Cyble’ın Araştırma ve İstihbarat Laboratuarlarındaki (CRIL) siber güvenlik araştırmacıları, çift gasp stratejisi kullanan ve daha önce tanımlanan Venus fidye yazılımıyla potansiyel bağlantıları olan Trinity adlı yeni bir fidye yazılımı çeşidini ortaya çıkardı.
Bu makale, Trinity fidye yazılımı türü hakkındaki bulguların yanı sıra Trinity ve Venus fidye yazılımı türleri arasında belirtilen benzerlikleri araştırıyor.
Trinity Ransomware’in Taktiksel ve Teknik Ayrıntılarını Ortaya Çıkarma
CRIL araştırmacıları, kurbanların sistemlerinden verileri şifrelemeden önce sızdırma gibi yaygın çifte gasp taktiklerini kullanan ve operasyonlarında hem destek hem de sızıntı sitesi kullanma niyetinde olan Trinity adı verilen yeni bir fidye yazılımı çeşidini gözlemledi.
Destek sitesi, kurbanların şifreyi çözmek için boyutu 2 MB’tan küçük örnek dosyalar yüklemesine izin verirken, sızıntı sitesi şu anda boş olmasına rağmen kurban verilerini ifşa etme tehdidinde bulunuyor.
Araştırmanın ilk aşamalarında araştırmacılar, Trinity fidye yazılımı ile 2024’ün başından beri aktif olan 2023Lock fidye yazılımı arasında benzerlikler gözlemledi. İki varyant arasındaki aynı fidye notları ve kod gibi derin benzerlikler, Trinity’nin daha yeni bir varyant olabileceğini düşündürüyor. 2023Lock fidye yazılımı.
Araştırmacılar, fidye yazılımının operasyonlarında, ikili dosya içinde bir fidye notunun aranması ve dosyanın mevcut olmaması durumunda derhal sonlandırılması gibi karmaşık bir yürütme sürecinin olduğunu belirtti. Fidye yazılımı, çok iş parçacıklı şifreleme işlemini hazırlamak için işlemci sayısı, iş parçacığı havuzu ve mevcut sürücüler gibi sistem bilgilerini toplar.
Fidye yazılımı daha sonra kendi kullanımı için meşru bir sürecin belirtecini taklit ederek ayrıcalık yükseltmeye çalışır ve fidye yazılımının güvenlik önlemlerini atlamasına olanak tanır. Fidye yazılımı, yanal hareketin yanı sıra ağ numaralandırma etkinliğini de dağıtarak geniş saldırı kabiliyetini ortaya koyuyor.
Trinity varyantı, kurban dosyalarını şifrelemek için ChaCha20 algoritmasını kullanıyor. Şifrelemenin ardından dosya adlarına “.trinitylock” eklenirken, fidye notları hem metin hem de .hta biçiminde bırakılır. Fidye yazılımı ayrıca masaüstü duvar kağıdını fidye yazılımı notuna göre değiştirir ve bu değişikliği kolaylaştırmak için belirli bir kayıt defteri anahtarı kullanır.
Trinity Ransomware ile Venus Ransomware Arasındaki Benzerlikler
Trinity ve Venüs arasındaki bağlantılar, fidye notları ve kayıt defteri kullanımlarındaki benzerliklerin ötesine geçiyor.
Küresel erişime sahip köklü bir fidye yazılımı operasyonu olan Venus, 2022 ortalarında ortaya çıktı. Venus ve Trinity arasındaki benzerlikler, aynı kayıt defteri değerlerini kullanmalarına ve muteks adlandırma kuralları ile kod tabanlarındaki tutarlılığa kadar uzanır.
Ek olarak, her iki fidye yazılımı çeşidi tarafından kullanılan fidye notları da benzer bir format sergiliyor. Paylaşılan taktik ve teknikler, iki grup arasında olası bir işbirliğine işaret ediyor. Bu işbirliği teknik, araç ve altyapı alışverişine yol açarak gelecekteki fidye yazılımı kampanyalarının ölçeğini ve karmaşıklığını artırabilir.
CRIL araştırmacıları, kuruluşlara bu gelişen tehditlere karşı dikkatli olmalarını ve güçlü siber güvenlik önlemleri almalarını tavsiye etti.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Siber Ekspres bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.