Yeni NoEscape fidye yazılımı operasyonunun, 2021’de şifre çözme anahtarlarını kapatan ve serbest bırakan bir fidye yazılımı çetesi olan Avaddon’ın yeniden markası olduğuna inanılıyor.
NoEscape, işletmeyi çifte gasp saldırılarında hedef almaya başladığı Haziran 2023’te kullanıma sunuldu. Bu saldırıların bir parçası olarak, tehdit aktörleri Windows, Linux ve VMware ESXi sunucularındaki verileri çalar ve dosyaları şifreler.
Tehdit aktörleri daha sonra fidye ödenmezse çalınan verileri kamuya açıklamakla tehdit eder. BleepingComputer, NoEscape fidye yazılımı taleplerinin yüzbinlerce dolar ile 10 milyon $ arasında değiştiğinin farkındadır.
Diğer fidye yazılımı çeteleri gibi, NoEscape de üyelerinin CIS (eski Sovyetler Birliği) ülkelerini hedef almasına izin vermiyor ve bu ülkelerden gelen kurbanlar ücretsiz şifre çözücüler ve bunların nasıl ihlal edildiğine dair bilgiler alıyor.
Şu anda fidye yazılımı çetesi, veri sızıntısı sitelerinde farklı ülkelerden ve sektörlerden on şirketi listeleyerek belirli bir sektörü hedeflemediklerini gösteriyor.
Bir Avaddon yeniden markası
Avaddon fidye yazılımı operasyonu, kurumsal kurbanları hedef almak için kimlik avı kampanyaları kullanılarak Haziran 2020’de başlatıldı.
Ancak Haziran 2021’de, FBI ve Avustralya kolluk kuvvetlerinin Avaddon tavsiyelerini yayınlamasından bir ay sonra, fidye yazılımı çetesi aniden operasyonunu durdurdu ve kurbanların şifre çözme anahtarlarını BleepingComputer ile isimsiz bir ihbarla paylaştı.
O zamandan beri, NoEscape fidye yazılımı operasyonunun başlatılmasıyla geçen aya kadar tehdit aktörleriyle ilişkili bilinen herhangi bir fidye yazılımı veya gasp faaliyeti olmamıştır.
ID-Ransomware yaratıcısı ve fidye yazılımı uzmanı Michael Gillespie BleepingComputer’a, NoEscape ve Avaddon’ın fidye yazılımı şifreleyicilerinin, şifreleme algoritmalarında dikkate değer yalnızca bir değişiklikle neredeyse aynı olduğunu söyledi.
Daha önce Avaddon şifreleyici, dosya şifreleme için AES kullanıyordu ve NoEscape, Salsa20 algoritmasına geçiyordu.
Bunun dışında, şifreleme mantığı ve dosya biçimleri neredeyse aynı olan şifreleyiciler, “RSA şifreli blobların parçalanması”nın benzersiz bir yolu da dahil olmak üzere, neredeyse aynıdır.
Ayrıca BleepingComputer, Avaddon ve NoEscape şifreleyicilerin bu Mandiant makalesinde açıklanan ve aşağıda özetlenen aynı yapılandırma dosyasını ve yönergeleri kullandığını belirlemiştir.
{
"lck":
{
"lid": "",
"iv_key": "",
"mp_key": ""
},
"ext":
{
"ignore": [],
"full": []
},
"paths":
{
"skip": [],
"primary": []
},
"settings":
{
"build_type": "",
"add_to_autorun": ,
"interval": ,
"print_note": ,
"set_wallpaper": ,
"large_file_size_mb": ,
"spot_size_mb":
},
"kill_services": [],
"kill_processes": [],
"note_text": ""
}
NoEscape tehdit aktörlerinin şifreleyicinin kaynak kodunu Avaddon’dan satın almış olması mümkün olsa da, çok sayıda araştırmacı BleepingComputer’a bazı temel Avaddon üyelerinin artık yeni fidye yazılımı operasyonunun bir parçası olduğuna inanıldığı söylendi.
NoEscape şifreleyici
NoEscape fidye yazılımının bir örneği, analiz edebilmemiz için BleepingComputer ile paylaşıldı.
Çalıştırıldığında NoEscape, Windows Gölge Birim Kopyalarını, yerel Windows yedekleme kataloglarını silmek ve Windows otomatik onarımını kapatmak için aşağıdaki komutları çalıştıracaktır.
SHADOWCOPY DELETE /nointeractive
wmic SHADOWCOPY DELETE /nointeractive
wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
wbadmin DELETE BACKUP -deleteOldest
wbadmin DELETE BACKUP -keepVersions:0
vssadmin Delete Shadows /All /Quiet
bcdedit /set {default} recoveryenabled No
Ardından şifreleyici, güvenlik yazılımı, yedekleme uygulamaları ve web ve veritabanı sunucuları ile ilişkili olanlar dahil olmak üzere aşağıdaki işlemleri sonlandırmaya başlayacaktır.
360doctor, 360se, Culture, Defwatch, GDscan, MsDtSrvr, QBCFMonitorService, QBDBMgr, QBIDPService, QBW32, RAgui, RTVscan, agntsvc, agntsvcencsvc, agntsvcisqlplussvc, anvir, anvir64, apache, axlbridge, backup, ccleaner, ccleaner64, dbeng50, dbsnmp, encsvc, excel, far, fdhost, fdlauncher, httpd, infopath, isqlplussvc, java, kingdee, msaccess, msftesql, mspub, mydesktopqos, mydesktopservice, mysqld-nt, mysqld-opt, mysqld, ncsvc, ocautoupds, ocomm, ocssd, onedrive, onenote, oracle, outlook, powerpnt, procexp, qbupdate, sqbcoreservice, sql, sqlagent, sqlbrowser, sqlmangr, sqlserver, sqlservr, sqlwriter, steam, supervise, synctime, taskkill, tasklist, tbirdconfig, thebat, thunderbird, tomcat, tomcat6, u8, ufida, visio, wdswfsafe, winword, wordpad, wuauclt, wxServer, wxServerView, and xfssvccon
Ayrıca veritabanları, QuickBooks, güvenlik yazılımı ve sanal makine platformlarıyla ilişkili aşağıdaki Windows hizmetlerini de durduracaktır.
Culserver, DefWatch, GxBlr, GxCIMgr, GxCVD, GxFWD, GxVss, QBCFMonitorService, QBIDPService, RTVscan, SavRoam, VMAuthdService, VMUSBArbService, VMnetDHCP, VMwareHostd, backup, ccEvtMgr, ccSetMgr, dbeng8, dbsrv12, memtas, mepocs, msexchange, msmdsrv, sophos, sql, sqladhlp, sqlagent, sqlbrowser, sqlservr, sqlwriter, svc$, tomcat6, veeam, vmware-converter, vmware-usbarbitator64, vss
Fidye yazılımı, açılabilecek ve şifrelenmesi engellenebilecek dosyaların kilidini açmak için bu uygulamaları sonlandırır.
Ancak, dosyalar kilitli olsa bile şifreleyici, bir dosyayı açık tutabilecek ve şifrelemeyi engelleyebilecek işlemleri kapatmak veya Windows hizmetlerini kapatmak için Windows Yeniden Başlatma Yöneticisi API’sini kullanır.
Dosyaları şifrelerken, şifreleyici aşağıdaki dosya uzantılarına sahip tüm dosyaları atlayacaktır:
exe, bat, bin, cmd, com, cpl, dat, dll, drv, hta, ini, lnk, lock, log, mod, msc, msi, msp, pif, prf, rdp, scr, shs, swp, sys, theme
Ayrıca, adları aşağıdaki dizeleri içeren klasörlerdeki dosyaları da atlayacaktır:
$recycle.bin, $windows.~bt, $windows.~ws, %PROGRAMFILES(x86)%, %PUBLIC%, %ProgramData%, %SYSTEMDRIVE%\\Program Files, %SYSTEMDRIVE%\\Users\\All Users, %SYSTEMDRIVE%\\Windows, %TMP%, %USERPROFILE%\\AppData, AppData, %AppData%, EFI, Intel, MSOCache, Mozilla, Program Files, ProgramData, Tor Browser, Windows, WINDOWS, boot, google, perflogs, system volume information, windows.old
Gillespie, şifreleme sırasında BleepingComputer’a üç modu kullanacak şekilde yapılandırılabileceğini söyledi:
- Tam dolu – tüm dosya şifrelenir
- Kısmi – Yalnızca ilk X megabayt şifrelenir.
- Parçalanmış – Veri yığınlarını şifrelemek için aralıklı şifreleme kullanır.
Ancak NoEscape, şifreleyiciyi accdb, edb, mdb, mdf, mds, ndf ve sql dosya uzantılarıyla dosyaları tamamen şifrelemeye zorlayan bir yapılandırma seçeneği içerir.
Dosyalar, paketlenmiş bir RSA özel anahtarıyla şifrelenmiş şifreleme anahtarıyla Salsa20 kullanılarak şifrelenir. Şifrelenmiş dosyaların, aşağıda gösterildiği gibi her kurban için benzersiz olan dosya adına eklenmiş 10 karakterlik bir uzantısı olacaktır.
Kaynak: BleepingComputer
Şifreleyici, cihazda kalıcılık sağlamak ve Windows’ta oturum açarken şifreleyiciyi başlatmak için ‘SystemUpdate’ adlı zamanlanmış bir görevi de yapılandıracaktır.
Kaynak: BleepingComputer
Fidye yazılımı ayrıca Windows duvar kağıdını, kurbanlara şu adla anılan fidye notlarında talimatları bulabileceklerini söyleyen bir resimle değiştirecek. HOW_TO_RECOVER_FILES.txt.
Kaynak: BleepingComputer
HOW_TO_RECOVER_FILES.txt fidye notları, cihazdaki her klasörde bulunur ve kurbanın dosyalarına ne olduğu hakkında bilgi ve NoEscape Tor anlaşma sitesine bağlantılar içerir.
NoEscape fidye notu, “Siyasi bir şirket değiliz ve özel işlerinizle ilgilenmiyoruz. Biz ticari bir şirketiz ve yalnızca parayla ilgileniyoruz” diyor.
Kaynak: BleepingComputer
Linux’ta /etc/motd, kurbanlara oturum açtıklarında görüntülenen fidye notuyla da değiştirilir.
Fidye notları, tehdit aktörünün Tor ödeme sitesinde oturum açmak ve kurbanın benzersiz müzakere sayfasına erişmek için gerekli olan bir “kişisel kimlik” içerir. Bu sayfa, bitcoin cinsinden fidye miktarını, bir test şifre çözme özelliğini ve tehdit aktörleriyle anlaşmak için bir sohbet panelini içerir.
Kaynak: BleepingComputer
Daha önce de belirtildiği gibi, BleepingComputer birkaç yüz bin dolardan 10 milyon doların üzerine kadar değişen NoEscape fidye talepleri gördü.
Ödeme yapıldıktan sonra, kurbanlara Windows XP, Windows’un modern sürümleri ve Linux için olan mevcut şifre çözücülerin bir listesi gösterilecek.
Kaynak: BleepingComputer
NoEscape, VMware ESXi çalıştıran kurumsal kurbanlar için /etc/motd dosyasını geri yüklemek ve Linux şifre çözücüyü kullanarak dosyaların şifresini çözmek için kullanılabilecek bir kabuk betiği sağlar.
Kaynak: BleepingComputer
Kurbanları şantaj yapmak için kullanılan veri sızıntısı sitesi
Diğer fidye yazılımı operasyonlarında olduğu gibi, NoEscape de kurumsal bir ağı ihlal edecek ve yanal olarak diğer cihazlara yayılacaktır. Tehdit aktörleri, Windows etki alanı yönetici kimlik bilgilerini aldıktan sonra, fidye yazılımını ağ genelinde dağıtacaktır.
Ancak, dosyaları şifrelemeden önce, tehdit aktörleri şantaj girişimlerinde koz olarak kullanmak üzere kurumsal verileri çoktan çalmışlardır. Tehdit aktörleri daha sonra kurbanları, fidye ödenmediği takdirde verilerinin kamuya açıklanacağı veya diğer tehdit aktörlerine satılacağı konusunda uyarır.
Bu yazının yazıldığı sırada, NoEscape verileri sızdırmış veya veri sızıntısı sitelerinde on kurbana şantaj yapmaya başlamıştı; sızdırılan verilerin boyutu bir şirket için 3,7 GB’tan bir şirket için 111 GB’a kadar değişiyordu.
Kaynak: BleepingComputer
Fidye yazılımı şu anda zayıflıklar açısından analiz ediliyor ve BleepingComputer, ücretsiz bir şifre çözücünün dosyaları ücretsiz olarak kurtarıp kurtaramayacağı belirlenene kadar fidye ödemeyi tavsiye etmiyor.