Siber güvenlik araştırmacıları, devam eden bir kötü amaçlı yazılım olarak tanıtılan Carukia adlı yeni bir fidye yazılımı buldular.
Bir Telegram kanalı, henüz piyasaya sürülmemiş olan Typhon Projesi ile ilişkili şu anda boş olan panelin bir önizlemesini sundu.
Typhon Projesi’nden Carukia fidye yazılımı, kod optimizasyonu ve otomatik ayrıcalık yükseltme sayesinde daha hızlı şifrelemeyle övünüyordu.
Carukia fidye yazılımı v1.0 hakkında duyuru
Sürüm adındaki v1.0, henüz piyasaya sürülmemiş fidye yazılımının geliştiricilerinin, yayına girdikten sonra bunun için alınan yanıtla kötü amaçlı yazılımın daha iyi sürümlerini başlatabileceğini öne sürdü.
Gizli bir fidye yazılımı saldırısı başlatmaya yardımcı olabilecek AES-256 dosya şifreleme ve bellekten anahtarı silme seçeneklerinin yanı sıra, Carukia fidye yazılımı v1.0’ın otomatik ayrıcalık yükseltmesi gerçekleştirdiği iddia edildi.
Birkaç sistem algılama mekanizmasını devre dışı bırakabilir ve kullanıcı dostu bir oluşturucu sunmakla övünür.
Bu işlevler ve özellikler, ortaya çıkan fidye yazılımlarının etkisini engellemek için daha da iyi bir siber güvenlik altyapısı oluşturma konusunda yazılım geliştiricilere, araştırmacılara ve yasal kurumlara kritik bir sorumluluk yükler.
Fidye yazılımının diğer özellikleri Typhon Projesi:
- Hedeflenen sistemlerden birim gölge kopyalarının ve olay günlüklerinin silinmesi.
- Araştırmacıların saldırıyla ilgili ayrıntıları izlemesine yardımcı olabilecek örnek gönderimleri devre dışı bırakmak.
- Carukia fidye yazılımı ayrıca, araştırmacıların fidye yazılımı saldırıları hakkında daha fazla tespit yapmak için araçlar kullanarak uzak kaynaklardan veri toplamasına da yardımcı olan telemetriyi devre dışı bırakabilir.
- Siber saldırılara karşı sistemlere ek güvenlik sağlayan defans aracını devre dışı bırakabilir.
Typhon Projesi’nden sıfırdan yazılan Carukia fidye yazılımı v1.0, ömür boyu 500 ABD doları abonelik karşılığında sunulacak. Grup, yalnızca XMR ve ETH cinsinden ödeme kabul edeceklerini yazdı. Carukia fidye yazılımı için yapılan duyuru, “Mükemmel olana kadar yayınlanmayacak.”
CRIL araştırmacısının Carukia fidye yazılımı v1.0 hakkındaki görüşleri
Cyber Express ekibi, Carukia fidye yazılımı hakkında daha fazla bilgi edinmek için Cyble Research & Intelligence Labs’tan bir araştırmacıyla görüştü ve bu araştırmacı, fidye yazılımının geliştirici tarafından satışta olmasına rağmen, bunun gibi diğer grupların aksine henüz bir bağlı kuruluş modeli olmadığını paylaştı. LockBit ransomware grubu olarak.
Ön incelemeye göre Carukia geliştiricilerinin SarinLocker adlı RaaS’ın işletilmesinde yer aldıklarını paylaşarak, Carukia fidye yazılımının gelecekte bir RaaS’a dönüşme olasılığını tahmin ettiklerini eklediler.
Geliştiriciler şimdiye kadar fiyat etiketleriyle paneli oluşturdular, ancak grup tarafından Telegram gönderisinde alıntılandığı gibi fidye yazılımı daha hızlı şifrelemeye sahip olabilir.
Carukia’nın popülaritesi satışına bağlı olacak ve bu bir kez başladığında, geliştiriciler RaaS modelini daha büyük yeraltı pazarına sunabilirler.
O zamana kadar kötü amaçlı yazılım araştırma ekiplerinin kötü amaçlı yazılımı bulması ve diğer gruplar tarafından kullanımını kontrol etmesi ilgi çekiciydi. Fidye yazılımı geliştiricilerinin deneyim düzeyi sorulduğunda, CRIL araştırmacısı, “Kodlama deneyimi, kesinlikle. Ama bir grupla birliktelik böyle bir proje için gerekli değil.”
Araştırmacı, “Bu tür geliştiriciler gelecekte kendilerini fidye yazılımı gruplarına dönüştürebilir ve bir RaaS modeli oluşturabilir” diye ekledi.
RaaS’ta operatörler, fidye yazılımı türünü geliştirmek ve paylaşmak da dahil olmak üzere, enfeksiyonu yayacak olan bağlı kuruluşları yönetmeye kadar her şeyin üstünde olan kişilerdir. Saldırıdan sonra kârı bağlı kuruluşlarla paylaşanlar da onlar.
Araştırmacı, Carukia fidye yazılımı için panele bakarak, “Reklamdan, henüz satışa çıkmadığı açık” dedi.
Ekledikleri alanlarda not edilen değerlere değinerek, “Panelde ABD olarak yansıyan ülke adı ile IP adresi arasında uyumsuzluk olduğu için sadece bir test girişi olabilir.”