BQTLOCK adlı siber tehdit manzarasında, siber tehditli manzarada, siber suçlular için gelişmiş şifreleme yeteneklerine erişimi demokratikleştiren kapsamlı bir fidye yazılımı (RAAS) modeli altında faaliyet gösteren siber tehdit manzarasında ortaya çıkmıştır.
Filistin yanlısı hacktivist grubu Liwaa Mohammed’in iddia edilen lideri ‘Zerodayx’ ile ilişkili kötü amaçlı yazılım, fidye yazılımı dağıtım ve para kazanma stratejilerinde ilgili bir evrimi temsil ediyor.
BQTlock, üç servis seviyesi sunan katmanlı bir abonelik modeli kullanır: başlangıç, profesyonel ve kurumsal paketler, her biri fidye notu kişiselleştirme, duvar kağıdı modifikasyonu, dosya uzantıları ve yapılandırılabilir anti-analiz seçenekleri gibi özelleştirilebilir özellikler sunar.
.webp)
Fidye yazılımı, 48 saat sonra fidye ikiye katlayan ve yedi gün sonra kalıcı veri silinmesini tehdit eden ödeme son tarihleri ile 3.600 ila 10.000 $ ‘a eşdeğer 13 ila 40 Monero (XMR) belirteçleri talep ediyor.
K7 Güvenlik Laboratuarları analistleri, geleneksel çift gasp taktiklerini modern kaçırma teknikleriyle birleştiren kötü amaçlı yazılımın sofistike mimarisini belirledi.
Fidye yazılımı, hibrid AES-256 ve RSA-4096 şifreleme şemasını kullanarak dosyaları şifreler, .bqtlock uzantısını, komuta ve kontrol iletişimi için Discord Webhooks aracılığıyla eşzamanlı olarak püskürtürken, tehlikeye atılan dosyalara ekler.
.webp)
Kötü amaçlı yazılımların dağıtım mekanizması, 20 destekleyici DLL dosyasının yanı sıra birincil yürütülebilir güncelleme.exe’yi içeren ZIP arşivlerini içerir.
Yürütme üzerine BQTlock, kalıcılık oluşturmadan ve şifreleme rutinini başlatmadan önce kapsamlı sistem keşfi, bilgisayar adları, IP adresleri, donanım tanımlayıcıları ve disk alanı bilgilerini toplar.
5 Ağustos 2025’te keşfedilen güncellenmiş bir varyant, Chrome, Firefox, Edge, Opera ve Cesur da dahil olmak üzere popüler tarayıcıları hedefleyen gelişmiş kimlik hırsızlığı yeteneklerini içeren tehdit aktörlerinin sürekli gelişim konusundaki taahhüdünü göstermektedir.
Bu evrim, kötü amaçlı yazılımların veri hasat potansiyelini dosya şifrelemesinin ötesinde önemli ölçüde genişletir.
Gelişmiş Kaçma ve Kalıcılık Mekanizmaları
BQTlock, onu geleneksel fidye yazılımı ailelerinden ayıran tespit kaçakçılığı ve sistem kalıcılığını tespit etmek için çok katmanlı bir yaklaşım uygular.
Kötü amaçlı yazılım, aktif hata ayıklama ortamlarını tespit etmek için IsDebugGerPresent () API’sını kullanarak kaçırma sırasına başlar ve analiz araçları algılanırsa yürütmeyi hemen sonlandırır.
Ek olarak, birden fazla örneğin aynı anda çalışmasını önlemek için “global \ {00A0B0C0-D0E0-F000-1000-200030004000}” adlı küresel bir muteks oluşturur.
.webp)
Fidye yazılımı, OpenProcessToken ve SeceneTokenPrivileges API’leri kullanılarak SedebugPrivilege etkinleştirme yoluyla ayrıcalık artışı elde eder ve ardından Explorer.exe’yi hedefleyen gelişmiş süreç oyma teknikleri gelir.
Bu yaklaşım, BQTlock’un kötü amaçlı kodları meşru sistem süreçlerine enjekte etmesine izin vererek güvenlik izleme araçlarından varlığını etkili bir şekilde maskeliyor.
Kalıcı erişim için, kötü amaçlı yazılım, “Microsoft \ Windows \ Bakım \ SystemHealthCheck” olarak maskelenen planlanmış bir görev oluşturur ve şüpheyi önlemek için meşru Windows bakım isimlendirmesinden yararlanır.
Eşzamanlı olarak, “Password123!” Parolası ile “BQTlockAdmin” adlı bir arka kapı yöneticisi hesabı oluşturur ve ilk uzlaşma algılamasından sonra bile erişimi sağlar.
Güncellenmiş varyant, CMSTP.EXE’nin hazırlanmış .inf dosyaları ve fodhelper.exe ve eventvwr.exe otomatik elevation özelliklerini hedefleyen kayıt defteri manipülasyonu ile kötüye kullanılması dahil olmak üzere birden fazla UAC bypass tekniği sunar.
Bu yöntemler, kötü amaçlı yazılımın kullanıcı hesabı kontrol istemlerini tetiklemeden yüksek ayrıcalıklarla yürütülmesini sağlar ve saldırı sırası sırasında kullanıcı müdahalesi olasılığını önemli ölçüde azaltır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.