Microsoft, yeni ve yıkıcı bir Windows arka kapısı olan GigaWiper'ı duyurdu. Bu gelişmiş kötü amaçlı yazılım, Windows güvenliği için ciddi bir siber tehdit oluşturuyor. GigaWiper, fidye yazılımı benzeri şifrelemeyi birden fazla veri silme özelliğiyle birleştiriyor. Siber suçlulara tek bir pakette geniş bir saldırı yelpazesi sunuyor.
GigaWiper Nedir ve Nasıl Çalışıyor
Redmond merkezli tehdit avlama ekibi, Golang tabanlı bu implantı ilk kez geçtiğimiz Ekim ayında fark etti. Microsoft'un "GigaWiper" adını verdiği bu araç, geliştiricileri tarafından birden fazla kötü amaçlı yazılım ailesini isteğe bağlı komutlar şeklinde tek bir yazılıma dönüştürmüş. Bu sayede saldırganlar, komuta-kontrol (C2) ve yıkıcı yetenekler açısından adeta bir "İsviçre çakısı"na sahip oluyor. GigaWiper, birden fazla silme komutu ve geri dönüşü olmayan dosya şifrelemesi gibi özelliklerle geliyor.
Microsoft Tehdit İstihbaratı, yayınladığı blog yazısında, "Birden fazla yıkıcı yeteneğin modüler bir arka kapıda birleşmesi, genellikle sadece yok etmek için tasarlanmış silici kötü amaçlı yazılımlarda önemli bir değişimi yansıtıyor." ifadelerini kullanıyor. Şirket, GigaWiper saldırılarının ölçeği ve kapsamı hakkında The Register'ın sorularını yanıtsız bıraktı.
Çok Yönlü Yıkım Yetenekleri
Microsoft'un analizine göre, GigaWiper'ın iki ana türü bulunuyor. İlk örnek, bireysel dosyaları silmek yerine fiziksel disk seviyesinde çalışan bağımsız bir silici. Bu tür, ham disk içeriğinin üzerine yazıyor, bölüm metadatalarını kaldırıyor ve ardından sistemi Windows kapatma işlevini kullanarak yeniden başlatıyor. İkinci örnek ise çok daha kapsamlı. Bu versiyon, disk silme işlevine ek olarak kalıcılık sağlıyor ve C2 sunucusundan komut almak için RabbitMQ üzerinden AMQP, komut durumunu ve çıktıyı güncellemek için ise Redis kullanarak C2 iletişimi kuruyor.
GigaWiper, komutlarını farklı kategorilere ayırıyor. "Her zaman çalıştır" komutları sürekli ekran kaydı gibi görevler için, "komut yönetimi" sistem yönetimi işlevleri için ve ek işlevsellik yürütmek için ayrı "özel komut" ve "kabuk komutu" modları mevcut. Bu yetenekler arasında Windows kurtarmayı devre dışı bırakma, mavi ekran (BSOD) tetikleme ve cihazı önyüklenemez hale getirme gibi komutlar da yer alıyor. Ayrıca, Crucio fidye yazılımına dayalı yıkıcı bir komut da var. Bu komut, dosyaları rastgele oluşturulmuş ve asla kaydedilmeyen anahtarlarla şifreliyor. Bu, mağdur kuruluşların bu dosyaları asla çözemeyeceği anlamına geliyor. Başka bir komut, AES-256'da toplu dosya şifrelemesi veya şifre çözmesi yaparken, farklı bir komut ise çalınan dosyaları uzaktan depolamaya yüklemek için MinIO Client (mc) kullanıyor.
Kötü amaçlı yazılım ayrıca PowerShell komutlarını çalıştırabiliyor, ekran görüntüleri ve kayıtları alabiliyor, sistem bilgilerini toplayabiliyor, Windows olay günlüklerini temizleyebiliyor ve sistem üzerinde uzaktan kontrol, klavye ve fare kontrolü gibi birçok yeteneği saldırganlara sunuyor.
Siber Saldırıların Yeni Yüzü
Redmond'a göre GigaWiper, en az üç ayrı kötü amaçlı yazılım ailesinin (Crucio fidye yazılımı, FlockWiper'ın Go versiyonu ve bağımsız bir disk silici) bileşenlerini bir araya getiriyor. Güvenlik araştırmacıları, "Genel olarak, bu bulgular aktörün araçlarının zaman içindeki evrimini gösteriyor. İşlevsellik, tek bir sağlam arka kapıda birleştirildi ve aktöre enfekte sistemleri kontrol etmek ve yok etmek için daha fazla yol sağlıyor." yorumunu yapıyor. Bu durum, siber saldırıların artık çok daha karmaşık ve çok yönlü hale geldiğinin net bir göstergesi.
Verilerinizi Kurtarmak Artık İmkansız
GigaWiper, şifrelediği dosyaların anahtarlarını kaydetmediği için, saldırıya uğrayanların verilerini kurtarma şansı sıfıra iniyor. Bu da onu, sadece şantaj yapan fidye yazılımlarından çok daha tehlikeli bir tehdit haline getiriyor.