Yaşar Ateş

System and Security Administration Manager

Conti Zararlı Yazılımı Faaliyetleri Artışa Geçti

Geçtiğimiz yıl birçok ülkenin sağlık sistemlerini ve acil servis hizmetlerini sekteye uğratan Conti fidye grubu dünya çapında 400'den fazla sistemi etkiledi ve halen sağlık sistemi, acil servis hizmetleri ve belediye hizmetlerine sekte vurmaya devam ediyor.

Conti Zararlı Yazılımı Faaliyetleri Artışa Geçti

Conti grubu da standart bir fidye zararlısı grubu gibi, verileri şifreler ve fidye talep eder, eğer ödeme belirtilen sürede gerçekleşmez ise, veriler bu grup tarafından açığa çıkarılarak kurumun hukuki ve itibari sıkıntıya düşürülmesi sağlanır. Conti grubu sızdığı sisteme göre fiyat belirlemekte ve son olarak sızdığı bir ülke sağlık sisteminden 25 milyon dolar talep etmiştir.

Conti Zararlı Yazılımı Faaliyetleri Artışa Geçti

Çalınan RDP kullanıcı hesaplarını satın alan grupların kuruluşlardaki fidye saldırıları kapışması başlıyor ve aynı bilgilere sahip farklı grupların da kurum içerisinde şifreleme esnasında birçok dosyayı bozduğu da görülüyor.

Conti Zararlı Yazılımı Faaliyetleri Artışa Geçti

Aynı zamanda fidye gruplarının yoğun olarak sağlık, enerji, telekom, savunma gibi sektörleri tercih sebebi de, herhangi bir sistem durması halinde direkt kitlelerin etkilemesi ve birçok kuruluşta savunma ve acil durum planının uygulanmasının bile, fidye ödeyip sistemleri aktif hale getirmekten daha uzun sürmesi olduğu belirtiliyor.

ABD savunma sanayi şirketi olan BlueForce’un Conti fidye yazılımından etkilendiği ve BlueForce’a ait kritik verilerin sızdırıldığı tespit edilmiştir. Saldırı, Conti fidye grubuyla iletişime geçmeye çalışan bir kullanıcının mesajlarına ait ekran görüntülerinin forumlarda paylaşılması ile ortaya çıkmıştır.

Conti Zararlı Yazılımı Faaliyetleri Artışa Geçti

 

Söz konusu zararlı yazılım, hedef cihazlara Cobalt Strike shell’i içeren 200kb boyutunda DLL dosyaları ile bulaşmaktadır. Erişim sağlandıktan sonra, C&C (Komut ve Kontrol) sunucusu ile iletişim kurmakta ve sistem keşfi yapmaktadır. Hedef cihazda kritik dosyaları şifreleyen Conti zararlısı, şifrelediği dosyaları C&C sunucusuna aktarmaktadır. Conti fidye yazılımının arkasındaki tehdit aktörleri, ele geçirilen verileri 17 BTC (976,577.82 $) karşılığında geri vereceğini söylemektedir.

 Conti Zararlı Yazılımı Faaliyetleri Artışa Geçti

Güvenlik araştırmacıları, Conti fidye yazılımının arkasındaki tehdit aktörlerinin gelişmiş yöntemler kullandığını belirtmektedir. Kritik siber saldırılardan etkilenmemek adına, güvenilir olmayan kaynaklardan dosya indirilmemesi ve aşağıda tespit edilen IoC (Indicator of Compromise) bulgularının güvenlik cihazları tarafından engellenmesi önerilmektedir.