HybridPetya: Yeni Nesil Fidye Yazılımı Tehdidi
HybridPetya, son zamanlarda keşfedilen bir fidye yazılımı türüdür. Bu yazılım, UEFI Secure Boot özelliğini aşarak, EFI Sistem Bölümüne kötü amaçlı bir uygulama yükleyebilme yeteneğine sahiptir. HybridPetya, 2016 ve 2017 yıllarında bilgisayarları şifreleyip Windows’un önyüklemesini engelleyen yıkıcı Petya/NotPetya kötü amaçlı yazılımlarından esinlenmiştir ancak geri dönüş seçeneği sunmamaktadır.
ESET’in Araştırmaları
ESET adlı siber güvenlik şirketinin araştırmacıları, VirusTotal üzerinde HybridPetya’nın bir örneğini buldular. Bu yazılımın, bir araştırma projesi, bir proof-of-concept (kanıt konsepti) veya hala sınırlı test aşamasında olan bir siber suç aracı olabileceğini belirttiler. Ancak ESET, HybridPetya’nın varlığının, UEFI bootkitlerinin güvenli geçiş işlevi ile gerçek bir tehdit olduğunun bir başka örneği olduğunu vurgulamaktadır. Zira bu tür bootkitler arasında BlackLotus, BootKitty ve Hyper-V Backdoor gibi diğer tehlikeli yazılımlar da bulunmaktadır.
HybridPetya’nın Özellikleri
HybridPetya, Petya ve NotPetya’nın hem görsel tarzını hem de saldırı zincirini içermektedir. Yazılımın geliştiricisi, EFI Sistem Bölümüne yüklenmesini ve CVE-2024-7344 açığını kullanarak Secure Boot’u aşabilme yeteneğini eklemiştir. ESET, bu açığı bu yılın Ocak ayında keşfetmiştir. Microsoft tarafından imzalanmış uygulamaların exploit edilerek bootkitlerin devreye alınabildiği bir açığı içerir.
Kurulum Süreci ve Çalışma Mantığı
HybridPetya, ilk çalıştırıldığında, makinenin UEFI ile GPT bölümlendirme sistemini kullanıp kullanmadığını belirler. Eğer bu koşul sağlanıyorsa, EFI Sistem bölümüne bir kötü amaçlı bootkit yükler. Bu bootkit, birkaç dosyadan oluşmaktadır:
- config (şifreleme bayrağı, anahtar, nonce ve kurban ID)
- verify (doğru şifre çözme anahtarını doğrulamak için kullanılır)
- counter (şifrelenmiş alanların ilerleme takibi)
- bootmgfw.efi.old (orijinal bootloaderın yedeği)
- cloak.dat (Secure Boot bypass varyantında XOR’lanmış bootkit içerir)
Yazılım, ayrıca EFIMicrosoftBootbootmgfw.efi dosyasını vulnerable ‘reloader.efi’ ile değiştirir ve EFIBootbootx64.efi dosyasını siler. Orijinal Windows yükleyicisi ise, fidye ödendiğinde yolunu geri yüklemek üzere kaydedilir.
Ransomware’ın Fenomenleri
HybridPetya, kurulum aşamasından sonra bir BSOD (Blue Screen of Death) ekranı belirterek sahte bir hata mesajı gösterir ve sistemi yeniden başlatmaya zorlar. Bu süreçle birlikte, kötü amaçlı bootkit sistem açılışında devreye girmektedir. Bu adımda, fidye yazılımı tüm MFT (Master File Table) küme alanlarını şifreler. Şifreleme işlemi sırasında, bir sahte CHKDSK mesajı gösterilir.
Fidye Notu ve Ödeme Süreci
Şifreleme tamamlandığında, bir yeniden başlatma daha yapılır ve kurban, sistem açılırken 1,000 dolar Bitcoin ödemesi talep eden bir fidye notu ile karşılaşır. Kurban, bu notta belirtilen 32 karakterli anahtarı girerek orijinal bootloader’ı geri yükleyebilir, şifrelenen kümeleri çözebilir ve tekrar yeniden başlatma yapabilir.
Gerçek Tehdit Potansiyeli
Henüz HybridPetya’nın gerçek dünyada herhangi bir saldırıda kullanıldığına dair bir kanıt yoktur. Ancak benzer projelerin PoC’yi silahlandırarak, yamanmamış Windows sistemlerini hedef alan geniş kampanyalara dönüşebileceği kesinlikle öngörülmektedir. Bu tehdidi bertaraf etmek için GitHub üzerinde bazı tıkanma göstergeleri (indicators of compromise) mevcuttur.
Güncellemeler ve Korunma Yöntemleri
Microsoft, CVE-2024-7344 açığını Ocak 2025 Patch Tuesday güncellemesi ile düzeltmiştir. Bu güncellemeyi alan Windows sistemleri, HybridPetya’dan korunmaktadır. Fidye yazılımlarına karşı sağlam bir diğer uygulama ise en önemli verilerin offline yedeklerini tutmaktır. Bu, sistem geri yükleme işlemlerini ücretsiz ve kolay hale getirecektir.
Sonuç
HybridPetya ve benzeri fidye yazılımlarının fonksiyonları ve tehdit düzeyi, bilişim güvenliği alanında önemli bir yer tutmaktadır. Yeni gelen fidye yazılımlarına karşı sürekli olarak güncel kalmak, bilgilendirilmek ve gerekli önlemleri almak, güvenliğinizi sağlamanın anahtarıdır.
