FortiGuard Labs, Microsoft Windows ve Linux platformlarını hedef alan Abyss Locker fidye yazılımının ortaya çıkışını ve etkisini ayrıntılarıyla anlatan bir rapor yayınladı.
HelloKitty fidye yazılımı kaynak kodunu temel aldığına inanılan Abyss Locker, kurbanların dosyalarını çalıyor ve şifreliyor, dosya şifresinin çözülmesi için fidye talep ediyor ve çalınan verilerin serbest bırakılmasını engelliyor.
Bu fidye yazılımının şiddet düzeyi yüksek olarak sınıflandırılmıştır. İlk Abyss Locker örneği Temmuz 2023’te tespit edildi ancak fidye yazılımının kökenleri daha da eskiye dayanabilir.
Abyss Locker’ın Windows sürümü Ocak 2024’te keşfedildi ve kısa bir süre sonra ikinci sürümü ortaya çıktı. VMware ESXi sistemlerini hedef alan Linux çeşidi de belirlendi.
Kötü amaçlı yazılım dosyasını, ağı, modülü ve kayıt defteri etkinliğini şu şekilde analiz edebilirsiniz: ANY.RUN kötü amaçlı yazılım korumalı alanıve Tehdit İstihbaratı Araması bu, işletim sistemiyle doğrudan tarayıcıdan etkileşim kurmanıza olanak tanır.
Saldırı Yöntemi
Abyss Locker’ın Windows sürümü, dosyaların başarılı bir şekilde şifrelenmesini sağlamak için çeşitli eylemler gerçekleştirir. Gibi komutları kullanarak Birim Gölge Kopyalarını ve sistem yedeklemelerini siler. vssadmin.exe delete shadows /all /quiet Ve wmic SHADOWCOPY DELETE.
Ayrıca, otomatik onarımı devre dışı bırakacak ve tüm önyükleme hatalarını yok sayacak şekilde önyükleme durumu ilkesini de ayarlar.
Fidye yazılımı dosyaları şifreler ve dosya uzantısını “.abyss” olarak veya sürüm 1 çeşidi için rastgele beş harfli bir uzantı olarak değiştirir.
“WhatHappened.txt” başlıklı bir fidye notu düşüyor ve masaüstü duvar kağıdının yerini fidye talep eden bir mesaj alıyor.
Abyss Locker’ın Linux sürümü şunları kullanır: esxcli VMware ESXi sistemlerini yönetmek için komut satırı aracı. Dosyaları “.crypt” uzantısıyla şifrelemeden önce çalışan VM’leri zarif bir şekilde kapatmaya çalışır.
Şifrelenen her dosya için “.README_TO_RESTORE” uzantılı bir fidye notu oluşturulur.
Fortinet’in raporuna göre, fidye yazılımının her iki sürümü de sistemin işlerliğini korumak ve kurbanın fidye pazarlığı için saldırganlarla iletişim kurabilmesini sağlamak için belirli dosya uzantılarını ve dizinleri şifrelemekten kaçınıyor.
Enfeksiyon Vektörü
Abyss Locker’ın bulaşma vektörü belirtilmedi ancak muhtemelen diğer fidye yazılımı gruplarına benzer.
Fidye yazılımı örneklerinin çeşitli bölgelerden gönderilmesi, yaygın bir saldırının varlığına işaret ediyor.
Güncel hiçbir veri sızıntısı sitesi kurbanların isimlerini açığa çıkarmazken, TOR’da bir fidye müzakere sitesi mevcuttur. Fidye talepleri farklılık gösteriyor ve genellikle tüketiciler için daha yüksek miktarlar belirleniyor.
Abyss Locker fidye yazılımı, Windows ve Linux kullanıcıları, özellikle de VMware ESXi sistemlerini kullananlar için önemli bir tehdit oluşturuyor.
IOC’ler
Abyss Locker Fidye Yazılımı Dosyası IOC’leri
| SHA2 | Not |
| 72310e31280b7e90ebc9a32cb33674060a3587663c0334daef76c2ae2cc2a462 | Abyss Locker v2 (Linux) |
| 3fd080ef4cc5fbf8bf0e8736af00af973d5e41c105b4cd69522a0a3c34c96b6d | Abyss Locker v2 (Windows) |
| 9243bdcbe30fbd430a841a623e9e1bcc894e4fdc136d46e702a94dad4b10dfdc | Abyss Locker v1 (Windows) |
| 0763e887924f6c7afad58e7675ecfe34ab615f4bd8f569759b1c33f0b6d08c64 | Abyss Locker v1 (Windows) |
| dee2af08e1f5bb89e7bad79fae5c39c71ff089083d65da1c03c7a4c051fabae0 | Abyss Locker v1 (Windows) |
| e6537d30d66727c5a306dc291f02ceb9d2b48bffe89dd5eff7aa2d22e28b6d7c | Abyss Locker v1 (Windows) |
| 1d04d9a8eeed0e1371afed06dcc7300c7b8ca341fe2d4d777191a26dabac3596 | Abyss Locker v1 (Windows) |
| 1a31b8e23ccc7933c442d88523210c89cebd2c199d9ebb88b3d16eacbefe4120 | Abyss Locker v1 (Windows) |
| 25ce2fec4cd164a93dee5d00ab547ebe47a4b713cced567ab9aca4a7080afcb7 | Abyss Locker v1 (Windows) |
| b524773160f3cb3bfb96e7704ef31a986a179395d40a578edce8257862cafe5f | Abyss Locker v1 (Windows) |
| 362a16c5e86f13700bdf2d58f6c0ab26e289b6a5c10ad2769f3412ec0b2da711 | Abyss Locker v1 (Windows) |
| e5417c7a24aa6f952170e9dfcfdf044c2a7259a03a7683c3ddb72512ad0cd5c7 | Abyss Locker v1 (Windows) |
| 056220ff4204783d8cc8e596b3fc463a2e6b130db08ec923f17c9a78aa2032da | Abyss Locker v1 (Windows) |
| 877c8a1c391e21727b2cdb2f87c7b0b37fb7be1d8dd2d941f5c20b30eb65ee97 | Abyss Locker v1 (Windows) |
| 2e42b9ded573e97c095e45dad0bdd2a2d6a0a99e4f7242695054217e2bba6829 | Abyss Locker v1 (Windows) |
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.