Daha önce yayınlanan Conti kaynak kodunu temel alan bir fidye yazılımı sürümünün kurbanlarına yardımcı olan yeni bir şifre çözme aracı yayınlandı. Conti gibi fidye yazılımı çeteleri, 2019’dan beri suç ortamına hükmediyor. Conti’nin kaynak kodu da dahil olmak üzere verileri, Avrupa’daki bir jeopolitik krizin ateşlediği bir iç mücadelenin ardından Mart 2022’de açığa çıktı. Tespit edilen sürüm, bilinmeyen bir fidye yazılımı çetesi tarafından dağıtıldı ve şirketlere ve kamu kurumlarına karşı kullanıldı. Conti olarak bilinen kötü amaçlı yazılım ilk olarak 2019’un sonundan önce ortaya çıktı ve 2020’nin tamamı boyunca oldukça aktif olmaya devam etti. Bu süre zarfında tüm fidye yazılımı kurbanlarının yüzde 13’ünden fazlasından sorumluydu. Bununla birlikte, bir yıl önce Conti fidye yazılımının kaynak kodunun ifşa edilmesinden sonra, çeşitli suç grupları tarafından fidye yazılımının çeşitli varyantları üretildi ve gerçekleştirdikleri saldırılarda kullanıldı.
Kaspersky’nin baş kötü amaçlı yazılım analisti Fedor Sinitsyn, fidye yazılımlarının birkaç yıl üst üste siber suçlular tarafından kullanılan birincil silah olmaya devam ettiğini söyledi. “Fakat birçok fidye yazılımı çetesinin taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) araştırdığımız ve birçoğunun benzer şekillerde çalıştığını belirlediğimiz için, saldırılardan kaçınmamız artık daha kolay. “Fidye Yok” başlıklı web sitemizde, en son Conti tabanlı güncellemeye karşı kullanılabilecek şifre çözme aracını zaten bulabilirsiniz. Yine de en uygun yaklaşımın, savunmaları artırmak ve saldırganları saldırılarının erken aşamalarında durdurmak, böylece fidye yazılımlarının konuşlandırılmasından kaçınmak ve saldırının yansımalarını azaltmak olduğunun altını çizmek isteriz.
2023 Şubat ayının sonlarında Kaspersky uzmanları, çevrimiçi forumlarda yayınlanmış yeni bir çalıntı malzeme parçası keşfetti. Kaspersky, 258 özel anahtar, kaynak kodu ve bazı önceden derlenmiş şifre çözücüleri içeren materyali analiz ettikten sonra herkese açık şifre çözücünün yeni bir sürümünü kullanıma sundu. Bu, dosyalarını Conti fidye yazılımının bir çeşidiyle şifreleyen herkese yardımcı olmak için yapıldı.
Uzmanlar, güvenliği ihlal edilen kötü amaçlı yazılımın biçimini Aralık 2022’de bulmuştu. Anahtarlar çalınmıştı. Bu tür kullanılarak özel şirketlere ve devlet kurumlarına yönelik birkaç siber saldırı gerçekleştirildi.
Açığa çıkan özel anahtarlar toplam 257 farklı dosyada bulunabilir (bu klasörlerden yalnızca biri iki anahtar içerir). Bazıları önceden geliştirilmiş şifre çözücüleri ve çeşitli geleneksel dosyaları içerir: kağıtlar, resimler, vb. Belki de ikincisi test dosyalarıdır; dosyaların şifresinin çözülebileceğinden emin olmak için kurbanın saldırganlara teslim ettiği bir avuç dosya.
Bu kategorilerden 34’ü özel olarak işletmeleri ve devlet kuruluşlarını listeler. Bir klasörün bir kurbana atıfta bulunduğu ve şifre çözücülerin fidyeyi ödeyen kurbanlar için yapıldığı düşünüldüğünde, 257 kişiden 14’ünün saldırganlara parayı ödediği anlaşılabilir.
Siber güvenlik uzmanları, verilerin derinlemesine bir analizini yaptıktan sonra, Conti fidye yazılımının en son yinelemesine kurban giden herkese yardımcı olmak için şimdi genel şifre çözücünün güncellenmiş bir sürümünü kullanıma sundu. Şifre çözme algoritması ve 258 anahtarın tamamı, Kaspersky’nin sunduğu 1.40.0.00 sürümü olan RakhniDecryptor programının en son yapısına dahil edilmiştir. Ayrıca, şifre çözme aracı Kaspersky’nin https://noransom.kaspersky.com adresinden erişilebilen “Fidye Yok” web sitesinde bulunabilir.
Şu anda risk altyapısı uzmanı ve araştırmacı olarak çalışan bilgi güvenliği uzmanı.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.