Kaspersky Lab’dan ExPetr hakkında açıklama

Kaspersky Lab uzmanlarının Petya’nın önceki sürümlerinden oldukça farklı olduğunu tespit ederek ExPetr adını verdiği yeni fidye yazılımı konusunda şirketten bir açıklama geldi. Yapılan analizler, ExPetr’in hedeflerinden en az yarısının çeşitli sanayi şirketleri olduğunu ortaya çıkardı. Saldırganların hedefleri arasında Türkiye de bulunuyor.

Kaspersky Lab uzmanlarının yaptığı en son analizlere göre, son günlerde gündemde olan şifreleyici fidye yazılımı ExPetr ’in hedefleri en az %50 oranında sanayi şirketlerinden oluşuyor. Söz konusu şirketler arasında elektrik, petrol ve gaz, ulaştırma, lojistik ve çeşitli diğer şirketler bulunuyor.

Bir tür şifreleyici zararlı yazılım olan ExPetr, kurbanının bilgisayarına bulaştıktan sonra sabit diski şifreleyerek bilgisayarı kullanılmaz hale getiriyor ve ekranda kurbandan fidye talep eden bir mesaj gösteriyor.

Kaspersky Lab araştırmacılarının kısa bir süre önce keşfettiği üzere, ExPetr, fidye ödense bile dosyaları bir daha deşifre edilemeyecek şekilde tasarlanmış. Dolayısıyla bu zararlı yazılımla gerçekleştirilen başarılı bir saldırı, sanayi tesisleri ve kritik altyapılar için yıkıcı sonuçlar doğurabilir.

1498752434_kl_grafik
28 Haziran itibarıyla Kaspersky Lab telemetri verilerine göre ExPetr hedeflerinin dağılımı

Kaspersky Lab güvenlik uzmanlarından Kirill Kruglov konuyla ilgili olarak yaptığı açıklamada, “Şu anda ExPetr spesifik bir sanayi kolunu mu hedefliyor yoksa bu kadar çok sayıda sanayi şirketini tesadüfen mi vurdu, söylemek zor. Fakat, yapısı gereği bu zararlı yazılım bir üretim tesisinin faaliyetlerini kolaylıkla ve kayda değer bir süre boyunca durdurabilir. Bu saldırı, sanayi şirketlerinin siber tehditlere karşı güvenilir şekilde korunması gerektiğini çarpıcı bir şekilde gösteriyor” dedi.

Ex Petr dünya çapında saldırısına 27 Haziran’da başladı. En az 2000 hedefe saldırdığı bilinen zararlı yazılım, ağırlıklı olarak Ukrayna ve Rusya’daki şirketleri vurdu. Fidye yazılımının hedefleri arasında, Türkiye de dahil olmak üzere, Polonya, Italya, Almanya, Birleşik Krallık, Çin, Fransa ve bazı diğer ülkeler bulunuyor.

Kaspersky Lab, zararlı yazılımın Petya ile ortak bazı dizgelere sahip olduğunu ve PsExec araçları kullandığını, fakat Petya’ya kıyasla tamamen farklı bir işlevselliğe sahip olduğunu teyit etti. Bu sebeple yazılıma, eski Petya anlamına gelen ExPetr adı verildi.

Kaspersky Lab bu tehdidi aşağıdaki isimlerle tespit ediyor:

  • UDS:DangerousObject.Multi.Generic
  • Trojan-Ransom.Win32.ExPetr.a
  • HEUR:Trojan-Ransom.Win32.ExPetr.gen

Davranış tespit motoru Sistemİzleyici ise tehdidi şu isimlerle tespit ediyor:

  • PDM:Trojan.Win32.Generic
  • PDM:Exploit.Win32.Generic

Kaspersky Lab uzmanlarına göre suçlular odaklarını sıradan kullanıcılardan şirketlere kaydırıyor. Söz konusu saldırılar, özellikle kritik altyapılara sahip şirketler için bir tehdit oluşturuyor, çünkü üretim süreçleri zararlı yazılım tarafından tamamen durdurulabiliyor. Ex Petr saldırıları, son zamanlarda gözlenen bu eğilimin endişe verici bir örneğini teşkil ediyor.

Forcepoint, Petya saldırısına karşı korunmanın yollarını açıkladı