'Truva atı olarak biliniyor'
ESET tarafından, fidye yazılımı hakkında derin analizlerde bulunuldu.
ESET araştırmacıları, kökeninin Türkiye olduğu konusunda mutabık kaldıklarını CosbimBeetle grubunun Spacelon araç setini analiz etti, analizler sonucunda Scarab isimli fidye yazılımının dağıtıldığı tespitinde bulundu.
Savunmasız sunucuları yakalıyor!
ESET araştırmacıları, Türkiye kökenli olduğunu düşündükleri CosmicBeetle grubunun araç setini analiz ederek Scarab isimli sanal fidyeyi savunmasız dağıttıklarını tespit etti. Net bir hedef bulunmamakla birlikte en çok Avrupa ülkeleri, Türkiye ve Meksika'da olduğu belirlendi. Spacecolon, hassas bilgileri çalma veya Scarab fidye yazılımını dağıtma yeteneğine sahip bir uzaktan erişim truva atı olarak biliniyor. CosmicBeetle'ın ZeroLogon'a karşı savunmasız web sunucularını veya kaba kuvvet uygulayabildiği RDP kimlik bilgilerini hedeflediği tahmin edilirken, CosmicBeetle'ın ScRansom adı verilen yeni bir fidye yazılımının dağıtımına başlayacağı düşünülen konular arasında yer alıyor. Yapılan varsayımlarda fidyenin kurban kuruluşlara, savunmasız web sunucuları aracılığıyla veya RDP kimlik bilgilerini kaba kuvvetle zorlayarak sızdığı üzerinde duruluyor. Bazı Spacecolon yapıları çok sayıda Türkçe terim içerdiği biliniyor; bu sebepten ötürü ESET, Türkçe konuşan bir geliştirici tarafından yazıldığına inanıyor.
Dünyaya sanal virüs tehlikesi
ESET'in yaptığı araştırmalara bakılarak Spacecolon'un geçmişi en az Mayıs 2020'ye kadar uzandığını söylemek mümkün ve faaliyetleri devam ediyor. ESET, Spacecolon'un operatörlerine "uzay" ve "scarab" bağlantısını temsil etmesi adına CosmicBeetle ismini koydu. ESET telemetrisi tarafından tespit edilen Spacecolon vakaları, İspanya, Fransa, Belçika, Polonya ve Macaristan gibi Avrupa Birliği ülkelerinde yüksek yaygınlıkla birlikte tüm dünyayı kapsıyor. ESET, ayrıca Türkiye ve Meksika'da yüksek yaygınlık tespit etti. CosmicBeetle, yeni fidye yazılımı ScRansom'un dağıtımını hazırlıyor gibi göründüğü düşünülüyor. Spacelogon, sunucuları ele geçirdikten sonra fidye yazılımı yüklemenin yanı sıra saldırganların güvenlik ürünlerini devre dışı bırakmasına, hassas bilgileri çalmasına ve daha fazla erişim elde etmesine olanak tanıyan çok çeşitli üçüncü taraf araçlar içeriyor. ESET araştırmacısı Jakub Souček konuya ilişkin yaptığı açıklamada; "Spacecolon'un kurbanlarının arasında CosmicBeetle tarafından kullanılan erişim yöntemlerine karşı savunmasız olmalarının dışında herhangi bir benzerlik gözlemlemedik. Hedeflerin odaklandığı alanlar ya da büyüklükleri arasında da herhangi bir örüntü bulamadık. Ancak (tür ve coğrafyaya göre) birkaç isim vermek gerekirse, Spacecolon'u Tayland'da bir hastane ve turizm beldesinde, İsrail'de bir sigorta şirketinde, Polonya'da yerel bir devlet kurumunda, Brezilya'da bir eğlence sağlayıcısında, Türkiye'de bir çevre şirketinde ve Meksika'da bir okulda gözlemledik" dedi.
(Nevin Yüksel)