Yeni fidye yazılımı SambaCry
Kimliği belirsiz saldırganlar son zamanlarda kaynak yoğunluğuna dayalı kripto para birimi kazma aracını yaymak için Samba ’da bulunan ve yakın zamanda yamalanan açığı kullanıyorlar (Samba, Unix, Linux ve Windows işletim sistemleri arasında işlem yapılmasını sağlayan bir çeşit ağ yazılımıdır). Şu ana kadar saldırganlar bu yolla 6.000 doların altında para kazandılar fakat açığın kullanıldığı makine sayısı artıyor. Tabii bu da *NIX sunucularda çok sayıda Samba işletimlerinin hala yamalanmamış olduğunu gösteriyor.
Saldırı aynı zamanda CVE-2017-7494 kod numaralı açığın, Linux ve UNIX çevrelerinde EternalBlue benzeri saldırılara da zemin hazırlayabileceğini gösteriyor. Samba, Linux ve UNIX sunucular üzerinde çalışan bir yazılım paketidir. SMB networking protokolü üzerinden dosya oluşturup servis gönderen yazılım, bunları Windows çevrelerine uyarlar.
Samba açığı, saldırganların WannaCry fidye yazılımını yaymak için NSA’nın EternalBlue açığını kullanarak 12 Mayıs’ta SMB açığı üzerinden düzenledikleri saldırılara benzer. Uzmanlar, EternalBlue’nun herhangi bir saldırı tipi için ayarlanabileceği konusunda uyarıda bulundular. Aynı uyarıyı bu açık için de yapan uzmanlar, bu tip bir fidye yazılımının SambaCry olarak adlandırılabileceğini belirtiyorlar.
Kaspersky Lab’daki araştırmacılar hazırladıkları bazı yemlerin 30 Mayıs’ta Samba açığını hedef alan ilk saldırıların bazılarını yakaladığını söylediler. Yazılım iki başlı bir tehditti: Biri Linux backdoor’u (bir çeşit trojan), diğeri ise Cpuminer olarak adlandırılan ve kripto para kazanmak için kullanılan ‘Kazma’ aracı. Bu araç kurbanların işlem gücünü arttırarak Monero kripto para birimi üretmeyi hedefliyor.
Kaspersky Lab Securelist.com’da yayınlanan bir açıklamada “Saldırılan makineler büyük bir çiftlikteki beygirlere dönüşerek saldırganlar adına kripto para kazmaya başlıyorlar” dedi.
Araştırmacılar saldırganların Monero cüzdanlarının ve havuz adreslerinin saldırı aracı içerisinde karmaşık şekilde kodlandığını söylüyorlar.
“İşlem loglarına göre saldırganlar 30 Nisan’dan hemen sonraki gün ilk kripto paralarını almaya başlamışlar. İlk gün yaklaşık 1 XMR (08.06.2017 tarihinde yaklaşık 55$’a denk geliyordu) kazanmışlar fakat sonraki hafta her gün 5 XMR kazanır hale gelmişler. Bu da demek oluyor ki saldırganların menfaatine olmak üzere çalışan botnet cihazların sayısı artıyor.”