Henüz yeni tespit edilmiş olmasına rağmen Linux web sunucularını hedefleyen Linux.Encoder.1 adlı kripto-fidye yazılımı hızla yayılmaya başladı.
Bir güvenlik şirketine göre 2000’in üzerinde web sitesi bu yeni Linux.Encoder.1 kripto-fidye yazılımından etkilenmiş durumda. Rus güvenlik şirketi Dr. Web geçen hafta başında Linux web sunucularına yönelik, çok sayıda dizini ve dosyayı şifreleyen ilk kripto-fidye yazılımını tespit etti.
Şirket o tarihte “onlarca” web sitesinin etkilendiğini bildirmişti. Son birkaç gün içerisinde ise etkilenen site sayısının binlerce olduğunu söylüyorlar. Şirket bugün yaklaşık 2000 sitenin Linux.Encoder.1 yazılımından etkilendiğini bildirdi. Bu tahmin Google’da README_FOR_DECRYPT.txt metni için yapılan aramanın sonuçlarına dayanıyor. Bu dosya, içinde şifreleme komutlarını ve bir Bitcoin’lik fidye talebini barındıran bir kötü amaçlı yazılım.
Dr. Web aramasını 12 Kasım Perşembe günü yapmıştı. ZDNet tarafından aynı metin için yapılan arama sonucunda 2400 sitenin etkilendiği ortaya çıktı. Bu da yazılımın hızla yayıldığını gösteriyor.
Güvenlik şirketi fidye yazılımının yaygın olarak kullanılan Magento CMS’in yamasız versiyonlarındaki açığı kullanarak Linux web sunucularını etkilediğini söylüyor.
Ekim ayı sonunda bir dizi yama yayınlayan Magento’nun şu an için bilinen bir açığı bulunmamakta. Dr. Web Linux.Encoder.1 kötü amaçlı yazılımını yayan siber suçluların aynı zamanda WordPress sistemlerini de hedeflediğini ekliyor.
Neyse ki bu Linux fidye yazılımının şu anki versiyonu hatalı. Rastgele özel RSA anahtarları oluşturamıyor.
Bu hata sayesinde güvenlik şirketi BitDefender siber suçlulara fidye ödemeye gerek kalmadan şifreli dosyaların şifresini çözebilen ücretsiz bir araç yayınladı. Dr. Web de abonelerine yönelik bir araç yayınlamış durumda.
Web yöneticilerinin bu sorunu ücretsiz şifre çözme aracıyla bile gidermelerinin zor olacağı tahmin ediliyor. Diğer yandan yöneticilerin CMS kurulumlarına en son yamaları uygulamaların gerektiği de hatırlatılıyor.
“Bu saldırı siber suçluların Linux ve şifreleme dosyaları çalıştıran web sunucularını etkilemek için kök dizin önceliklerine ihtiyaçları olmadığını gösteriyor. Ayrıca bu Trojan, özellikle de birçok popüler CMS’te hala kapatılmamış açıklar olduğu göz önünde bulundurulursa, internet kaynakları sahipleri için hala büyük bir tehdit oluşturuyor. Bazı webmasterlar ya zamanında yapılması gereken güncellemeleri ihmal ediyor ya da süresi dolmuş CMS sürümlerini kullanıyor.”
Şirket yöneticilere saldırganlara para ödememelerini, şifreli dosyaların olduğu dizinlerin içeriğini değiştirmemelerini ve sunucudan hiçbir dosyayı silmemelerini öneriyor. Her ne kadar fidye yazılımının bu versiyonunda bazı açıklar olsa da, saldırganların gelecekte bu sorunları ortadan kaldırabileceğini ve daha ciddi bir tehdit haline gelebileceklerini de sözlerine ekliyor.