Herkese selamlar arkadaşlar bu yazımda sizlere son yıllarda siber saldırılar dünyasında büyük ses getiren ve birçok büyük kurumu hedef alan Ryuk ransomware hakkında detaylı bilgiler vereceğim. Son yıllarda ransomware (fidye yazılımları) dünya genelindeki birçok kurum için büyük bir tehdit haline geldi. Bu tür saldırılar siber suçluların büyük mali kazançlar elde etmelerini sağlıyor ve kurbanlar için ciddi veri kayıplarına yol açabiliyor. Ryuk bu tür zararlı yazılımlar arasında en tehlikeli, en sofistike olanlardan biri olarak öne çıkıyor. Ryuk’un arkasındaki kişiler büyük kurumları hedef alarak şifreledikleri kritik veriler karşılığında yüksek miktarda fidye istiyorlar.
Öncelikle ransomware nedir ne gibi zararları vardır bu konuya basitçe bir açıklık getireyim. Bu zararlı yazılım bilgisayar sistemlerine veya ağlara sızdıktan sonra kullanıcıların verilerini şifreleyen ve bu verileri geri almak için fidye talep eden kötü amaçlı yazılım. Ransomware fidye yazılımları hedef aldığı dosyaları erişilemez hale getiriyor ve kurbanlardan belirli bir ödeme yapmalarını (genellikle bitcoin) ister. Bu ödeme yapılmadığı takdirde veriler genellikle kaybolur veya tamamen silinir. Yani hem bireysel kullanıcılara hem de büyük şirketlere ciddi zararlara yol açabilir.
Ryuk bir şifrelenmiş truva atı olarak hedef sistemlere zarar verirken Windows işletim sistemlerinin geri yükleme fonksiyonlarını devre dışı bırakma özelliğine sahiptir. Bu şifrelenen verilerin yalnızca dış bir yedekleme kaynağından geri yüklenmesi gerektiği anlamına geliyor ve bu da kurbanları zor bir durumda bırakıyor. Sadece bireysel bilgisayarlar değil hedef. Aynı zamanda ağ bağlantılı sabit diskleri de şifreleyerek etki alanını genişletme gibi senaryoları var. Ryuk’un saldırılarının etkisi oldukça büyük olmuştur. Özellikle Amerika’daki birçok kuruluş, fidye talep edilen büyük meblağları ödemek zorunda kalmış ve toplam zararın 640.000 doları geçtiği tahmin edilmektedir. Bu olaylardan Ryuk’un ne denli büyük bir tehdit oluşturduğunu ve ciddi finansal kayıplara yol açabileceğini gözler önüne seriliyor.
Ryuk Kim?
Ryuk fidye yazılımının arkasında Rusya kökenli bir siber suç grubu olan WIZARD SPIDER‘ın olduğu düşünülüyor. Özellikle sağlık sektörüne yönelik bazı saldırıların Doğu Avrupalı bir tehdit aktörü olan UNC1878 adlı grup tarafından gerçekleştirildiği de tahmin ediliyor. Ryuk doğrudan bilgisayara gönderilen bir yazılım değil bu arada. Siber saldırganlar öncelikle kullandıkları malware ile sisteme sızıyor ve sonrasında Ryuk devreye giriyor.
Ryuk adlı fidye yazılımının adı benim de çok sevdiğim popüler Japon manga ve anime serisi Death Note’daki karakter Ryuk’tan esinlenilmiş olabilir. Death Note’ta Ryuk bir Shinigami (ölüm tanrısı) olarak insanlara ölüm getiren bir defteri dünyaya düşürür. Ryuk’un karakteri ölüm ve kaosla ilişkilendirilir bu da fidye yazılımının işleviyle bir paralellik oluşturuyor. Ryuk fidye yazılımı da bu anime karakteri gibi kurbanlarının dosyalarını “ölüme” mahkum edip şifreliyor ve fidye (₿) talep ediyor.
Saldırı Yöntemleri
İlk aşamada Ryuk sistemdeki 180’e yakın hizmeti ve 40 işlemden bazılarının çalışmasını durdurur. Bu işlemler ve hizmetler ya saldırıyı kolaylaştırmak ya da Ryuk’un işlevlerini engelleyecek unsurlar olabilir. Sistem bu şekilde zayıflatıldıktan sonra Ryuk şifreleme sürecine başlıyor. Malware kullanıcılar için kritik olan fotoğraflar, belgeler ve veritabanları gibi dosyaları AES-256 algoritması ile şifreler. Sonra bu şifreleme anahtarları RSA-4096 ile yeniden şifrelenir.
Ayrıca ağ üzerinden uzaktan erişim sağlayarak ağdaki diğer cihazları da hedef alabilir. Wake-On-Lan gibi özellikleri kullanarak bilgisayarları uyandırıp şifreleme işlemini başlatabilir. Daha geniş ağda etkili olmak ve hedef bilgisayarlara hızlıca ulaşmak için gereken her şey var. Ryuk kurbanların sistemlerine fidye talebini ileten RyukReadMe.txt ve UNIQUE_ID_DO_NOT_REMOVE.txt gibi notlar bırakıyor. Bu fidye notları ve içeriği sayesinde kurbanların üzerinde ödeme yapmaları için baskı oluşturuyor.
Büyük Ölçekli Saldırılar
Ryuk genellikle büyük kurumları hedef alıyor. Çünkü siber suçlular büyük kurumlar üzerinden daha fazla fidye almayı umut eder. Küçük işletmeler bu tür saldırılara daha az maruz kalabilir. Çünkü fidye talepleri genellikle o kadar büyük olmaz.
Gelişmiş Şifreleme Teknikleri
Dosyaların şifrelenmesinde oldukça gelişmiş teknikler kullanıyor. Kullanılan teknikler şifrelenen dosyaların geri alınmasını neredeyse imkansız hale getiriyor. Çoğu zaman kurbanlar yalnızca ödeme yaparak bir çözüm arıyorlar.
Sosyal Mühendislik Saldırıları
Ryuk’un arkasındaki kişiler kurbanları kandırmak ve sisteme girmelerini sağlamak için sosyal mühendislik yöntemlerini de kullanabilirler. Phishing (oltalama) saldırıları veya başka tuzaklarla, kurbanların yanlışlıkla zararlı yazılımları indirmesini sağlayabilirler.
Zincirleme Teknikler İle Daha Fazla Hacklenmiş Sistem
Ryuk tek bir hedefin bilgisayarını etkilemekle kalmaz. Birçok durumda kurumlar içindeki diğer bilgisayarlar ve sistemler de hızla etkilenir. Bu da operasyonel faaliyetlerin durmasına yol açar ve özellikle sağlık gibi kritik sektörlerde daha büyük bir tehlike oluşturur.
Ryuk Tespit Edilmemek İçin Hangi Teknikleri Kullanıyor?
Tespit edilmekten kaçınmak için oldukça sofistike teknikler kullanır. Kullanılan bu yöntemler güvenlik çözümlerinin ve analiz araçlarının yazılımı fark etmesini zorlaştırır. O da siber saldırganlara daha fazla zaman tanır. Ryuk’un kullandığı bazı tekniklerden bahsedeceğim.
Şifreli İletişim Kullanımı
Ryuk tespit edilmekten kaçınmak için şifreli iletişim yöntemlerini kullanır. Bu sayede güvenlik yazılımları, ağ trafiğini inceleyerek kötü amaçlı etkinlikleri tespit edemez. Şifreli iletişim saldırganların kurbanlarla iletişim kurarken veya komutlar gönderirken bir müdahale olmadan gizliliklerini korumalarını sağlar.
Kod İmzalama (Code Signing)
Kötü amaçlı yazılımı güvenilir yazılımlarla aynı şekilde görünmesi için kod imzalama tekniğini kullanır. Özellikle imza tabanlı güvenlik çözümleri için etkili bir sızma stratejisidir. Kod imzalama yazılımın orijinal ve güvenilir bir kaynaktan geldiği izlenimini vererek güvenlik yazılımlarını yanıltır. Saldırıyı tespit etmeyi zorlaştırır.
Sandboxing Atlatma
Kullanılan ransomware yazılımları bir sandbox (kapsayıcı) ortamında çalışıp çalışmadığını algılayabilecek kadar gelişmiştir. Sandbox yazılımların güvenlik testlerinden geçirildiği izole bir ortamdır. Ryuk bu ortamda tespit edilmemek için davranışlarını değiştirebilir ve yalnızca gerçek ortamda zararlı faaliyetlerini başlatabilir. Bu yetenek güvenlik uzmanlarının yazılımı analiz etmelerini engelleyerek, kötü amaçlı etkinliklerin zamanında fark edilmesini zorlaştırır.
Komut ve Kontrol Altyapısının Merkezi Olmayan Yapısı
Merkezi olmayan bir komut ve kontrol (C&C) altyapısı kullanıyor. Bu sayede altyapı birden fazla sunucudan veya noktalardan kontrol sağlanmasına olanak veriyor. Yani bu dağıtık yapı tespit edilmesini zorlaştırıyor. Çünkü tek bir noktadan müdahale edilse bile saldırganlar diğer sunucuları kullanarak saldırıyı sürdürmeye devam edebiliyor.
Ryuk Fidye Yazılımına Karşı Korunma Yöntemleri
Ryuk fidye yazılımı saldırılarından korunmak ve bu saldırıları minimuma indirmek çok katmanlı bir yaklaşım gerektirir. Yaklaşım hem teknik hem de teknik olmayan önlemleri kapsar. Ryuk fidye yazılımı saldırılarından korunmak ve etkilerini azaltmak için izlenebilecek en iyi uygulamalardan bahsedeceğim.
Yazılım ve işletim sistemlerini düzenli olarak güncellemek; Yazılım ve işletim sistemlerini sürekli güncel tutmak bilinen güvenlik açıklarının yamalanmasını sağlar ve saldırganların bu açıklardan yararlanmasını zorlaştırır.
Güvenlik çözümleri uygulamak: Güvenlik duvarları antivirüs yazılımları ve ağ izleme sistemleri gibi çözümler kötü amaçlı faaliyetleri tespit edip engellemeye yardımcı olabilir.
Veri yedeklemeleri yapmak: Önemli verilerin düzenli olarak yedeklenmesi fidye yazılımı saldırısı durumunda verilerin kurtarılabilmesi için kritik bir adımdır.
Çalışanlara eğitim vermek: Çalışanlar oltalama e-postaları ve diğer sosyal mühendislik tekniklerini tanıyıp bunlardan kaçınmak konusunda eğitilmelidir. Saldırganlar bu yöntemlerle kötü amaçlı yazılımları sisteme bulaştırmaya çalışır.
Ağ trafiğini izlemek: Ağdaki aktiviteleri düzenli olarak izlemek şüpheli hareketleri erken aşamada tespit etmeye ve yanıt vermeye olanak tanır.
Uzak Masaüstü Protokolü (RDP) güvenliği sağlamak: Çok faktörlü kimlik doğrulama ve RDP sunucularına erişimi sınırlamak yetkisiz erişimi engelleyebilir ve Ryuk fidye yazılımının yayılmasını sınırlandırabilir.
Ryuk fidye yazılımını tespit etmek ve kaldırmak için uygulanabilecek bazı adımlar ise şunlardır:
Şüpheli ağ trafiğini izlemek: Özellikle bilinen Komut ve Kontrol sunucularına (C&C) giden yüksek trafik gibi olağandışı ağ aktivitelerini izlemek.
Fidye notları ve şifrelenmiş dosyalar tespit etmek: Sistemde fidye notları veya şifrelenmiş dosyaların varlığını kontrol etmek.
Sistem taraması yapmak: Güncel antivirüs yazılımlarıyla sistemin tam bir taramasını gerçekleştirmek.
Enfekte olmuş sistemleri ağdan izole etmek: Enfekte olmuş sistemleri ağdan ayırarak yazılımın daha fazla yayılmasını engellemek.
Yedeklerden geri yükleme yapmak: Yedekler mevcutsa verileri yedeklerden geri yüklemek.
Ryuk fidye yazılımının sürekli olarak evrildiğini ve güncellendiğini unutmamak önemlidir. Son gelişmeleri takip etmek ve yeni tehditlere karşı hazırlıklı olmak, güvenlik için kritik bir adımdır. Ekstra olarak bir kuruluş Ryuk saldırısına uğrarsa zararın minimize edilmesi ve kurtarma şanslarının artırılması için derhal bir siber güvenlik uzmanı ve kolluk kuvvetleri ile iletişime geçilmelidir.
Ryuk Ransomware İle İlgili Belirtiler
Ryuk’un yayılmasında genellikle BazarLoader adlı dropper kullanılır. Dropper başka kötü amaçlı yazılımların sisteme indirilmesine olanak veren zararlı bir yazılımdır. BazarLoader’ın yol açabileceği ihlal belirtileri arasında şunlar dikkat çekmekte;
- Windows Kayıt Defterinde Otomatik Çalıştırma Girişleri: “StartAd-Ad” adında bir zamanlanmış görev, kayıt defterine eklenmiş olabilir.
- Çift Uzantılı Dosyalar: “Report.DOC.exe” gibi, hem belge hem de yürütülebilir dosya uzantısı taşıyan dosyalar görülebilir.
Bir başka önemli giriş noktası ise TrickBot’tur. TrickBot Ryuk’un yayılmasında sıklıkla kullanılan bir diğer kötü amaçlı yazılım diyebiliriz. TrickBot’un oluşturduğu belirtiler genellikle rastgele 12 karakterden oluşan dosya adlarına sahip yürütülebilir dosyalarla kendini gösterir. Ve dosyalar genellikle aşağıdaki dizinlere yerleşir:
C:\Windows\C:\Windows\SysWOW64C:\Users[KullanıcıAdı]\AppData\Roaming
TrickBot’a ilişkin ihlal belirtilerinin tamamını öğrenmek için ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) yayınladığı uyarıları inceleyebilirsiniz.
Bir şirketin fark ettiği ilk belirti şifrelenmiş dosyaların ve fidye taleplerinin yer aldığı ekran görüntüsüdür. Eğer şirketin müdahale ekipleri hazırsa olası bir saldırı öncesinde doğru hazırlıklar yapılmışsa ve veriler yedeklenmişse hızlıca bir kurtarma sürecine girilebilir.
TrickBot Fidye Yazılımının Yayılma Yöntemleri
TrickBot’un çalıştırılmasından sonra bu dosya Komut ve Kontrol (C2) sunucularıyla iletişime geçer. İletişim kurulduktan sonra C2 sunuculardan uygun modüller indirilir ve enfekte olmuş sisteme yerleştirilir. Bu modüller sistemin işlemci mimarisine (32 veya 64 bit) bağlı olarak, %APPDATA% veya %PROGRAMDATA% dizinlerine yerleştirilir. Örnek verecek olursak %AppData\Roaming\winapp gibi dizinlerde aşağıya yazdığım gibi bazı yaygın modüller bulunabilir;
- Systeminfo
- importDll
- outlookDll
- injectDll (örneğin, injectDLL64_configs dizini içinde yapılandırma dosyalarıyla)
- mailsearcher (örneğin, mailsearcher64_configs dizini içinde yapılandırma dosyasıyla)
- networkDll (örneğin, networkDll64_configs dizini içinde yapılandırma dosyasıyla)
- wormDll
- tabDll
- shareDll
Enfekte sistemin bot ID’sini taşıyan “client_id” veya “data” gibi dosyalar malware dizininde oluşturulabilir. TrickBot kampanya kimliklerini içeren “group_tag” veya “Readme.md” gibi dosyalar da malware dizininde yer alabilir.
Malware anchorDiag.txt adlı bir dosya da bırakabilir.
TrickBot’un C2 sunucusuyla başlatılan ilk ağ iletişimi sırasında kurbanın bilgisayar adı/hostname işletim sistemi sürümü ve yapı bilgisi gibi bilgiler base64 şifreleme yöntemi ile gönderilir. Bu iletişim aşağıdaki biçimdeki bir GUID (Global Unique Identifier) ile yapılır:
/anchor_dns/[COMPUTERNAME]_[WindowsVersionBuildNo].[32KarakterString]/.
TrickBot kurban makinelerinde kalıcı olabilmek için her 15 dakikada bir çalışan zamanlanmış görevler oluşturur. Genellikle şu isimlendirme konvansiyonuna sahiptir:
- [Microsoft dışındaki %APPDATA% içindeki rastgele klasör ismi]
- autoupdate#[5_rastgele_sayı] (örneğin, Task autoupdate#16876)
Başarılı bir şekilde çalıştırıldıktan sonra TrickBot ayrıca kötü amaçlı betikler (.bat dosyaları) dağıtarak PowerShell komutlarıyla daha fazla zarar verebilir.
TrickBot en son kendisini silmek için çeşitli teknikler de kullanır. Bu komutlar ile aşağıdaki gibi dosyaları sistemden silmeye yönelik.
- cmd.exe /c timeout 3 && del C:\Users[kullanıcı_adı][malware_dosya_adı]
- cmd.exe /C PowerShell “Start-Sleep 3; Remove-Item C:\Users[kullanıcı_adı][malware_dosya_yeri]”
Bu yöntemlerle TrickBot hem yayılmayı sürdürür hem de tespit edilmeden kendini silmeyi başarır.
Ryuk Ransomware Haberleri
City of Liège hit by ransomware, Ryuk suspected — 2021