Halcyon’un Fidye Yazılımı Araştırma Merkezi’ndeki (RRC) araştırmacılara göre, muhtemelen yapay zeka (AI) titreşim kodlama araçlarına aşırı güven nedeniyle ortaya çıkan bir kodlama hatası, yeni ortaya çıkan bir fidye yazılımı türünü son derece tehlikeli bir tehdit haline getirdi.
Hizmet olarak Sicarii fidye yazılımı (RaaS) operasyonu, karanlık ağdaki bağlı kuruluşlar için reklam vermeye başladığı Aralık 2025’te siber suç yeraltından ortaya çıktı.
Ancak şimdi, Halcyon’un ekibi tarafından yapılan teknik analiz, Sicarii’nin şifreleme anahtarı işlemesinde, kurbanın veya siber suçlunun etkilenen sistemlerin şifresini çözmesini imkansız kılan kritik bir kodlama hatası tespit etti.
Fidye yazılımı kurbanları için en iyi uygulama, siber suçluların verilerinizin şifresini çözeceğinin garantisi olmadığı için fidye ödemenin tavsiye edilmediği yönündedir. Bu belirgin kusur, kurtarılabilirliği temelden zayıflatıyor ve Sicarii’yi daha da tehlikeli bir tehdit haline getiriyor.
RRC kıdemli başkan yardımcısı Cynthia Kaiser, “Sicarii fidyesini ödemeyin” dedi. “İşe yarar hiçbir şeyi geri alamayacaksın.”
RSA anahtarının yanlış kullanımı
Sorun, Sicarii ikili dosyasının RSA uygulamasını nasıl ele aldığından kaynaklanmaktadır. Fidye yazılımı dolabı ilk kez çalıştırıldığında, yerel olarak yeni bir RSA anahtar çifti oluşturur, bu anahtarı şifreleme için kullanır, ancak daha sonra bazı nedenlerden dolayı özel anahtarı atar.
Sonuç olarak, bu “yürütme başına” anahtar üretimi, şifrelemenin herhangi bir kurtarılabilir ana anahtara bağlı olmadığı, dolayısıyla kurbanların geçerli bir şifre çözme yoluna sahip olmadığı ve saldırgan tarafından sağlanan şifre çözücülerin etkisiz olduğu anlamına gelir. Aslında fidye ödemesi yapmak kurtarma sonuçlarını önemli ölçüde iyileştiremez.
Ekip, “Halcyon, geliştiricilerin bu uygulama hatasına katkıda bulunabilecek yapay zeka destekli araçları kullanmış olabileceklerini orta derecede bir güvenle değerlendiriyor” dedi.
“Sicarii fidye yazılımından etkilenen kuruluşlar, bu kusurun düzeltildiğine dair bağımsız bir onay olmadığı sürece fidye ödemesinin başarılı veri restorasyonuyla sonuçlanmayacağını varsaymalıdır.”
Herhangi bir fidye yazılımı saldırısına karşı en iyi savunma, etkili savunmaları önceden dağıtmak, korunan yedeklerin geri yüklenebilmesini sağlamak ve mümkünse özel fidye yazılımı önleme çözümlerini dahil etmektir.
Ancak Halcyon’un ekibi, kuruluşunuzun bir Sicarii saldırısına kurban gitmesi ve şifre çözücü aracılığıyla kurtarmanın mümkün olmaması durumunda, mağdurların zamanlarını anlamsız müzakerelerle harcamamaları, bunun yerine alternatif kurtarma yollarına geçmeleri gerektiğini (etkilenen sistemleri izole etme, adli kanıtları koruma, güvenlik açığının kapsamını belirlemek için mevcut günlükleri ve telemetriyi kullanma ve üçüncü taraf olay müdahale ekiplerinden destek arama) tavsiyesinde bulunuyor.
Sicarii kimdir?
Tarihte Sicarii, Yahudiye’nin Roma işgali sırasında aktif olan bir grup Yahudi isyancıydı. Adını büyük kavisli hançerlerinden veya sikalarından alan grup üyelerinin, günümüz İsrail’inde Ölü Deniz’e bakan bir tepe kalesi olan Masada Kuşatması sırasında MS 72-73 civarında toplu intihar ettikleri söyleniyor.
Bu tarih, ağırlıklı olarak İsrail ve Yahudi sembolizmine yaslanmasıyla kendisini Rusça konuşan çoğunluktaki fidye yazılımı ekosisteminden ayıran günümüz Sicarii çetesine de yansıyor. Çetenin markası İbranice metin içeriyor ve 1948’de İsrail’in bağımsızlığından önce Filistin’de İngiliz yönetimine karşı savaşan paramiliter bir örgüt olan Haganah’a atıfta bulunuyor.
Check Point’e göre Sicarii çetesi, Arap veya Müslüman devletlerine karşı gerçekleştirilen saldırılar için mali teşvikler sunuyor ve İsrail’de bulunan herhangi bir sistemde gerçekleştirilmemesi için dolabını coğrafi olarak sınırlıyor.
Ancak Check Point, Sicarii’nin gerçekten bir İsrail fidye yazılımı çetesi olup olmadığını belirlemeyi zorlaştıran birçok anormallik ve tutarsızlık bulunduğunu söylüyor.
Diğer şeylerin yanı sıra, üyeleri İbranice’den çok İngilizce ve Rusça konusunda daha yetkin görünüyor; bu dilde mevcut olmayan İngilizce deyimleri doğrudan İbranice’ye çevirdikleri gözlemlendi ve araştırmacılar, çetenin – muhtemelen birçok üyeyi oyalayacak – ideolojik duruşunun, İsrail’e gerçek bir bağlılıktan ziyade performansa dayalı veya sahte bayrak davranışını temsil ettiğine inanıyor. Araştırmacılar, operatörlerinin biraz disiplinsiz göründüğünü ekledi.
Check Point’in Sicarii hakkındaki derinlemesine incelemesi, buradan tam olarak okunabilir, İran’a bağlı aktörlere atfedilen önceki siber kampanyaların, Yahudi tarihi ve mitlerinden referanslardan yararlandığını ve sahte bayrak operasyonları yürütmek için İsrailli kişiler uydurduğunu belirtiyor.