde korunması gerektiğini çarpıcı bir şekilde gösteriyor” dedi.
ExPetr dünya çapında saldırısına 27 Haziran’da başladı. En az 2000 hedefe saldırdığı bilinen zararlı yazılım, ağırlıklı olarak Ukrayna ve Rusya’daki şirketleri vurdu. Fidye yazılımının hedefleri arasında, Türkiye de dahil olmak üzere, Polonya, Italya, Almanya, Birleşik Krallık, Çin, Fransa ve bazı diğer ülkeler bulunuyor.
Kaspersky Lab, zararlı yazılımın Petya ile ortak bazı dizgelere sahip olduğunu ve PsExec araçları kullandığını, fakat Petya’ya kıyasla tamamen farklı bir işlevselliğe sahip olduğunu teyit etti. Bu sebeple yazılıma, eski Petya anlamına gelen ExPetr adı verildi.
Kaspersky Lab bu tehdidi aşağıdaki isimlerle tespit ediyor:
- UDS:DangerousObject.Multi.Generic
Trojan-Ransom.Win32.ExPetr.a
HEUR:Trojan-Ransom.Win32.ExPetr.gen
Davranış tespit motoru Sistemİzleyici ise tehdidi şu isimlerle tespit ediyor:
- PDM:Trojan.Win32.Generic
PDM:Exploit.Win32.Generic
Kaspersky Lab uzmanlarına göre suçlular odaklarını sıradan kullanıcılardan şirketlere kaydırıyor. Söz konusu saldırılar, özellikle kritik altyapılara sahip şirketler için bir tehdit oluşturuyor, çünkü üretim süreçleri zararlı yazılım tarafından tamamen durdurulabiliyor. ExPetr saldırıları, son zamanlarda gözlenen bu eğilimin endişe verici bir örneğini teşkil ediyor.
Kaynak : 