TR-19-035 (LockerGoga Ransomware)

Genel Bilgi

Dünya genelinde çoğunlukla endüstriyel sistemleri hedef alan LockerGoga ransomware zararlı yazılımı sistemlere bulaşmaktadır. Kurumsal ağları hedef alan saldırganların hedeflerine zararlıyı ilk defa bulaştırmak için kullandığı metod şu an için bilinmemektedir.

Etki

İlgili zararlı yazılım,  sisteme indirilen zararlı bir dosya ile bulaşıp tüm dosyaları .locked uzantılı dosyalar olarak şifreleyerek açılması için ücret talep etmektedir. 

Çözüm

Zararlı Yazılım Bulaşmasına Karşı Alı​nacak Önlemler

  • Güvenli olmayan kaynaklardan dosya indirilmemesi ve çalıştırılmaması
  • Son kullanıcılarda ‘local admin’ yetkisine sahip kullanıcıların kullanılmaması
  • Basit parola ve jenerik kullanıcı isimlerinin kullanılmaması
  • Sistemlerin yama yönetiminin düzenli uygulanması
  • Antivirüs yazılımı kullanımı (Çeşitli antivirüs yazılımlarının söz konusu zararlı yazılımı engellediği bilindiğinden, son kullanıcı makinaları ve sunucularda antivirüs yazılımlarının aktif ve tanımlarının güncel tutulması)
  • WMIC (Windows Management Instrumentation Command-line) kullanımının engellenmesi
    Not: Bazı sistemlerde WMI farklı amaçlarla kullanılmaktadır ve kapatılması farklı sorunlara neden olabilir.

Zararlı Yazılımın Hedef Sistemde Çalışmasına Karşı Alınacak Önlemler

  • “%TEMP%\svc{rastgele karatkerler}.{rastgele sayılar}.exe [rastelege parametreler]” dosyalarının çalışmasını engellemek için, ilgili dosyaların oluşturulması ve yetkilerinin kısıtlanması
  • Düzenli yedek alınması
  • Yedeklerden dönüşün mümkün olduğunun kontrol edilmesi
  • Shadow dosyaların incelemesi; son kullanıcının zararlı yazılıma ‘local admin’ yetkisi vermediği durumlarda, son kullanıcı verilerinin kurtarılması için shadow dosyaları kontrol edilebilir.

Zararlı Yazılımın Bulaştığı Hedef Sistemden Yayılmasına Karşı Alınacak Önlemler

  • Mimikatz gibi RAM’deki açık tutulan parolaları çıkartan yazılımlara önlem olarak, parolaların açık şekilde tutulmasının engellenmesi
  • Farklı sunucu ve son kullanıcı bilgisayarlarında aynı yetkili hesapların (local admin) aynı kullanıcı adı ve parola ile kullanılmaması

Kaynaklar

https://www.cisecurity.org/white-papers/security-primer-lockergoga/

https://www.us-cert.gov/ncas/current-activity/2019/04/01/MS-ISAC-Releases-Security-Primer-LockerGoga-Ransomware

2019-04-08