Çoğu siber saldırıya sahip ülkeler, Asya-Pasifik ve Kuzey Amerika’daki kilit bölgeler de dahil olmak üzere küresel siber savunma çabalarını vurgulamayı bıraktı.
Blacknevas, üç ana bölgeyi kapsayan kapsamlı bir saldırı stratejisi yayınladı ve Asya-Pasifik bölgesi toplam operasyonların% 50’sinde en ağır saldırı yükünü taşıyor.
Grubun bu bölgedeki birincil hedefleri, Japonya, Tayland ve Güney Kore gibi büyük ekonomileri içeriyor ve bölgenin yoğun endüstriyel ve teknolojik altyapısını kullanıyor.
Avrupa operasyonları, İngiltere, İtalya ve Litvanya’daki yüksek değerli hedefler de dahil olmak üzere Batı Avrupa ve Baltık Denizi uluslarına stratejik olarak odaklanmaktadır.
Bu ülkeler, önemli dijital altyapıya sahip kritik ekonomik merkezleri temsil ederek onları fidye yazılımı operasyonları için çekici hedefler haline getiriyor.
Kuzey Amerika’da grup, Amerika Birleşik Devletleri’ndeki Connecticut üzerindeki çabaları yoğunlaştırdı ve bu da hedef tanımlamaya seçici bir yaklaşım önerdi.
Tehdit aktörleri, dosya şifrelemesini hassas veri hırsızlığı ile birleştirerek çift genişlemeli bir model aracılığıyla çalışır.
Geleneksel fidye yazılımından (RAAS) (RAAS) aksine, siber saldırılar (RAAS) operasyonları için önde gelen bir çerçeve olarak ortaya çıkar, Blacknevas altyapıları üzerinde doğrudan kontrolü sürdürür, kurbanları tescilli veri sızıntı sitesi (DLS) ve bağlı ortak ağları aracılığıyla tehdit eder.
Bu yaklaşım, sistem aksamasının yanı sıra kamu verilerine maruz kalmayı tehdit ederek mağdurlar üzerindeki baskıyı arttırır.
Şifreleme yöntemlerinin teknik analizi
Blacknevas, AES simetrik şifrelemesini RSA Public Anahtar Kriptografisi ile birleştiren ve neredeyse kırılmaz bir şifreleme şeması oluşturan bir hibrit şifreleme sistemi kullanır.
Fidye yazılımı, tehlikeye giren dosyalara ayırt edici “şifreli” uzantıyı ekler ve başarılı enfeksiyonun net bir göstergesi olarak hizmet eder.
Kötü amaçlı yazılım, davranışını önemli ölçüde değiştiren birden fazla komut satırı argümanını destekler. /Algl_system parametresi, kritik sistem yollarının şifrelemesini sağlarken, /hızlı mod hızlı dağıtım için her dosyanın yalnızca% 1’ini şifreler.
/Tam bağımsız değişken, dosya şifrelemesini tetikler ve /PATH, hedeflenen dizinlerin belirtilmesine izin verir.
Ek parametreler, yürütme günlüğü için /hata ayıklama, /gizli işlemler için gizli ve şifreleme sonrası sistem kapatma için /shdwn içerir.
Belirli bir şifreleme modu belirtilmediğinde, Blacknevas her dosyanın ilk% 10’unu şifrelemeyi varsayılan olarak, hızı etkinlikle dengeliyor.
Bu yaklaşım, büyük ölçekli dağıtımlar sırasında operasyonel verimliliği korurken kritik dosya başlıklarının bozulmasını sağlar.
Fidye yazılımı, diğer tüm erişilebilir yerleri hedeflerken “System32” veya “Windows” dizeleri içeren sistem açısından kritik dizinlerden kaçınarak gelişmiş yol analizini gösterir.
Bu çalışma zamanı değerlendirme yaklaşımı, önceden tanımlanmış hariç tutma listelerine dayanan ve Blacknevas’ı çeşitli sistem konfigürasyonlarına daha uyarlanabilir hale getiren geleneksel fidye yazılımlarından farklıdır.
Belirli dosya türleri, sistem dosyaları (.sys, .dll, .exe), günlükler ve sanal makine bileşenleri (.vmem, .vswp, .vmxf) dahil olmak üzere sistem kararlılığını korumak için korunmaktadır.
Fidye yazılımı ayrıca, tam sistem arızasını önlemek için kendi fidye notunu “how_to_decrypt.txt” ve kritik “ntuser.dat” dosyasını korur.
Blacknevas, şifreleme sırasında benzersiz bir dosya adlandırma sözleşmesi uygular ve iki farklı kategori oluşturur: standart şifreli dosyalar “rastgele name.random name.-şifreli” biçimlendirme alırken, gösteri dosyaları “deneme-recovery.random name.random name.-fıkralı” adlandırma alır.
Deneme kurtarma ataması, .doc, .docx, .hwp, .jpg, .pdf, .png, .rtf ve .txt dosyaları dahil olmak üzere ortak belge formatları için geçerlidir, muhtemelen mağdurlar için kavram kanıtı olarak hizmet eder.
Şifreleme işlemi ve veri yapısı
Fidye yazılımı, yalnızca dosya uzantılarına güvenmek yerine şifreleme durumunu belirlemek için dosya sonlarında 8 bayt değerleri kontrol ederek sofistike şifreleme doğrulama yöntemleri kullanır.
Bu yaklaşım, standart uzatma değişiklikleri için “E” tanımı ve deneme kurtarma dosyası türleri için “R” kullanır ve aynı 8 bayt değeri orijinal dosyalara eklenen ek veri boyutunu gösterir.
Şifreleme sırasında Blacknevas, her dosya için benzersiz AES simetrik anahtarları üretir, ardından şifrelenmiş dosyalara gömülmeden önce bu anahtarları RSA public anahtar şifreleme kullanarak şifreler.
Bu metodoloji, yerel ortamda herhangi bir şifre çözme anahtarının erişilememesini sağlar ve saldırganların özel RSA anahtarı olmadan yetkisiz iyileşmeyi imkansız hale getirir.
Şifreleme işlemi, her bir dosyanın sonucunda, şifreli AE tuşlarını ve meşru şifre çözme için gerekli meta verileri içeren belirli bir veri yapısı bırakır.
Bu tasarım, RSA şifrelemesinin mevcut teknoloji ile hesaplamalı olarak mümkün olmayacağı için, tehdit aktörlerinden işbirliği olmadan şifrelemeyi işlevsel olarak geri döndürülemez hale getirir.
Başarılı şifrelemeyi takiben Blacknevas, enfekte olmuş sistemler boyunca “How_to_decrypt.txt” başlıklı fidye notlarını dağıtır ve hariç tutulan klasörler hariç her erişilebilir dizine kopya yerleştirir.
Tehdit aktörleri kendilerini “dosya şifreleme ve endüstriyel casusluk faaliyetlerinde profesyoneller” olarak sunarak teknik yeteneklerini ve cezai uzmanlıklarını vurgulamaktadır.
Fidye notu, ilk temas için yedi günlük bir son tarih oluşturur ve ortak ağlar, halka açık bloglar ve yeraltı açık artırma platformları dahil olmak üzere birçok kanal aracılığıyla çalınan verileri sızdırmakla tehdit eder.
Bu çok yönlü tehdit stratejisi, çalınan bilgiler için birden fazla para kazanma seçeneği sağlarken mağdurlar üzerindeki baskıyı artırır.
İletişim, fidye notları içinde belirtilen e -posta ve telgraf kanalları aracılığıyla gerçekleşir ve kurbanların şifre çözme müzakereleri başlatmasına izin verir.
Şebeke sonrası ağ iletişiminin olmaması, kötü amaçlı yazılımların sofistike tasarımını gösterir ve operasyonel güvenliği en üst düzeye çıkarırken algılama fırsatlarını en aza indirir.
Savunma etkileri
Blacknevas fidye yazılımı, gelişmiş şifreleme tekniklerini küresel hedefleme stratejileri ve veri hırsızlığı operasyonlarıyla birleştirerek fidye yazılımı sofistike önemli bir evrimi temsil eder.
Grubun, faaliyetlerinin% 50’sini kapsayan Asya-Pasifik bölgesine odaklanması, önemli dijital altyapı ile yüksek değerli ekonomik hedeflere stratejik bir vurgu işaret ediyor.
Kuruluşlar, geleneksel yedekleme stratejilerinin kombine şifreleme ve veri hırsızlığı yaklaşımına karşı yetersiz olabileceği ikili bir tehdit senaryosu ile karşı karşıyadır.
Hibrid AES-RSA şifreleme uygulamasından kaynaklanan yetkisiz şifre çözme işleminin imkansızlığı, reaktif kurtarma stratejileri üzerindeki önleyici güvenlik önlemlerinin kritik önemini vurgulamaktadır.
Fidye yazılımının uyarlanabilir yol analizi ve çalışma zamanı dışlama tespiti, geleneksel imza tabanlı algılama yöntemlerini kullanmaya karşı savunmayı özellikle zorlaştırır.
Kuruluşlar, yalnızca bilinen dosya imzalarına veya karma tabanlı algılama yöntemlerine güvenmek yerine davranışsal göstergeleri tanımlayabilen kapsamlı uç nokta algılama ve yanıt çözümleri uygulamalıdır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.