WannaCry tehlikesi henüz geçmiş değil. Bunu herkes biliyor. Ama WannaCry’ın ne şekilde vuracağı veya kimler tarafından vuracağı tam olarak belli olmasa da, internetin yeraltı dünyası olan deep web’e çok sayıda bilgiler girilmeye başlandı. Geçtiğimiz hafta WannaCry 2.0’a evrilen fidye virüsü, etkilenen PC’lerde kuluçka halinde bekliyor ve haftasonu vurmaya hazırlanıyor. Tarihi ile ilgili ilginç bir detay var; verilere göre bu virüs şirketleri hedef aldığı için özellikle şirketlerin tatil günlerinde aktif olması hedeflendi.
WannaCry, kimleri, ne şekilde, nasıl hedef alacak? Kaynağı kimler?
WannaCry fidye virüsü, genel olarak Windows işletim sistemi ve Linux çalıştıran Raspberry Pi’ları hedef alacak. İlk hedeflerini, daha önce trojan e-postalarla ve man-in-the middle yöntemiyle belirlemişlerdi. Bundan sonraki dönemde PC’lerin ilk saldırıda taşıdığı kuluçkadaki zararlı yazılımlar harekete geçmeye başlayacak ve geçmiş saldırıdaki kişi sayısıyla aynı kişilerin bu saldırıdan etkilenmesi bekleniyor. Tartışmalara göre, WannaCry’ın kaynağı olan saldırganlar en büyük kaynağını sahte Flash Player ve sahte driver güncellemelerinden almış, 4 milyondan fazla kişi sahte driver güncellemesi veya Flash Player güncelleme paketlerini indirerek, PC’lerine kurmaya çalışarak hedef haline geldi.
Ayrıca tanınmayan İngilizce olarak gelen Wetransfer belgeleriyle de bu virüsü bulaştırdıkları da artık biliniyor.
Haberin kaynağı, daha önce WannaCry’ı tartışan gruplardan çok daha farklı. Ancak kullandıkları dil ve kullandıkları jargonlar, WannaCry’ı daha önce deep web’te duyuran kişilerle hemen hemen aynı.
WannaCry’ın sorumlu örgütü Kuzey Koreliler mi?
Daha önce, ABD’nin Kuzey Kore harekatı esnasında, ülkeye fiziksel silah enstrümanlarının yanısıra siber ordusunu götürdüğünü ve WannaCry’ın Kuzey Kore’yi vurdukları yazılımla benzerlikler gösterdiğini yazmıştık. Şüphelere göre, ABD WannaCry’ın mimarsini oluşturan yazılımı kendi elleriyle Kuzey Koreye deşifre ettiler. Dolayısıyla WannaCry’ın bir Kuzey Kore hareketi olma ihtimali var ancak şimdiye kadar Lazaruz Grup olarak adlandırılan grupla ilgili hiçbir somut ifade bulunmuyor.
Saldırıların bu haftasonu harekete geçeceği ihtimali bir şekilde dillendirilse de “kesin bu haftasonu” demek için biraz erken.