Orangeworm Sağlık Kuruluşlarını Hedef Alıyor

Symantec tarafından yayınlanan bir raporda sağlık sektörünü hedef alan bir zararlı yazılımın agresif biçimde faal olduğu görülmektedir.
Türkiye’de de sağlık kuruluşlarını hedef alan zararlı yazılım Avrupa ve A.B.D.’de yayılmaya başladı.

Orangeworm olarak adlandırılan saldırgan grup sağlık sektörünün yanısıra bilgi teknolojileri ve üretim gibi bazı sektörleri de hedef almaktadır.
Saldırganların kullandığı “Kwampirs” zararlı yazılımı X-ray ve MRI gibi tıbbi cihazların yönetimi için kullanılan sistemlere bulaşıyor. Saldırganların asıl amaçları henüz bilinmese de hastala bilgilerinin de tutulduğu bilgisayarlarda tespit edildi.
Saldırganlar sızdıkları ağ üzerindeki sistemlere uzaktan erişmek için Kwampirs zararlısını kullanıyor. Bu zararlının sistem üzerinde kalıcı olmak ve bilgisayarların yeniden başlatılması veya kapatılıp açılması halinde faal kalmaya devam etmek için kendini hedef üzerinde sistem başlangıcında otomatik olarak başlayacak şekilde konumlandırdığı görülüyor. Zararlı yazılım bulaştığı sistem hakkında da çeşitli bilgiler toplayarak bunları komuta sunucularına gönderiyor. Aynı ağ üzerinde başka sistemlere bulaşmak içinse paylaşımdaki dosyaları kullanıyor.

Zararlı yazılımın ağa bağlı diğer sistemlere bulaşmak ve komuta sunucularıyla bağlantı kurmak için kullandığı agresif yöntemler kolay tespit edilebilmesini sağlayacak türden. Bu nedenle analistler saldırganların tespit edilmekten endişe duymadıkları düşünülebilir. Son yıllarda sıkça yaptığımız sızma testi çalışmalarında, hastanelerde XRAY ve MR gibi cihazlara bağlı bilgisayarların önemli bir kısmının eski işletim sistemleri kullandığını ve önemli bir bölümünde de antivirüs yazılımı bile olmadığı gördük. Bu nedenle saldırganların gizlenmek için çok büyük çabalar sarf etmemelerini anlamak mümkün olabilir.

Zararlı yazılım tarafından kullanılan DLL isimlerine ve bazı komuta sunucusu IP adreslerine aşağıdaki bağlantıda bulunan dosyadan ulaşabilirsiniz.

https://content.connect.symantec.com/sites/default/files/2018-04/Orangeworm%20IOCs.pdf

Özellikle tıbbi cihazlara bağlı sistemlerde bu exe veya DLL isimleriyle çalışan prosesler görürseniz Kwampirs o sistem üzerinde faal olabilir.
Bu noktada bilinen komuta sunucusu IP adreslerine ağınızdaki herhangi bir sistemden erişim olup olmadığını kontrol etmek ve bunu bir süre izlemekte de fayda olacaktır.