Geçtiğimiz günlerde New Orleans şehri, acil servisler hariç şehrin sunucularının ve bilgisayarlarının kapatılmasına neden olan bir fidye yazılım saldırısına maruz kaldı. VirusTotal tarama servisine yüklenen dosyalara dayanarak New Orleans’a yapılan fidye yazılımı saldırısı büyük ihtimal Ryuk Ransomware’in yapımcılarından kaynaklı.
Sitemizin üniversite öğrencisi gönüllü editörlerine bir kahve ısmarlar mısınız?
New Orleans ve Ryuk’a referans içeren bellek dökümü Red Flare Güvenliği’nden Colin Cowie tarafından bulundu ve paylaşıldı. Bellek dökümü, bir uygulama tarafından kullanılan belleğin anlık görüntüsü olduğundan yararlı dizeleri, dosya adlarını, komutları ve çalıştırılabilir etkileşime girdiği veya yürütüldüğü diğer bilgileri çıkarmak için kullanılabilir. Bu saldırıların nasıl yapıldığı hakkında daha fazla bilgi edinmek için adli araştırmalar sırasında siber saldırı sırasında hafıza dökümlerinin kullanılmasını sağlar.
Cowie tarafından bulunan bellek dökümünde dikkat çekici olan şey ise ‘yoletby.exe’ adlı bir çalıştırılabilir dosyadır. New Orleans saldırısındaki bu dosya etki alanı adları, etki alanı denetleyicileri, dahili IP adresleri, kullanıcı adları, dosya paylaşımları ve Ryuk Ransomware’a(fidye yazılımına) ait birçok referans içeriyordu.
Bu dökümde bulunan Ryuk Ransomware dizeleri, HERMES dosya işaretleyicisi, .ryk uzantısıyla biten dosya adları ve oluşturulan RyukReadMe.html gibi referanslardı.
Araştırmacılar daha sonra makinede yürütülen C: \ Temp \ v2.exe yürütülebilir dosyasına ait ilginç bir referans buldu. Bu dosya için bir bellek dökümü de VirusTotal’a yüklendi.
v2.exe bellek dökümünün özel bir kısmında New Orleans Belediye Sarayı ile alakalı bir dize bulundu. Araştırmacılar v2.exe dosyasını çalıştırdıktan ve yürüttükten sonra bunun Ryuk Ransomware olduğunu doğruladı.
Bu v2.exe’nin New Orleans Şehri saldırısında kullanılan olup olmadığı tam olarak bilinmese de bu dosyanın Ryuk saldırılarında kullanıldığını ve bellek dökümleri bu dosyanın bir şehre karşı saldırılarda nasıl kullanıldığını göstermektedir.
Bu Ryuk fidye yazılımının tam olarak ne zaman ortaya çıktığı bilinmese de bu tür Ryuk tabanlı saldırılarının en aktif olduğu dönem Ağustos 2018’dir. Rusya tabanlı bir suç örgütü WIZARD SPIDER tarafından oluşturulduğu ikna edilmektedir. Bu saldırının daha önce 100’ün üzerinde şirketi de hedef aldığı bilinmektedir. Bunlardan birinin T-System şirketi olduğu bir araştırmacı tarafından keşfedilmişti.