Zararlı Yazılımlar

Bad Rabbit Ransomware hızla yayılıyor!

2 dakikada okunur

Bad Rabbit isimli yeni bir ransomware (fidye yazılımı) Rusya‘daki Interfaks haber ajansı sisteminin ve yine Rusya’da yayın yapan Fontanka gazetesi bilgisayarlarının kilitlenmesiyle keşfedildi. 23 Ekim‘de başlayan saldırı kısa sürede Ukrayna‘da Enformasyon Bakanlığı, Sivil Havacılık, Kiev Metrosu ve Odessa Havalimanı bilgisayarlarını kilitledi.

Bad Rabbit’in izini süren ESET antivirüs yazılım şirketi virüsün Adobe Flash Player güncellemesi gibi görünen sahte bir yazılımla geldiğini tespit etti.

Hackerlar daha önceden ele geçirdikleri popüler web sitelerine JavaScript kodları enjekte etmişler ve kullanıcılar bu ele geçirilen web sitelerinden birini ziyaret ettiğinde, zararlı yazılım dosyasını barındıran bir site olan 1dnscontrol.com adresine yönlendirmişler.

Enjekte edilmiş JavaScript kodlarının düzenlenmiş hali;

Malware (zararlı yazılım) indirilmeden önce 185.149.120[.]5 statik IP adresine bir POST isteği gönderiyor. Bu istek “/scholasgoogle” yoluna gönderiliyor. POST’tan sonra dropper, 1dnscontrol[.]com/index.php ve /flash_install.php olmak üzere iki farklı yoldan indiriliyor. İki farklı yoldan indirilmesine rağmen sadece tek bir dosya iniyor. İnen dosya çalıştırıldığında bilgisayar kilitleniyor ve fidye yazısı görüntüleniyor.

Bad Rabbit, kilitleme yaptıktan sonra 0.05 BTC (yaklaşık 300$) ödeme istiyor. Bu ödemenin geri sayım sayacının sonuna kadar ödenmesini istiyor. Bu süre zarfında ödeme yapılmazsa fiyat iki katına çıkıyor.

Bad Rabbit, bulaştıktan sonra hak yükseltiyor ve bu yolla diğer sistemlere de bulaşmayı hedefliyor. Ardından kullanıcıların kimlik bilgilerini toplamak için de mimikatz aracını çalıştırıyor.

İlk olarak etkilenen ülkeler arasında Rusya’yı görüyoruz. Ardından Ukrayna, Türkiye ve Bulgaristan da etkiler görülmeye başlandığı belirtiliyor.

Kaspersky Lab Anti Zararlı Yazılım Araştırma Ekibi Başkanı Vyacheslav Zakorzhevsky konuyla ilgili açıklama yaparak, “Elimizdeki verilere göre bu saldırıların hedef aldığı kurbanların büyük çoğunluğu Rusya’da bulunmaktadır. Benzer fakat daha az sayıda saldırıya Ukrayna, Türkiye ve Almanya’da da rastlanmıştır. Bu fidye yazılımı cihazlara bir takım ele geçirilmiş Rus medyası web sitesinden bulaşmaktadır. İncelemelerimize göre, bu kurumsal ağlara yönelik hedefli bir saldırı olmuştur ve ExPetr saldırısındakine benzer yöntemler kullanmaktadır. ExPetr ile bağlantılı olduğunu teyit edememekle birlikte, araştırmalarımız devam etmektedir.” dedi.

Konu ile ilgili yapılan araştırmalarda;

Yakalanan Örnekler:

C&C Sunucuları:

  • Ödeme adresi: http://caforssztxqzf2nm[.]onion
  • Enjekte adresi: http://185.149.120[.]3/scholargoogle/
  • Dağıtım adresi: http://1dnscontrol[.]com/flash_install.php

Aracı Sunucu:

  • 185.149.120[.]3

Yönlendiren Siteler:

  • http://argumentiru[.]com
  • http://www.fontanka[.]ru
  • http://grupovo[.]bg
  • http://www.sinematurk[.]com
  • http://www.aica.co[.]jp
  • http://spbvoditel[.]ru
  • http://argumenti[.]ru
  • http://www.mediaport[.]ua
  • http://blog.fontanka[.]ru
  • http://an-crimea[.]ru
  • http://www.t.ks[.]ua
  • http://most-dnepr[.]info
  • http://osvitaportal.com[.]ua
  • http://www.otbrana[.]com
  • http://calendar.fontanka[.]ru
  • http://www.grupovo[.]bg
  • http://www.pensionhotel[.]cz
  • http://www.online812[.]ru
  • http://www.imer[.]ro
  • http://novayagazeta.spb[.]ru
  • http://i24.com[.]ua
  • http://bg.pensionhotel[.]com
  • http://ankerch-crimea[.]ru

gibi bulgulara rastlanıyor.

Bunlar ilgini çekebilir
Siber SaldırılarVeri SızıntılarıZararlı Yazılımlar

REvil Çetesi NY Hukuk Firmasından 42 Milyon Dolar Fidye Talep Etti! Trump da Tehdit Ediliyor

1 dakikada okunur
REvil fidye yazılımı çetesi birkaç gün önce Lady Gaga’nın yasal belgelerini yayınladı REvil (Sodinokibi) fidye yazılımının arkasındaki suç grubu, New York merkezli…
Siber SaldırılarZararlı Yazılımlar

PyXie RAT Birçok Endüstriyi Tehdit Ediyor

1 dakikada okunur
Araştırmacılar, çeşitli endüstrileri hedefleyen kampanyalarda kullanılan PyXie adlı Python tabanlı yeni bir RAT (Remote Access Trojan) keşfetti. RAT (Remote Access Trojan), bulaştığı…
Siber SaldırılarSizden GelenlerZararlı Yazılımlar

Smominru Botnet Geçtiğimiz Ay 90.000'den Fazla Bilgisayarı Hackledi

3 dakikada okunur
Güvensiz internet bağlantılı cihazlar, yıllardır farklı spam saldırıları başta olmak üzere farklı türlerde siber suçlara yardımcı olmuştur. Ancak siber suçlular, botnetleri sadece…
Siber güvenlik dünyasındaki gelişmeleri takip edin.
Verinizi gizli tutuyoruz ve sadece bu servisi imkanlı kılan üçüncü partiler ile paylaşıyoruz. Gizlilik Politikamızı okuyun.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.