Zscaler’ın Mart 2025’te ilk keşfettiği Ailock fidye yazılımı organizasyonu, siber güvenlik profesyonelleri için korkutucu bir trend olan Hizmet Olarak Fidye Yazılımı (RAAS) pazarında güçlü bir güç haline geldi.
Bu kötü niyetli varlık, sofistike bir yapı ile çalışır, hem kurbanlardan fidye çıkarmak için bir müzakere sitesinden hem de çalınan verilerin serbest bırakılmasını tehdit etmek için bir veri sızıntı sitesi (DLS) kullanır.
4 Temmuz 2025 itibariyle, beş örgüt bu gruba av düştü ve DLS’de daha fazla kurban listelenmesi beklentileri.
Rapora göre, S2W Tehdit İstihbarat Merkezi, Ailock fidye yazılımlarının örneklerini analiz etti ve grubun dosya şifreleme ve sistem uzlaşmasına yönelik ileri yaklaşımını vurgulayan karmaşık teknik detayları ortaya koydu.
Değişen müzakere ve sızıntı sitelerinde sürekli olarak ortaya çıkan altyapıları, Ailock’un titiz izleme ve sağlam algılama stratejileri gerektiren kalıcı bir tehdit oluşturur.
Hibrit şifreleme
C/C ++ ile kodlanmış Ailock Ransomware, işlemleri verimli bir şekilde yönetmek için G/Ç tamamlama bağlantı noktaları (IOCP) kullanılarak dosya şifrelemesi için çift işsiz bir mekanizma kullanır.
Path Traversal iş parçacığı, önlenmesi gereken belirli uzantıları ve dizinleri filtreleyerek hedef dosyaları haritalarken, şifreleme iş parçacığı önceden tanımlanmış bir şifreleme statına dayanan gerçek şifreleme işlemini işler.
Ailock’u birbirinden ayıran şey, hibrid şifreleme modelidir: Farklı CPU mimarileri için optimize edilmiş dosya içeriği şifrelemesi için ChaCha20 algoritmasını ve ChaCha20 tuşu da dahil olmak üzere meta verileri güvence altına almak için NTRUEncrypt algoritmasını kullanır.
Şifreleme stratejisi, 100MB altındaki dosyalar için dosya boyutu tam şifrelemeye ve daha büyük dosyalar için kısmi şifreleme, etkiyi ödemeden 1GB’a kadar ve ötesine kadar kısmi şifreleme ile değişir.
Karakulma sonrası, dosyalar .ailock uzantısı ile eklenir ve ReadMe.txt adlı bir fidye notu etkilenen dizinlere bırakılır.
Ek olarak, Ailock kritik dizeleri XOR işlemleri yoluyla gizler, LoadLibrary () ve getProcAddress () kullanarak API’leri dinamik olarak çözer ve SHA256 karma ve de ad ba Be gibi spesifik işaretleyicilerle yapılandırmaları doğrular.
Fidye yazılımı şifrelemede durmaz; Hizmetleri durdurarak, süreçleri öldürerek, geri dönüşüm kutusunu boşaltarak, masaüstü duvar kağıtlarını değiştirerek ve kayıt defteri değişiklikleri yoluyla dosya simgelerini değiştirerek sistemleri daha da bozar.
-Del gibi belirli parametrelerle yürütülürse, pistlerini kapsayacak şekilde kendi aşamasını bile başlatır.
Kalıcı ve gelişen bir tehdit
Ailock’un operasyonel taktikleri, uzun vadeli bozulmaya niyetli bir grubu ortaya koyuyor. Hasarı en üst düzeye çıkarmak için bağlı kaynakları tarar.
Faust adlı bir muteks, birden fazla örneğin aynı anda çalışmasını önlerken, giriş mekanizmaları, hata ayıklama komut istemine şifreleme ayrıntılarını çıkarır.
Grubun adapte olma yeteneği, değişen altyapılarında belirgindir ve ilk keşiflerinden bu yana yeni sızıntı alanları ortaya çıkar.
Böyle bir esneklik ile Ailock, dünya çapındaki kuruluşlar üzerindeki etkisini azaltmak için sürekli uyanıklık, güncellenmiş tespit kuralları ve proaktif savunma önlemleri gerektiren önemli bir siber tehdit olarak kalmaya hazırdır.
Uzlaşma Göstergeleri (IOC)
| Kategori | Detaylar |
|---|---|
| Dosya uzantısı | .Ailock |
| Fidye notu | Readme.txt |
| Muteks Adı | Faust |
| Kayıt Defteri Anahtarı (simge) | Hkcr/.ailock/defaulticon |
| Kayıt Defteri Anahtarı (Duvar Kağıdı) | HKCU/Kontrol Paneli/Masaüstü |
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt