Blacknevas fidye yazılımı grubu, Kasım 2024’ten bu yana önemli bir tehdit olarak ortaya çıktı ve Asya, Kuzey Amerika ve Avrupa’daki işletmelere ve kritik altyapı organizasyonlarına karşı sürekli yıkıcı saldırılar başlattı.
Bu sofistike kötü amaçlı yazılım işlemi, dosya şifrelemesini veri hırsızlığı taktikleriyle birleştirerek, fidye talepleri yedi gün içinde karşılanmazsa çalınan bilgileri sızdırmakla tehdit eder.
Fidye yazılımı, saldırılarının yaklaşık% 50’si Asya-Pasifik bölgesine odaklanmış olarak özellikle agresif bir hedefleme stratejisi göstermektedir.
Japonya, Tayland ve Güney Kore gibi ülkeler önemli etkiler yaşarken, Avrupa hedefleri Batı Avrupa ve İngiltere, İtalya ve Litvanya da dahil olmak üzere Baltık Denizi bölgesini kapsamaktadır. Kuzey Amerika’da grup, Connecticut’taki kuruluşları özel olarak hedeflemiştir.
.webp)
ASEC araştırmacıları, Blacknevas’ın geleneksel fidye yazılım modelini takip etmeden bağımsız olarak çalıştığını belirlediler.
Tehdit aktörleri kendi veri sızıntı sahalarını korur ve kurbanları uyum sağlamak için bağlı gruplarla ortaklıklar talep eder.
Kötü amaçlı yazılım, tehlikeye atılan dosyalara ayırt edici “şifreli” uzantıyı ekler ve şifrelemeyi kurbanlara hemen belirgin hale getirir.
Anti-debugging veya sanalbox kaçırma tekniklerini içeren birçok fidye yazılımı varyantının aksine, Blacknevas, davranışını değiştiren birden fazla komut satırı argümanını destekleyerek farklı bir yaklaşım benimser.
Kötü amaçlı yazılım, dosya içeriğinin yalnızca yüzde birini şifrelemek için “/hızlı”, tam dosya şifrelemesi için “/tam” ve uzantıları değiştirmek ve şifreleme işlemi sırasında fidye notları oluşturmak için “/Stealth” gibi parametreleri içerir.
Gelişmiş şifreleme uygulaması ve dosya hedefleme stratejisi
Fidye yazılımı, AES simetrik anahtarlarını RSA Public Anahtar Kriptografisi ile birleştiren sofistike bir çift şifreleme yaklaşımı kullanır.
Şifreleme işlemi sırasında Blacknevas, her dosya için benzersiz bir AES tuşunu oluşturur, içeriği şifreler, ardından AES tuşunu şifrelenmiş dosyanın sonuna eklemeden önce gömülü bir RSA genel tuşunu kullanarak sabitler.
Kötü amaçlı yazılım, sistem kararlılığını korumak için kritik sistem dosyalarını hariç tutarak seçici hedefleme gösterir.
.webp)
Korumalı uzantılar SYS, DLL, EXE, LOG, BMP, VMEM, VSWP, VMXF, VMSD, Skorbord, NVRAM ve VMSS dosyalarının yanı sıra “ntuser.dat” ve kendi Ransom Note “How_to_Decrypt.txt” gibi belirli dosyaları içerir.
İlginç bir şekilde, Blacknevas şifreleme sırasında iki farklı dosya adı deseni oluşturur: standart dosyalar “-şifreli” uzantıyla randomize adlar alırken, DOC, DOCX, HWP, JPG, PDF, PNG, RTF ve TXT dosyaları gibi belirli belge türleri, düzeltme yetenekleri gösterisi olarak “deneme-taciz” ile ön eklenir.
.webp)
Şifreleme doğrulama işlemi, şifreleme durumunu ve dosya türü sınıflandırmasını belirlemek için dosya sonlarında 8 bayt değerlerin kontrol edilmesini içerir.
Bu metodoloji, RSA özel anahtarı sadece saldırganlarla kaldığı için yerel şifre çözme olasılıklarını ortadan kaldırır, bu da fidye ödemeden veya gelişmiş kriptografik özelliklere sahip olmadan dosya kurtarmayı imkansız hale getirir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.