Araştırmacılar, “Yeraltı Ekibi” olarak adlandırılan yeni bir fidye yazılımı türü buldular. Yeraltı Ekibi fidye yazılımı türü yalnızca dosyaları şifrelemekle kalmaz, aynı zamanda fidye notunda kurbanların ana bilgisayar bilgilerini de listeler.
Normal gasp taleplerinin aksine, Underground Team fidye yazılımı notu, ağ güvenlik açıklarını tespit etmede yardım ve bilgi güvenliği için öneriler sunar.
Cyble Research and Intelligence Labs (CRIL) araştırmacıları, Underground Team fidye yazılımı türü tarafından hedef alınan belirli kurbanların bilinmediğini söyledi.
Araştırmacılara göre, bu fidye yazılımıyla ilişkili herhangi bir veri sızıntısı vakası bildirilmemiştir.
Yeraltı Ekibi fidye yazılımı: Derin inceleme
Underground Team fidye yazılımı, Microsoft Visual C/C++ ile yapılmıştır ve 64 bit sistemlerde çalışır.
Bir bilgisayara bulaştığında, dosyalarınızın yedek kopyalarını silmek, bilgisayarın kayıt defterindeki ayarları değiştirmek ve MSSQLSERVER adlı belirli bir veritabanı hizmetini durdurmak gibi çeşitli eylemler gerçekleştirir.
Bu eylemleri gerçekleştirmek için fidye yazılımı belirli komutlar kullanır. Örneğin, bilgisayarınızda depolanan dosyalarınızın yedek kopyalarını silmek için bir komut kullanır. Bunu yaparak, kullanıcının dosyaları kurtarmasını zorlaştırır.
Ayrıca, uzak masaüstü oturumlarıyla ilgili ayarları yapmak için bir komut kullanır; bu, bilgisayara uzaktan nasıl erişildiğini etkileyebilir.
Ek olarak, MSSQLSERVER hizmetini zorla durdurur ve bu da belirli bir veritabanı türünün işleyişini bozabilir.
Bundan sonra, fidye yazılımı bilgisayarınızdaki sürücüleri ve dosya sistemlerini arar. Bunu, işletim sisteminiz tarafından sağlanan belirli işlevleri kullanarak yapar. Sürücüleri tanımladıktan sonra, bilgisayardaki çeşitli klasörlere “!!readme!!!.txt” adlı bir fidye notu bırakır.
Ardından, fidye yazılımı şifrelenecek dosya ve dizinleri aramaya başlar. Bunu tek tek tarayarak yapar. Ancak, belirli dosya adlarını, dosya uzantılarını ve belirli klasörleri şifreleme işleminin dışında bırakır.
Dosyalar tanımlandıktan sonra, fidye yazılımı onları şifreleyerek okunamaz hale getirir. Ancak, şifrelenmiş dosyaların adlarını değiştirmez veya yeni uzantılar eklemez.
Underground Team fidye yazılımı: Şifreleme ve müzakere tarzı
Şifreleme tamamlandıktan sonra, Underground Team fidye yazılımı “temp.cmd” adlı bir dosya oluşturur ve onu çalıştırır. Bu dosya, belirli dosyaları silmek, olay günlüklerini temizlemek ve kendisini bilgisayarınızdan kaldırmak için tasarlanmıştır. Bunu varlığını gizlemek ve izlerini örtmek için yapar.
Fidye yazılımı tarafından bırakılan fidye notu, kullanıcıya şifrelenmiş dosyalarınızı kurtarmak veya fidyeyi ödemek için saldırganlarla iletişime geçmesi talimatını verir.
“Yeraltı Ekibi fidye yazılımının fidye notu, onu tipik fidye notlarından ayıran yeni unsurlar sunar. Kısa bir süre içinde adil ve gizli bir anlaşmayı garanti etmenin yanı sıra, grup bir şifre çözücüden daha fazlasını sunuyor,” dedi CRIL raporu.
Not, saldırganlarla iletişim kurmak için bir sohbet platformuna erişmenin bir yolu olan bir Soğan URL’si sağlar. Bu platform, saldırganlarla fidye yazılımı olayı hakkında pazarlık yapmanızı sağlayan bir çağrı sistemi gibi görünüyor.
“Ağ güvenlik açıkları hakkında içgörü sağlamayı ve bilgi güvenliği için öneriler sunmayı vaat ediyor. Ayrıca, gerekirse mağdurlara nitelikli veri kurtarma yardımı sağlanacak” denildi.
“Bu yeni eklemeler, fidye yazılımı grubunun daha geniş bir yaklaşımını sergilese de, bu tür iddiaları değerlendirirken dikkatli ve şüpheci davranmaya devam etmek zorunludur.”
Fidye yazılımı azaltma: Temel bilgilerle başlayın
CRIL araştırmacıları The Cyber Express’e, işletim tarzı farklı olsa da, Underground Team fidye yazılımı türünün saldırılarının bazı genel güvenlik uygulamalarıyla büyük ölçüde önlenebileceğini söyledi.
Bunlar, düzenli yedeklemeler yapmak ve bunları çevrimdışı veya ayrı bir ağda tutmak, tüm cihazlarda otomatik yazılım güncellemelerini etkinleştirmek, saygın anti-virüs ve internet güvenlik yazılımları kullanmak ve güvenilmeyen bağlantıları ve e-posta eklerini açarken dikkatli olmayı içerir.
Fidye yazılımı korumasına ilişkin bir CISA danışma belgesi, “Zamanla, kötü niyetli aktörler fidye yazılımı taktiklerini daha yıkıcı ve etkili olacak şekilde ayarladılar ve ayrıca kurban verilerini çaldılar ve çalınan verileri serbest bırakma tehdidinde bulunarak kurbanlara ödeme yapmaları için baskı yaptılar” dedi.
“Bu fidye yazılımı ve ilgili veri ihlali olayları, kuruluşları işletmek ve görev açısından kritik hizmetleri sunmak için gerekli verilere erişemez hale getirerek iş süreçlerini ciddi şekilde etkileyebilir” dedi.
“Fidye yazılımlarının ve veri gaspının ekonomik ve itibar üzerindeki etkilerinin, ilk kesinti ve bazen de uzun süreli kurtarma süreci boyunca her büyüklükteki kuruluş için zorlayıcı ve maliyetli olduğu kanıtlanmıştır.”
CRIL araştırmacılarına, bir fidye yazılımı saldırısı durumunda, kullanıcıların virüslü cihazların ağ bağlantısını kesmeleri, bağlıysa harici depolama cihazlarını çıkarmaları ve sistem günlüklerini herhangi bir şüpheli olay için incelemeleri tavsiyesinde bulunuldu.