Eşi benzeri görülmemiş ‘fidye’ saldırısını durdurmayı başaran “tesadüfi kahraman”, İngiliz Guardian gazetesine konuştu.

Kendini MalwareTech (Kötü amaçlı yazılım teknisyeni) olarak adlandıran 22 yaşındaki araştırmacı, “Bir arkadaşımla öğle yemeği yiyorduk ve saat 15:00 gibi geri döndüm. Ulusal Sağlık Sistemi ve çeşitli Britanya kurumlarına ilişkin etkilendiklerine dair yeni makale akınıyla karşılaştım” dedi.

Los Angeles merkezli Kryptos Logis firması için çalıştığı belirtilen genç, sonrasında durumu biraz incelediğini aktararak, “Kötü amaçlı yazılımın ardında bir örnek buldum ve kaydı yapılmamış özel bir alan adına bağlandığını gördüm. O anda ne işe yaradığını bilmeden aldım” şeklinde konuştu.

ANLAMSIZ ALAN ADINI ALARAK…

‘Acil anahtarı’ kötü amaçlı yazılımın içine üretici tarafından gömülüyor. Zira hacker bu yazılımı yaymaktan vazgeçtiğinde o anahtarı kullanıyor. Bunun içinde de çok uzun, anlamsız bir alan adı bulunuyor.

Kötü amaçlı yazılım bu alan adına talepte bulunuyor, tıpkı herhangi bir web sitesini ziyaret ediyormuş gibi, ve talep karşılık alırsa ve alan adının sağlam olduğunu ortaya koyarsa, ‘acil anahtarı’ devreye giriyor ve kötü amaçlı yazılımın yayılması duruyor. Bu alan adı 10.69 dolara mâl oluyor ve her saniye binlerce bağlantıyı hemen kaydediyor.

Malware Tech, çalıştığı şirketin çok sayıda bilgisayarın bir IP’ye saldırması olayı olan ‘botnet’leri izlediği için söz konusu alan adını aldığını söyledi. Amaçlarının ‘botnet’leri izlemek olduğunu ve sonrasında onlarla ilgili neler yapılabileceğine baktıklarını anlatan genç uzman, “Fakat aslında sadece alan adını kaydederek fidye yazılımının yayılmasını durdurduk” dedi.

Bilgilsyar kullanıcılarına sistemlerini güncelleme çağrısı yapan MalWare Tech, “Bu daha bitmedi. Saldırganlar nasıl durdurduğumuzu anlayacaklar, kodu değiştirip, tekrar saldırıya geçecekler. Windows güncelleştirmelerinizi aktive edip, bilgisayarınızı yeniden başladın” dedi.

Siber zorbalar kurbanlarını ekte fatura, iş teklifi, güvenlik uyarısı ya da başkaca makul dosyalar içeren spam e-postalarla ağlarına düşürdü.

Dünya genelinde yayılan fidye yazılımının şifreleyici ve kilitleyici olmak üzere iki farklı türü var. Şifreleyici türü, bulaştığı bilgisayardaki her türlü veriyi şifreliyor ve kullanıcının bunları açmasını engelliyor. Kilitleyici tür ise bilgisayarın kilitlenmesine ve sadece dosyaların değil, tüm sistemin erişilemez hale gelmesine neden oluyor.

Cuma günü düzenlenen saldırılarda, ağırlıklı olarak kilitleyici tür yazılımın kullanıldı ve kullanıcılardan anahtarı vermek için sanal para birimi Bitcoin ile 300-666 dolar değerinde bir ödeme talep edildi.

İNGİLTERE’DE SAĞLIK SİSTEMİ ÇÖKTÜ

Zararlı yazılım, İngiltere ve İskoçya'da Ulusal Sağlık Sistemi'nin (NHS) çökmesine neden oldu. BBC, NHS'e bağlık çok sayıda sağlık kuruluşu ile bazı aile hekimliği kliniklerinin durumdan etkilendiğ. Ayrıca bazı hastanelerde ameliyatlar yapılamadı ve acil durumlar dışında hasta kabul edilemedi.

İngiltere Başbakanı Theresa May konuyla ilgili açıklamasında Ulusal Siber Güvenlik Merkezi'nin (NCSC) NHS ile “yakın çalışma” içinde olduğunu söyledi. May, ayrıca şu ana kadar kişilerin sağlık bilgilerinin ele geçirilmiş olabileceğine dair herhangi bir bulguya rastlanmadığını da ifade etti.

İSPANYA, RUSYA, PORTEKİZ, FRANSA…

Aralarında telekomünikasyon devi Telefonica, elektrik şirketi Iberdrola ve doğal gaz şirketi Gas Natural’ın da bulunduğu birçok İspanyol devi de saldırıdan etkilenmiş durumda. Söz konusu firma çalışanlarına bilgisayarlarını kapalı duruma getirmeleri söylendi.

Bazı haberlerde saldırıdan en fazla etkilenen ülkenin Rusya olduğu belirtildi. Rusya İçişleri Bakanlığı, saldırı Windows işletim sistemi kullanan kişisel bilgisayarları etkilendikten sonra “virüsün yerini saptadıklarını” açıkladı.

Portekiz firması Portugal Telecom, kargo şirketi FedEX, İsveçli yerel bir kamu kurumu, Rusya’daki en büyük ikinci cep telefonu şebesi de saldırıdan etkilendi.

Renault da küresel siber saldırıdan etkilenen ilk Fransız firması oldu. Şirketten dün yapılan açıklamada, “Dün geceden bu yana çalışmalar devam ediyor. Bu saldırıya karşı koymak için ne gerekiyorsa yapıyoruz” ifadesi yer aldı.

Renault Sözcüsü, sorunun genel olarak Fransa’yla bağlantılığı olduğunu ve bazı fabrikalarda bilgi sistemleri bölümlerinin bir kısmında sorun yaşandığını” söyledi. Öte yandan Renault’nun Slovenya’daki tedarikçisi Revoz’da bilgisayar sistemleri etkilendiği için üretim durdu.