Fidye Yazılımları QNAP NAS Cihazlarını ve VMware

ESXi Sanal Makinelerini Hedefliyor

Geçtiğimiz aylarda eCh0raix ve AgeLocker gibi fidye yazılımlarının saldırılarına

uğrayan QNAP’ın internete bağlı NAS cihazları, bu kez DeadBolt fidye yazılımı

saldırılarının hedefinde. Bunun yanı sıra VMware ESXi sanal makineleri de

LockBit fidye yazılımının yeni bir Linux şifreleyicisinin hedefi olduğu tespit edildi.

Zafiyetler Nasıl Etkiliyor?

QNAP, yeni DeadBolt fidye yazılımı türüyle çeşitli verileri hedefleyen tehdit

aktörlerinin saldırılarına karşı, internete açık NAS cihazlarını güvence altına

almaları konusunda kullanıcılarına uyarı yayımladı (Referans Kaynak).

DeadBolt fidye yazılımı, 25 Ocak'ta QNAP kullanıcılarına saldırmaya, güvenliği

ihlal edilmiş NAS cihazlarındaki dosyaları şifrelemeye ve şifrelediği dosyalara

Sensitivity: Internal
 “.deadbolt” dosya uzantısı eklemeye başlamıştı. DeadBolt operatörleri, şifrelenmiş

cihazlara fidye notları bırakmazken, giriş sayfalarını ele geçirip dosyaların

şifrelendiğine dair bir uyarı yazısı yayımlıyor.

Saldırılara maruz kalan kişilerden istenen fidye miktarı değişse de ortalama 0,03

bitcoinlik fidye talep eden tehdit aktörlerinin fidye ödenmesi durumunda şifre

çözme anahtarı verip vermediğine dair elde herhangi bir veri bulunmuyor.

Bununla birlikte VMware ESXi sanal makinelerini hedefleyen LockBit’in Linux

şifreleyicisi “LockBit Linux-ESXi Locker sürüm 2.0”, dosyaları şifrelemek için

AES’yi (Gelişmiş Şifreleme Standardı) kullanıyor.

Söz konusu şifreleyici, tehdit aktörlerinin bazı özellikleri etkinleştirmelerine ve

devre dışı bırakmalarına olanak tanıyan bir komut satırı arabirimi sağlıyor. Bu

özellikler, bir dosyanın ne kadar büyük olduğunu, kaç baytın şifreleneceğini, sanal

makinelerin çalışmasının durdurulup durdurulmayacağını veya sonrasında boş

alanın silinip silinmeyeceğini belirleme gibi özellikleri barındırıyor.

LockBit’in Linux şifreleyicisi, işlemci bilgisi, sistem hacmi, toplam dosya miktarı,

toplam VM’ler, şifreli dosyalar, şifreli VM’ler, şifrelenmiş toplam boyut, şifreleme
için harcanan zaman gibi bilgileri log’a kaydedebiliyor.

Zafiyetler Nasıl Giderilir?

QNAP’ın kullanıcılarına yaptığı uyarıda çeşitli güvenlik önlemleri yer alıyor. Bunlar

arasında NAS cihazlarını internete kapatmak, NAS yönetim hizmeti bağlantı

Sensitivity: Internal
 noktasının bağlantı noktası iletme ayarlarını devre dışı bırakmak ve NAS’ın UPnP

işlevini pasifize etmek yer alıyor.

VMware ESXi sanal makinelerini hedefleyen LockBit’in Linux şifreleyicisinden

korunmak içinse sistemlerinizi güncel tutmak, koruma sağlayan güvenlik

uygulamaları kullanmak ve ESXi sanal makinelerinizi güvenlikli hâle getirmeniz

önem arz ediyor.

Sensitivity: Internal