BianLian Ransomware grubu, başta Avustralya, Amerika Birleşik Devletleri ve Birleşik Krallık olmak üzere dünya çapındaki kuruluşları hedefliyor.
Siber güvenlik firması Avast’ın analistleri, ilk olarak Ağustos 2022’de ortaya çıkan tehlikeli BianLian fidye yazılımı için bir şifre çözücü yayınladı. Bu şifre çözücüyü kullanan BianLian kurbanları, şifrelenmiş verilerini ücretsiz olarak alabilir ve saldırganlara fidye ödemekten kurtulabilir.
BianLian fidye yazılımı kurbanlarının çoğu, sağlık, enerji, medya ve imalat dahil olmak üzere sektörlere aitti. Başta İngiltere, ABD ve Avustralya olmak üzere dünya çapındaki kuruluşlar fidye yazılımlarının hedefi oldu.
Kötü Amaçlı Yazılım Analizi
Avast’ın analizine göre, kötü amaçlı yazılım operatörleri, operasyonel yeteneklerini geliştirmek ve tespit edilmesini zorlaştırmak için Go programlama dilini kullandı. BianLian fidye yazılımının benzersiz özelliklerinden biri, verileri hızlı bir şekilde şifrelemesine izin veren eşzamanlılıktır.
Ayrıca, şifreleme tamamlandığında kendi kendini silebilir. Avast’ın şifre çözücüsünün büyük bir zorlukla karşı karşıya olduğu yer burasıdır. Sorun, şifre çözücünün fidye yazılımının bilinen varyantının şifrelediği dosyaları geri yükleyebilmesidir.
“Yeni kurbanlar için, sabit diskte fidye yazılımı ikili dosyasını bulmak gerekli olabilir; ancak fidye yazılımı şifrelemeden sonra kendini sildiği için bunu yapmak zor olabilir,” diye yazdı Avast siber güvenlik analistleri raporlamak.
BianLian yürütülebilir dosyasının boyutu yaklaşık 2 MB’dir. Öncelikle Windows sistemlerini hedefler ve dosyaları daha yüksek bir hızda şifrelemek ve şifreleme tamamlanmadan tespit edilmesini önlemek için parçalara bölen yeni bir şifreleme tekniği kullanır.
BianLian Saldırısı Nasıl Çalışır?
İlk erişim, ProxyShell güvenlik açığı zinciri, bundan sonra operatörler bir web kabuğu veya hafif bir uzaktan erişim aracı dağıtır. Fidye yazılımı ayrıca SonicWall VPN cihazlarından yararlanma.
Fidye yazılımı yürütüldükten sonra, disk sürücülerini ve tüm dosyaları arar. Daha sonra, fidye yazılımı, ikili dosyasına sabit kodlanmış 1.013 uzantıyla eşleşen uzantılarla dosyaları şifrelemeye başlar ve dosyalara .bianlian uzantısını ekler. Kötü amaçlı yazılımın verileri dosyanın başında veya sonunda değil, yalnızca ortasında şifrelediğini belirtmekte fayda var.
İşlem tamamlandığında, kötü amaçlı yazılım, sistemdeki her klasöre “Bu talimata bakın.txt” başlıklı bir fidye notu bırakarak kurbana fidye yazılımının bulaştığını ve verilerini geri yüklemek için saldırganla iletişime geçmesi gerektiğini bildirir. Saldırganla e-posta veya şifreli bir mesajlaşma uygulaması aracılığıyla iletişim kurabilirler. Saldırgan ayrıca fidyeyi on gün içinde ödemezlerse çalınan verileri yayınlamaları konusunda onları uyarır.
BianLian saldırganları ayrıca verileri çaldıklarını ve on gün içinde fidye ödemesi almazlarsa yayınlayacaklarını iddia ederek kurbanları çifte şantaj konusunda uyarıyorlar.
BianLian kampanyasını kimin yürüttüğü henüz bilinmiyor, ancak Avast araştırmacıları, operatörlerin yetenekli, saldırgan bir grup olmasına karşın fidye yazılımı alanında acemi olduklarına inanıyor. Ayrıca, operatörlerin bir ülkeden olmadığından şüpheleniyorlar. Conti gibi feshedilmiş grup. Şimdiye kadar, sızıntı sitelerinde 23 kurban var.
Alakalı haberler
- LockerGoga Fidye Yazılımı Kurbanlarına Ücretsiz Şifre Çözücü
- Kurban, Mushtik fidye yazılımı için şifre çözme anahtarlarını serbest bırakır
- Sodinokibi için şifre çözme anahtarı, REvil fidye yazılımı yayınlandı
- Hakbit ve Jigsaw fidye yazılımı için ücretsiz şifre çözücü yayınlandı
- Telegram’dan Yararlanmak İçin Fidye Yazılımının Şifre Çözücüsü Yayınlandı