Ocak 2019’da kötü amaçlı JavaScript e-posta eklerinin sayısındaki artışın gözlenmesiyle, ESET araştırmacıları Rus kullanıcılarını hedefleyen büyük bir fidye yazılımı spam dalgasını algıladı.
2018’in çoğunda uykuda bekleyen bir saldırı vektörü, Ocak 2019’da uyanarak, kötü amaçlı JavaScript e-posta eklerinin tespitlerinde dramatik bir yükseliş gösterdi. Bu vektöre dayanan kötü amaçlı istenmeyen posta hareketlerinin “Yeni Yıl sürümleri” içinde, Shade veya Troldesh olarak bilinen fidye yazılımını dağıtan ve ESET tarafından Win32/Filecoder .Shade olarak algılanan yeni bir Rusça spamı dalgası tespit ettik. Bu hareket, Ekim 2018’de fidye yazılımı Shade’i dağıtmaya başlayan zararlı spam hareketinin devamı gibi görünüyor.
Ocak 2019 kampanyası
Telemetremiz gösteriyor ki, Ekim 2018 kampanyası, Aralık 2018’in ortasına kadar belirli bir tempoda ilerlerken, Noel’de duruluyor ve Ocak 2019 ortasında boyutu ikiye katlanarak devam ediyor. Grafikteki düşüşler hafta sonlarına denk geliyor, bu da saldırganların şirket e-posta adreslerini tercih ettiğine işaret ediyor.
Daha önce belirttiğimiz gibi, bu kampanya, 2019’un başından beri geri dönüşünü gözlemlediğimiz daha büyük bir akım olan, JavaScript eklerinin yaygın olarak kullanıldığı bir saldırı vektörünün parçasıdır.
Özellikle, Ocak 2019’da Shade fidye yazılımını yayan kampanya, bunun gibi zararlı JavaScript eklerinin toplamının %52’si ile Rusya’da en aktif görüleni olmuştur. Etkilenen diğer ülkeler arasında Ukrayna, Fransa, Almanya ve Japonya bulunmaktadır.
Analizimize göre, Ocak 2019 kampanyasındaki tipik bir saldırı, “info.zip” veya “inf.zip” adında bir ZIP arşivi ekiyle birlikte gönderilen Rusça bir e-posta ile başlıyor.
Bu zararlı e-postalar, gerçek bir Rus firmasından gönderilen sipariş güncelleme e-postaları gibi görünüyor. Gördüğümüz e-postalar Rus bankası B&N Bank (yakın zamanda Otkritie Bank ile birleşti) ve perakende zinciri Magnit’i taklit ediyor.
Konuyla ilgili ESET makalesinin tamamını okumak için buradaki bağlantıyı ziyaret edebilirsiniz.
Yıllardır her yerde, her fırsatta söylüyorum ama.. En başta bu Ransomware belası olmak üzere, tüm zararlı yazılımlara karşı maximum sistem koruması sağlayabilmek ancak ve ancak bilg.sistemlerinin “DÜZENLİ BACKUP’LARINI ALMAKTAN GEÇER”.. Ancak ülkemizdeki “rantçı” sözde IT yöneticilerinin %90’ı “masraf çıkar” gibi aptal bir mazeret öne sürerek bu önlemden uzak dururlar.. (Çünkü backup yazılımları nispeten ucuzdur ve kimse bunlardan doyurucu bir komisyon yiyemez..) Asıl masrafın ne olduğunu ise başınıza böyle bir bela geldiğinde okkalı halde anlarsınız.. Hele ki ransomware.. Minimum kayıpla geri dönüşün “TEK YOLU” sistemi dış bağlantısını kesip son güncel yedekten geri getirmektir.. İstenilen parayı ödeyen sistemlerin dahi decrypt olduğuna/olacağına dair garanti yoktur, neden olsun ki? Sonuçta bu işi yapan adamlar pislik adamlar..