Cyble Research and Intelligence Labs’deki (CRIL) araştırmacılar, ARCrypter AKA ChileLocker adlı yeni bir fidye yazılımı türü buldular. ARCrypt fidye yazılımı ilk olarak Ağustos 2022’de gözlemlendi ve dünya çapındaki kuruluşları hedef aldı.
Çalınan verileri serbest bırakmak için bir sızıntı sitesi kullanan tehdit aktörleri tarafından kullanılan standart operasyonların aksine, ARCrypter fidye yazılımının arkasındaki bilgisayar korsanları bu yöntemden uzaklaştı.
Hacker grubu, ARCrypter fidye yazılımını kullanarak özellikle Windows ve Linux işletim sistemlerini hedef alan çeşitli saldırılara da karıştı.
ARCrypter fidye yazılımı, 2022 ve 2023’ün ilk yarısı boyunca evrim geçirdi ve Cyble, GO programlama dili kullanılarak geliştirilen ARCrypter’ın yeni bir Linux çeşidi.
Ayrıca, CRIL araştırmacıları, daha önce vahşi ortamda dolaşan ARCrypt Windows yürütülebilir dosyasının güncellenmiş bir sürümünü de buldu. Araştırmacılara göre, ARCrypt fidye yazılımının bu özel sürümü yaklaşık 2-3 aydır aktifti.
ARCrypt fidye yazılımının gelişen doğasını anlamak
ARCrypt fidye yazılımının güncellenmiş sürümü, öncekinden birkaç yönden farklıdır.
Tüm kurbanlar için Tor’daki tek bir sohbet sitesinin kullanıldığı öncekinden farklı olarak, yeni değişken, her birinin fidye notunun bir ayna sitesine işaret ettiği birden çok ikili dosya kullanıyor. Tehdit aktörü (TA), her kurban için Tor’da özel sohbet siteleri oluşturarak daha da ileri gider.
Bir vakada, TA kurbanlara belirli bir kullanıcı adı kullanarak TOX yoluyla ulaşmaları talimatını verdi. İlginç bir şekilde TA, fidyeyi Monero adlı kripto para biriminde ödeyen bir kurbana da indirim teklif etti. Ek olarak, ARCrypt fidye yazılımı artık “.crYpt” uzantısını kullanıyor ve güncellenmiş bir fidye notu içeriyor.
Birden çok ARCrypt fidye yazılımı ikili dosyasının analizi, iletişim yöntemleri ve yürütülmesi hakkında ilginç bulgular ortaya çıkardı. Eski varyantından farklı olarak güncellenmiş sürüm, kurbanları iletişim için ayna siteleri olarak bilinen farklı Tor sitelerine yönlendiriyor.
Her kurban, fidye notunda belirtilen Tor sitesiyle ilişkili, tehdit failinin her kurban için özel siteler oluşturduğunu gösteren özel oturum açma kimlik bilgileri alır. Çalıştırıldığında, fidye yazılımı kendisini rastgele bir alfasayısal dosya adıyla %TEMP% dizinine kopyalar.
İşlemleri sonlandırır ve kötü amaçlı yazılımdan koruma, yedekleme ve kurtarma hizmetlerini kapatarak sunucuları hedeflemeye odaklanmayı önerir. Fidye yazılımı, tespit edilmekten kaçınmak için belirli Uç Nokta Tespiti ve Yanıtı (EDR) çözümlerini de sonlandırır.
ARCrypt fidye yazılımı 2022’dekiyle aynı tür mü?
ARCrypt fidye yazılımı yeni tekniklere uyum sağlıyor ve kullanıcıları, tespit edilmesini engellemek için yeni tekniklerden yararlandı. Fidye yazılımı güncellenmiş olmasına rağmen, hala eskisi gibi aynı programlama diline dayanmaktadır.
Eserler açısından, ARCrypt fidye yazılımı, HKEY_LOCAL_MACHINE altındaki kayıt defteri anahtarlarına erişmek için RegCreateKeyA API’sini kullanır.
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System” anahtarındaki “legalnoticecaption” ve “yasal uyarı metni” dahil olmak üzere belirli anahtarların değerlerini ayarlamak için RegSetValueExA API’sini kullanır.
Güncellenmiş ARCrypt fidye yazılımı birden fazla iletişim sitesi, kişiselleştirilmiş oturum açma kimlik bilgileri ve hedefli saldırı teknikleri kullanır.
Kaynak yoğun şifreleme işlemlerinden yararlanır, işlemleri ve hizmetleri sonlandırır ve virüslü sistemlerde kalıcılık sağlamak için kayıt defteri anahtarlarını kullanır.
ARCrypt fidye yazılımının güncellenmiş çeşidi, eski sürümden önemli ölçüde farklı olan yeni bir fidye notu sunar. Fidye yazılımının arkasındaki TA, tespit edilmekten kaçınmaya ve anonimliği korumaya çalışıyor. Değişiklikler şunları içerir:
- Fidye yazılımı ikili dosyası güncelleniyor.
- Monero’da ödemeleri teşvik etmek.
- Sızıntı siteleri aracılığıyla gasptan kaçınma.
- Her mağdur için ayrı iletişim kanalları oluşturmak.
Bu uyarlamalar, saldırganın açığa çıkma riskini azaltmak için taktiklerini aktif olarak geliştirdiğini gösteriyor. Tehdit aktörü, bu önlemleri uygulayarak anonimlik düzeylerini artırmayı ve fidye yazılımı operasyonlarının başarısını artırmayı amaçlar.
Medya Sorumluluk Reddi: Bu rapor, çeşitli yollarla elde edilen şirket içi ve şirket dışı araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar, bu bilgilere güvendikleri için tüm sorumluluğu üstlenirler. Cyber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları için hiçbir sorumluluk kabul etmez.