WannaCry, WannaCrypt0r 0.2, WannaCrypt, WannaDecrptor gibi isimlerle anılan bir fidye yazılımı olan bu virüs 2017 yılı mayıs ayında 99 farklı ülkedeki 230.000 bilgisayara bulaşmış ve 28 farklı dilde fidye talebinde bulunmuştur. “TheShadowBrokers” adlı hacker grubu tarafından yapılan bu saldırıyı Europol ‘Eşi benzeri görülmemiş’ şeklinde nitelendirilmiştir. Bu saldırıdan sağlık kuruluşlarından otomotiv markalarına kadar birçok farklı ülkede binlerce kişi etkilenmiştir. Yaşanan saldırı sonucunda kurumlar müşterilere hizmet sağlayamamıştır. Özellikle sağlık kuruluşları randevuları iptal etmek zorunda kalmış ve bir süre yanlızca acil hasta kabul etmiştir.
VİRÜSÜN ORTAYA ÇIKIŞI
Amerikan Ulusal Güvenlik Ajansı’na (National Security Agency / NSA) bağlı olduğu düşünülen Equation Group’ dan Fuzzbanch isimli exploit kiti sızdırıldı. Sızıdırılan bu exploit kitinin içerisinde bulunan birden fazla exploit yayınlandı. Bunların arasında ‘ETERNALBLUE’ adındaki bir exploit ile yine aynı exploid kiti içerisinde bulunan ve ‘DOUBLEPULSAR’ adı verilen bir payloadı kullanarak Microsoft Windows işletim sistemindeki SMB servisinin zafiyetini kullanıp kullanabilen bir virüs geliştirildi. Bu virüs yönetici gibi komut çalıştırmaya olanak sağlamaktaydı. TheShadowBrokers adlı hacker grubu tarafından geliştirilen bu virüs yazılımı Windows işletim sistemlerindeki MS17-010kodlu bu zaafiyeti kullanarak bilgisayarlara etki eden WannaCry fidye yazılımıdır.
Virüs yazılımının kullandığı açık bir zero day (sıfır gün) açığı değildi. Olaydan yaklaşık iki ay önce Microsoft SBM (Sunucu Mesaj Bloğu) ye yönelik bir güvenlik yaması yayınlamıştı. Bunun yanı sıra kullanıcılar SBM1 protokolü yerine SBM3 protokolüne geçmelerini söylemişti. Virüs yazılımından etkilenen kuruluşlar bu yamaya sahip olmayan kuruluşlar olmuştur. Ayrıca Microsoft o dönemde Windows XP için yeni güncelleme yollamayı bırakmıştı. Yani o dönemde Windows XP ömrünü tamamlamış olarak görünüyordu. Bu sebeple bu virüs yazılımından Windows XP kullanmaya devam edenler de etkilendi.
Virüs bir bilgisayara bulaştığında ilk olarak sabit diski kilitlemekteydi. Daha sonra internetteki rastgele bilgisayarlara ve LAN (Local Area Network) yani yerel alan ağlarını kullanarak aynı ağa bağlı olan bilgisayarlara bulaştı.
Bu yazılımın amacı bilgisayara sızarak içerisindeki dosyaları kilitlemekti. Virüs yazılımını yapan hacker grubu sızdıkları bilgisayarlarda bulunan dosyalara erişim sağlayarak dosyaları şifrelemiş açmak için de fidye talebinde bulunmuştur. Bu saldırıya maruz kalan kişiler bilgisayarlarını açtığında dosyaların şifrelenmiş olduğunu ve karşılarına “ Wanna Crypt? (Şifresini Çözmek İstiyor Musun?)” yazısını gördüler. Dosyalara yeniden erişim izni almak için saldırganlar kullanıcılardan fidye istediler. Eğer istedikleri miktarda parayı istedikleri sürede vermezlerse ya miktarı arttırmakla ya da dosyaları tamamen silmekle tehdit ettiler.
ALINAN ÖNLEMLER
Microsoft WannaCry virüs yazılımı için bir öldürme anahtarı yayınladı. Bunun yanı sıra güncelleme yazılımı yollamayı bıraktığı Windows XP, Windows 8 ve Windows Server 2003 için de bir güvenlik yazılımı yayınladı. Microsoft’un attığı bu adım herkesi şaşırttı.
ETKİLENEN KURUMLAR
İngiltere Ulusal Sağlık Servisi (NHS), İspanya’da bulunan bir telekomünikasyon şirketi olan Telefónica, kamu hizmeti veren Gas Natural, enerji şirketi Iberdola, Rusya telekomünikasyon şirketi MegaFon, Rusya İçişleri Bakanlığı ve Acil Durum Bakanlığı, Amerikan lojistik şirketi FedEx, Almanya’nın demir yolları şirketi Deutche Bahn WannaCry virüs yazılımından etkilenen büyük kurumlar arasında yerini aldılar. Virüsten etkilenen ülkelerden biri de Türkiye. Türkiye’deki bir e-ticaret sitesi uğradığı saldırı sebebiyle kullanılamaz hale geldi. Aynı zamanda fiziki mağazaları da olan marka mağazadaki müşterilerin satışlarında da aksamalar yaşadı. Bu durum hem marka yetkililerini hem de müşterileri olumsuz etkiledi.
ETKİLENEN İŞLETİM SİSTEMLERİ
- Windows Vista
- Windows 7
- Windows 8.1
- Windows Server 2008
- Windows RT 8.1
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
- Windows 10
- Windows Server 2016
- Windows Server Core installation option