PlugX iyi bilinen bir uzaktan erişim aracı (Remote Access Tool – RAT). Genellikle hedef odaklı kimlik avı yöntemiyle yayılan bu zararlı yazılım daha önce askeri, devlete ait ve siyasi kurumlara yönelik hedefli saldırılarda tespit edilmişti. Bu araç aralarında Deep Panda, NetTraveler veya Winnti’nin yer aldığı bir dizi Çince konuşan siber tehdit grubu tarafından kullanılmıştı. 2013’te ise çevrimiçi oyun endüstrisindeki şirketlere yönelik saldırılardan sorumlu olan Winnti’nin, PlugX’i Mayıs 2012’den beri kullandığı anlaşılmıştı. Winnti ayrıca ilaç şirketlerine yapılan saldırılarda da yer almıştı. Bu saldırılarda amaç, tıbbı ekipmanlardan ve yazılım üreticilerinden dijital sertifikalar çalmaktı.
PlugX RAT ile saldırganlar, kullanıcı izni veya yetkilendirmesi olmadan sistemde çeşitli zararlı işlemler yapabiliyorlar. Bunların arasında dosyaları kopyalayıp değiştirmek, basılan tuşları kaydetmek, parolaları çalmak ve kullanıcı aktivitelerinin ekran görüntüsünü almak gibi işlemler de bulunuyor. Diğer RAT’lar gibi PlugX de siber suçlular tarafından hassas veya kârlı bilgileri çalmak için kullanılıyor.
İlaç şirketlerine yönelik saldırılarda RAT kullanımının artması, üst düzey APT (Gelişmiş Kalıcı Tehdit) gruplarının sağlık sektöründen para kazanmaya odaklandıklarını gösteriyor.
Kaspersky Lab Güvenlik Araştırmacısı Yury Namestnikov, “Sağlık kuruluşları gizli verilerini kağıttan dijital ortama aktarıyorlar. Ağ altyapısının güvenliği bu sektörde zaman zaman göz ardı ediliyor. APT’lerin ilaçlar ve ekipmanlardaki gelişmelere ait bilgileri elde etmeye çalışması gerçekten endişe verici. PlugX zararlı yazılımının ilaç şirketlerinde tespit edilmesi, siber suçlulara karşı kazanmamız gereken bir savaş daha olduğunu gösteriyor” dedi.
Araştırmada 2017’ye dair diğer önemli bulgular arasında şunlar yer alıyor:
•Sağlık kurumlarının %60’ından fazlasının sunucularında veya bilgisayarlarında zararlı yazılım bulunuyor.
•Sağlık kurumlarında saldırıya uğrayan cihaz sayısı en yüksek olan ülkelerin başında Filipinler, Venezuela ve Tayland yer alıyor.
Kaspersky Lab uzmanları, işletmelerin kendilerini korumaları için şunları öneriyor:g
•Sağlık verilerini işleyen tüm düğümleri, açık ve güvenli açık web portal’larından kaldırın.
•Sunucular da dahil tüm düğümlerde yama yönetim sistemleri kullanarak kurulu yazılımları otomatik güncelleyin.
•Ağı bölümlere ayırın. Pahalı ekipmanları kurumunuzun ana yerel ağına bağlamaktan kaçının.
Kaynak : 