Onyx ve Yashma fidye yazılımı çeşitlerinin ardından BlackSnake, Chaos fidye yazılımı türünün en yeni dalı haline geldi. bildirildi siber güvenlik şirketi Cyble.
Son derece sofistike ve gelişmiş Blacksnake fidye yazılımı, Cyble’a göre sağlık, finans ve devlet kurumları da dahil olmak üzere çeşitli kuruluşları hedef alan çeşitli saldırılarda zaten kullanıldı.
Fidye yazılımının kimlik avı e-postaları ve sosyal mühendislik taktikleri yoluyla dağıtıldığı bildiriliyor.
Ayrıca, bu kötü amaçlı yazılımın işportacıları onu veri ihlali pazarlarında da satarken görüldü.
BlackSnake fidye yazılımı Türkiye ve Azerbaycan’ı ısırmaz
“BlackSnake fidye yazılımı şifreleme işlemi birkaç aşamadan oluşur. İlk adımda, kötü amaçlı yazılım, 40 baytlık rastgele bir dizi oluşturmak için bir string_Builder() işlevi kullanır,” dedi Cyble raporu.
“Ardından, kötü amaçlı yazılım dosyası içinde kodlanmış, önceden tanımlanmış bir RSA genel anahtarını alır. Bu anahtar, önceden oluşturulmuş rasgele diziyi şifreleyerek AES şifrelemeye uygun bir anahtar üretir.”
Kötü amaçlı yazılım, anahtarı aldıktan sonra dizinde bulunan tüm dosyaları şifrelemek için AES algoritmasını kullanır ve ardından oluşturulan anahtarı (base64’te kodlanmış) şifrelenmiş her dosyanın sonuna ekler.
e4c2e0af462ebf12b716b52c681648d465f6245ec0ac12d92d909ca59662477b karmasına sahip örnek statik analize tabi tutuldu ve bunun .NET kullanılarak derlenmiş 32 bitlik bir PE ikili dosyası olduğu ortaya çıktı. Bu bilgiler bir şekilde sunulmuştur.
Çalıştırıldıktan sonra BlackSnake Ransomware, sistemin mevcut giriş dilinin “az-Latn-AZ” veya “tr-TR” dil kodlarıyla eşleşip eşleşmediğini belirlemek için bir ilk kontrol gerçekleştirir.
Cyble araştırmacıları, bir eşleşme olması durumunda fidye yazılımının çalışmasını sonlandırarak, BlackSnake fidye yazılımının yaratıcılarının Türkiye veya Azerbaycan’da bulunan sistemleri hedefleme niyetinde olmadıklarını öne sürüyor.
BlackSnake fidye yazılımı ve seçici şifreleme
BlackSnake’in, dosyaları algılamayı ve şifrelerini çözmeyi zorlaştıran benzersiz bir şifreleme mekanizmasına sahip olduğu söyleniyor. Fidye yazılımı ayrıca güvenlik önlemlerinden kaçma ve virüslü sistemlerde virüsten koruma yazılımını devre dışı bırakma yeteneğine de sahiptir.
Bir sisteme virüs bulaştığında, fidye yazılımı tüm dosyaları şifreler ve şifre çözme anahtarı karşılığında bir fidye talep eder.
Blacksnake’in geride bıraktığı fidye notu, kurbanları fidyeyi ödemeden dosyalarını kurtarmaya çalışmamaları konusunda uyarıyor, aksi takdirde verileri kalıcı olarak kaybolabilir.
İlginç bir şekilde, daha önce ısırdığı cihazları enfekte etmekten kaçınır. Cyble’a göre bu, fidye yazılımının etkisini sınırlama girişimi olabilir.
“BlackSnake fidye yazılımının bir sisteme zaten bulaşıp bulaşmadığını tespit etme yöntemi var. Bunu, yürütülmekte olan derlemenin konumunu “C:\Users” yolu ile kontrol ederek yapar.[user-name]\AppData\Roaming\svchost.exe”, dedi Cyble raporu.
“Bu yol eşleşirse, fidye yazılımı %appdata% dizininde “UNLOCK_MY_FILES.txt” adlı dosyayı aramaya devam eder. Dosya bulunduğunda, fidye yazılımı kendini sonlandıracaktır.”
BlackSnake ve Chaos: Başlangıç hikayesi
Cyble, tehdit aktörlerinin yeni fidye yazılımı aileleri geliştirmek için önceden var olan fidye yazılımı kodlarını geliştirmeyi uygun bulduğunu belirtti.
Cyble raporu, “Onyx ve Yashma fidye yazılımı aileleri zaten Chaos fidye yazılımı ailesiyle bağlantılıydı ve BlackSnake fidye yazılımı artık bu türle ilişkili başka bir ailedir” dedi.
“The Threat Actor, Chaos fidye yazılımı kaynak kodunda ince ayar yaptı ve doğrudan dosyaya bir kesme modülü ekledi; bu, kesme aracı için ayrı bir dosyaya sahip olmanın olağan yaklaşımından farklı.”
Ağustos 2022’de veri ihlali forumuna katılan “BlackSnakeTeam” takma adına sahip bir Breach Forum kullanıcısı, fidye yazılımı türü sunduğu tespit edildisadece “kârınızın %15’i” talebiyle.
Bu, kullanıcının 10 Mart 2023 tarihinde forumda yaptığı tek gönderidir. İlginç bir şekilde, Chaos fidye yazılımı oluşturucudaki bir ileti dizisi, gönderiyle muhtemelen ilgili bir ileti dizisi olarak listelendi.
Önceki sürümüyle hiçbir benzerliği olmayan yeni, Go tabanlı, çok platformlu bir tür ortaya çıktığında, son zamanlarda siber güvenlik haberlerinde kaos vardı. ortaya çıktı Eylül 2022’de.
Bir kaynak, “Ek modüller barındıran bir hazırlama sunucusunun IP adresini analiz ederken, “Chaos” kuruluş adını görüntüleyen anormal bir kendinden imzalı sertifikaya sahip olduğunu fark ettik” dedi. tehdit değerlendirme raporu Lumen Technologies’in tehdit istihbaratı bölümü olan Black Lotus Labs tarafından.
“Daha sonra, kuruluş adında “Kaos” kelimesini içeren benzer kendinden imzalı sertifikalara sahip IP adreslerini aradık ve o sırada 15 aktif düğüm keşfettik.
En erken sertifika 16 Nisan 2022’de oluşturuldu; Bunun, Kaos etkinlik kümesinin ilk kez vahşi ortamda başlatıldığı zaman olduğunu değerlendiriyoruz” diye ekledi.