Kaspersky, daha önce sızdırılan "Conti" kaynak koduna dayanan bir fidye yazılımı modifikasyonunun kurbanlarına yardımcı olan bir şifre çözme aracının yeni sürümünü yayınladı.
Şirket açıklamasına göre, Conti, 2019'dan beri siber suç sahnesine hakim ve kaynak kodu da dahil olmak üzere verileri Mart 2022'de sızdırılan bir fidye yazılımı çetesi. Keşfedilen değişiklik, bilinmeyen bir fidye yazılımı grubu tarafından dağıtılırken şirket ve devlet kurumlarına karşı kullanıldı.
Şubat 2023'ün sonlarında Kaspersky uzmanları, forumlarda yayınlanan sızdırılmış verilerin yeni bir bölümünü ortaya çıkardı.
Kaspersky, 258 özel anahtar, kaynak kodu ve önceden derlenmiş bazı şifre çözücüleri içeren verileri analiz ettikten sonra, Conti fidye yazılımının bu modifikasyonunun kurbanlarına yardımcı olmak için genel şifre çözücünün yeni bir sürümünü yayınladı.
Conti fidye yazılımı, 2019'un sonlarında ortaya çıktı ve 2020 boyunca etkin şekilde faaliyet gösterdi. Bu dönemde tüm fidye yazılımı kurbanlarının yüzde 13'ünden fazlasını oluşturdu. 1 yıl önce, kaynak kodu sızdırıldıktan sonra, çeşitli suç çeteleri tarafından Conti fidye yazılımının çeşitli değişiklikleri oluşturuldu ve saldırılarında kullanıldı.
Özel anahtarları sızdırılan kötü amaçlı yazılım varyantı, Kaspersky uzmanları tarafından Aralık 2022'de keşfedildi. Bu tür, şirketlere ve devlet kurumlarına karşı birçok saldırıda kullanıldı.
Sızdırılan özel anahtarlar 257 klasörde bulunuyor (bu klasörlerden sadece biri iki anahtar içeriyor). Bunlardan bazıları daha önce oluşturulmuş şifre çözücüler ve belgeler, fotoğraflar gibi birkaç normal dosya içeriyor. Verileri analiz ettikten sonra uzmanlar, Conti fidye yazılımının bu varyasyonunun kurbanlarına yardımcı olmak için yeni bir sürümü açık şifre çözücüsünü yayınladı. Şifre çözme kodu ve tüm 258 anahtar, Kaspersky'nin RakhniDecryptor 1.40.0.00 adlı aracının en son sürümüne eklendi.
- "Her zaman güçlü parolalar kullanın"
Açıklamada görüşlerine yer verilen Kaspersky Baş Kötü Amaçlı Yazılım Analisti Fedor Sinitsyn, fidye yazılımlarının siber suçlular tarafından kullanılan önemli bir araç olarak kalmaya devam ettiğini belirterek, "Farklı fidye yazılımı çetelerinin taktiklerini, tekniklerini ve prosedürlerini (TTP'leri) incelediğimiz ve birçoğunun benzer şekillerde faaliyet gösterdiğini belirlediğimiz için saldırıları önlemek daha kolay hale geliyor. Yeni bir Conti tabanlı varyasyona karşı şifre çözme aracı zaten No Ransom web sayfamızda mevcut. Ancak en iyi stratejinin, savunmayı güçlendirmek ve saldırganları saldırının erken aşamalarında durdurmak, fidye yazılımının dağıtılmasını engellemek ve saldırının sonuçlarını en aza indirmek olduğunu vurgulamak isteriz." ifadesini kullandı.
Kaspersky uzmanları, fidye yazılımı saldırılarından korunmak için şunları öneriyor:
"Kesinlikle gerekli olmadıkça uzak masaüstü hizmetlerini (RDP gibi) genel ağlara açmayın ve bunlar için her zaman güçlü parolalar kullanın. Uzaktan çalışan çalışanlarınız için erişim sağlayan ve ağınızda ağ geçidi görevi gören ticari VPN çözümleri için mevcut yamaları derhal yükleyin. Savunma stratejinizi yanal hareketleri ve internete veri sızıntısını tespit etmeye odaklayın. Siber suçluların bağlantılarını tespit etmek için giden trafiğe özellikle dikkat edin. Verileri düzenli olarak yedekleyin.
Gerektiğinde acil bir durumda hızlıca erişebileceğinizden emin olun. Kaspersky Endpoint Detection and Response Expert ve Kaspersky Managed Detection and Response hizmeti gibi, saldırganlar nihai hedeflerine ulaşmadan önce saldırıyı erken aşamalarda tespit etmeye ve durdurmaya yardımcı olan çözümleri kullanın. Tehdit aktörleri tarafından kullanılan gerçek TTP'lerden haberdar olmak için en son tehdit istihbaratı bilgilerini kullanın.
Kaspersky Tehdit İstihbaratı Portalı, Kaspersky TI için tek bir erişim noktası ve 25 yıldır ekibimiz tarafından toplanan siber saldırı verilerini ve içgörülerini sağlıyor. İşletmelerin etkili savunmalar sağlamasına yardımcı olmak için, devam eden siber saldırılar ve tehditler hakkında bağımsız, sürekli güncellenen ve küresel kaynaklı bilgilere ücretsiz olarak erişebiliyor."