OPM güvenlik ihlalinin ardından: Locky kurbanlardan çalınan verileri kullanmaya başlar

Locky virüsü yılın ilk yarısındaki en aktif siber sızıntılardan birisi olmayı başardı. Yine de, gelişmiş yayılma tekniği ile bu alandaki liderliğini kısa sürede kaptıracak gibi durmuyor. Dahası, Tahminlere göre zararlı email eklentilerinin yaklaşık 97%'sinin Locky virüsü veya bir versiyonunu taşıdığı tahmin edilmekte. Bu versiyonların arasında şu virüsler yer almakta Thor, Shit virüsü, Perl fidye yazılımı ve hatta muhtemelen henüz uzmanların karşılaşmadığı birkaç farklı Locky versiyonu daha.

Locky virüsünün yayılma ve bilgisayarlara sızma tekniklerinden bahsederken, her gün yeni bir şey öğrenmiyoruz dersek yalan söylemiş oluruz. Örneğin, Kasım ayının başlarında virüs analistlerii ShadowGate ile ilgili büyük bir reklam kampanyasına denk gelmişlerdi şimdi ise program Bizarro Sundown açığından faydalanarak Locky virüsünün iki versiyonunu yaymakta. Locky virüs geliştiricilerinin aktif olarak kullandığı Angler ve Rig kitlerinden çok daha tehlikelidir bu. Fakat sıradan kullanıcılara en çok faydası dokunabilecek şeyi PhishMe team yaptı.

The PhishMe araştırmacıları Locky virüsünü taşıyan email eklentilerini masıl kullanıcılara indirtmek için kullanılan yeni bir taktik olduğunu keşfettiler. Uzmanlar kısaca OPM Banka Dolandırıcılıığı veya kısaca OPM dolandırıcılığı denmekte. OPM ise US Office of Personnel Management ın açılımı — hackerlerın potansiyel kurbanlarına sahte uyarılar gönderirken kullandıkları bir isim. Kullanıcılar şu mesajı almakta:

Sayın [İSİM],
Banka çalışanımız Carole hesaplarınızdaki şüpheli işlem haraketleri hakkında bizi uyardı. Ekteki konuyla ilgili dökümanı inceleyebilirsiniz. Daha fazla detaylı bilgilye ihtiyaç duyarsanız, lütfen bizimle iletişime geçmekten çekinmeyiniz.

Bu email beraberinde bir ZİP dosyası ile gelmekte ve bu dosya da içinde virüslü JavaScript dosyasını barındırmakta. Locky virüsünün çalışmaya başlaması için kullanıcının tek yapması gereken, dosyayı açması. İlginçtir ki bu OPM ihlalleri özellikle 2014 ve 2015 yıllarında gerçekleşti . Başka bir deyişle, Locky yaratıcıları eski siber suç kurbanlarının korkularından da faydalanarak korkuyu yaymak istiyor. İzlerini saklamak için hackerlar 323 farklı eklenti ismi kullanıyorlar ve virüs ise 78 farklı URL den indiriliyor. Bu tarz haraketler virüsleri tespit etmeyi çok zorlaştırmakta ayrıca tespit ve önlenmesini çok zora sokmakta genel olarak fidye yazılımlarının yayılmasını bambaşka bir seviyeye taşımakta. Bu yüzden, şirket sahipleri çalışanlarını online güvenlik önlemleri hakkında uyarmalı ve güvenilir bir yedelemeke çözümü kullanmalı.