Günümüz piyasasındaki en popüler fidye yazılımı araçlarından biri, daha da gelişmiş bir yavruya dönüştü.
‘Cicada3301’, kötü şöhretli Cicada’nın adını taşıyor 4chan bulmaca projesi 2010’ların başından beri, ilk olarak 18 Haziran’da sahneye çıkan Rust tabanlı bir fidye yazılımı aracıdır. Sızıntı sitesine göre, o zamandan bu yana geçen iki buçuk ayda 21 şirketi tehlikeye atmak için kullanılmıştır. Üçü büyük işletmeler, beşi orta ölçekli işletmeler ve çoğunluğu küçük işletmelerdir. Endüstriler çeşitlilik göstermektedir – sağlık, üretim, perakende, konaklama, vb. – ancak hepsi Avrupa ve Kuzey Amerika’da yoğunlaşmıştır.
Bu fidye yazılımı operasyonu, adını aldığı yazılım kadar gizemli ve masum değil. Bunun yerine, daha çok şuna benziyor: BlackCat fidye yazılımı hizmeti (RaaS) operasyonuŞifreleme sürecini daha sorunsuz ve bilinçli hale getirmek için birkaç yükseltme yapıldı.
“BlackCat’i gelişmiş olarak değerlendirirseniz, o zaman Cicada bir sonraki adımdır,” diyor bugün bununla ilgili bir rapor yayınlayan Morphisec’in CTO’su Michael Gorelik. “Daha önce fidye yazılımlarında hiç görmediğim özellikler uyguladı ve bunu yıllardır yapıyorum.”
Cicada 3301 Şifrelemesi: Bir BlackCat Taklidi
BlackCat fidye yazılımı hizmeti (RaaS) de kendi boyutundaki çoğu fidye yazılımı operasyonu gibi, kolluk kuvvetlerinin dikkatini çekmek Son zamanlarda. Tarih, bunun gerçekleştiğinde, bu tür operasyonlara dahil olan veya başka bir şekilde bunlara güvenen tehdit aktörlerinin dallanıp budaklanmak ve yan dallar oluşturmak.
Cicada3301 ve BlackCat’in arkasındaki insanları birbirine bağlayan henüz bir kanıt yok. Ancak kötü amaçlı yazılımları arasındaki örtüşme derecesi, bir tür ilişkiye veya ilkinin yazarlarının ikincisinin çalışma biçimine özellikle aşina olduğu başka bir yola işaret ediyor olabilir.
“Söylentiler var ki [BlackCat] Gorelik, “Dark Web’de satılıyor” diyor, “ancak şu aşamada bunun koda dayalı olup olmadığını söyleyemem. Görebildiğim kadarıyla uyguladıkları tekniklere ve bunun ötesine dayanan birçok benzerlik var. Neredeyse [they took all of] “BlackCat tekniklerini uyguladık ve sonra üzerine %50 daha ekledik.”
Cicada3301, çeşitli standart fidye yazılımı işlevleri için BlackCat benzeri komutlar kullanır: dosyaların gölge kopyalarını silmek, olay günlüklerini temizlemek, sistem kurtarma araçlarını devre dışı bırakmak ve daha fazlası. Aradığı 35 dosya türü çeşitlidir ve DOC’lardan ve SQL’lerden XLSX’lere ve GIF’lere kadar belirsizdir.
Cicada3301’in Gelişmiş TTP’leri
Cicada3301’in kendisini farklılaştıran küçük bir yolu, şifreleme sürecinin özelleştirilebilme derecesidir. Kullanıcılar, bir kaçınma tekniği olarak programı verileri şifrelemeden önce uyumaya yönlendirebilir veya cihazda yerel olarak depolanan verileri şifrelemeyi atlayabilir. Ağ verileri gibi belirli veri türlerini şifrelemekten kaçınabilir veya yalnızca belirli dosya yollarını şifreleyebilirler, vb.
Ancak daha iyi bir numara, hedeflenen sistemlere daha derine inmek için çalınan kimlik bilgilerini anında nasıl kullandığıdır. Kötü amaçlı yazılım, meşru, Microsoft imzalı araç “psexec”i diske yazar ve bir toplu iş dosyasıyla, bir saldırı sırasında topladığı kimlik bilgilerini otomatik olarak ona iletir. Psexec daha sonra bu kimlik bilgilerini ayrıcalıkları artırmak ve kimlik bilgileri toplanırken kurban ağlarının içinde yatay olarak hareket etmek için kullanabilir.
Kötü amaçlı yazılımın dışında araştırmacılar, Cicada3301’in uç nokta algılama ve yanıt (EDR) korumalarını atlatmak için kullanılan C tabanlı açık kaynaklı bir araç olan EDRSandBlast’ın arkasında dağıtıldığını buldular.
Gorelik, “En azından vakalardan birinde, en iyi üç EDR’den birinin burada tehlikeye atıldığını biliyoruz,” diye bildiriyor ve bu da kötü amaçlı yazılım dağıtımının önünü açmaya yardımcı oldu. Dolayısıyla, “Soru şu: Üstünde hangi ek teknoloji katmanlarınız var? [of EDR]? Tamamlayıcı bir katman olabilecek başka çözümlere ihtiyacınız var.”
Daha da önemlisi: Cicada3301’in yazarları, son birkaç haftada karartma yeteneklerini kökten iyileştirdiler. Kötü amaçlı yazılımın ilk sürümü, VirusTotal’da listelenen antivirüs ürünlerinin yaklaşık %33’ü tarafından tespit edildi, ancak daha yeni örnekler sıfır olarak işaretlendi. Bunun kesin nedeni henüz belli değil, ancak yeni örneklerin orijinalin iki katından daha büyük olması dikkat çekici (yediye karşı 17 MB).
Cicada3301’in Mirası
Cicada3301 fidye yazılımını orijinal ve nihayetinde zararsız çevrimiçi projeyle ilişkilendirecek hiçbir kanıt bulunmamaktadır.
Bağlantısız tehdit aktörlerinin çalışmalarını ucuza orijinal Cicada3301’e bağlaması da ilk kez olmayacaktı. Temmuz 2015’te, yaratıcıları olduklarını iddia eden bir grup siber tetikçi Planned Parenthood’a saldırdı. Her zamanki ritimlerinden bir kopuşla, gerçek yaratıcılar suçla hiçbir bağlantıları olmadığını açıkça iddia etmek için ortaya çıktılar.
Cicada3301 projesinin son mesajı Ocak 2016’da yayınlandı:
Yol boştur; tecelli adanmışları arar.
Liber Primus yoldur. Sözcükleri haritadır, anlamları yoldur ve sayıları yöndür.
Arayın, bulunacaksınız.
Sahte yollara dikkat edin.
Cicada3301 fidye yazılımı söz konusu olduğunda, şirketler kendi dosya yollarına dikkat etmelidir.