Microsoft, Ukrayna’yı hedef alan fidye yazılımı görünümlü geniş çaplı bir zararlı yazılım tespit ettiklerini duyurdu. Bu zararlı aslında gözüktüğünün aksine dosyaları şifrelemiyor, yalnızca yok ediyor.
Microsoft’un tehdit istihbaratı merkezi tarafından 15 Ocak 2022’de yayınlanan blog yazısına göre, zararlı yazılım ilk kez ayın 13’ünde bir Ukrayna sisteminde görüldü. Halihazırda düzinelerce sistemin kötü amaçlı yazılımdan etkilendiği, etkilenen sistemlerin neredeyse tamamının devlet ve bazı sivil toplum kuruluşlarına ait olduğu biliniyor.
Arkasında kimlerin olduğu henüz bilinmemekle beraber, saldırılarda son zamanlarda yaşanan politik gerilimlerin etkisinin de olduğu düşünülüyor. Zararlının 14 Ocak’ta Ukrayna hükümetine ait sistemlere düzenlenen saldırılardan bir gün önce tespit edilmesi, söz konusu aktörlerin aynı veya bağlantılı olabileceğine dair bir çıkarım yapılabilir.
Zararlı yazılım, hedef sistemde çalıştırıldıktan hemen sonra çok bilinen uzantılara sahip dosyalar 0xCC baytlarla doldurulup bozuluyor. Ayrıca zararlı, NotPetya ve BadRabbit’te olduğu disklerin MBR (Master Boot Record) olarak bilinen kısmını da yeniden yazıp şifreliyor. Yayılma şekli bakımından 2017’de yine önce Ukrayna’yı hedefleyip dünyaya yayılan NotPetya kadar etkin bir dağıtım ağına sahip olduğu gözükmüyor.
Microsoft araştırmacıları saldırının arkasında henüz kimlerin olduğuna dair net bir tespit yapamadıklarından saldırganları geçici olarak DEV-0586 olarak isimlendirdi.
