Araştırmacılar, yeni başlayan Akira fidye yazılımı grubunun, faaliyetlerinde artan karmaşıklığın bir parçası olarak Linux sistemlerinden yararlanma yetenekleri ekleyerek diğer siber suçlu gruplarını takip ederek ivme kazandığını ve hedef tabanını genişlettiğini buldu.
Bu yılın Nisan ayında hesaba katılması gereken bir siber suçlu gücü olarak ortaya çıkan çete, öncelikle Windows sistemlerine saldırmasıyla tanınıyor ve jQuery kullanarak etkileşimli bir komut istemi olarak tasarlanmış benzersiz bir veri sızıntısı sitesine sahip.
Bununla birlikte, Cyble Research and Intelligence araştırmacılarına göre, adını psikopatik bir bisikletçinin yer aldığı 1988 Japon anime kült klasiğinden alan grup, fidye yazılımının yeni bir sürümüyle açık kaynak işletim sistemini çalıştıran sistemleri istismar edebilen yeni bir sürümüyle taktiklerini Linux’u hedef alacak şekilde değiştiriyor. Labs (CRIL), 29 Haziran’da yayınlanan bir blog gönderisinde ortaya çıktı.
Bu hareket, hem Akira’nın gelişimini hem de artık kurumsal ortamlarda Linux’un popülaritesinden yararlanma fırsatı gören fidye yazılımı grupları arasında artan bir eğilimi yansıtıyor. Linux, tipik olarak Nesnelerin İnterneti (IoT) cihazları ve kritik görev uygulamaları için arka uç olan sanal konteyner tabanlı sistemleri çalıştırmak için fiili standart haline geldi.
Araştırmacılar gönderide, “Daha önce Windows merkezli bir fidye yazılımı grubunun şimdi dikkatini Linux’a çevirmesi, bu sistemlerin siber tehditlere karşı artan savunmasızlığının altını çiziyor” diye yazdı.
Gerçekten de Akira’nın değişimi, Cl0p, Royal ve IceFire fidye yazılımı grupları gibi daha köklü diğer fidye yazılımlarının da aynısını yapma hamlesini takip ediyor.
Araştırmacılar, çoğunluğu ABD’de bulunan ve kamuya ifşa edilmiş 46 kurbanı birkaç ay içinde tehlikeye atarak Akira’nın da hızla genişlediğini söyledi.
Mağdurlar çeşitli sektörlere yayılıyor, ancak kurbanların büyük bir kısmı eğitim sektöründen geliyor ve hemen ardından imalat, profesyonel hizmetler, BFSI ve inşaat geliyor. Diğer kurbanlar, tarım ve hayvancılık, yiyecek ve içecek, BT ve ITES, emlak, tüketim malları, otomotiv, kimya ve diğer endüstriler dahil olmak üzere çeşitli sektörlere dağılmış durumda.
Akira öncelikle, çifte gasp taktikleri kullanarak kurbanlarından veri çalmaya ve onlardan veri çalmaya odaklanır ve talep edilen fidyeyi ödemezlerse Dark Web’e veri sızdırmakla tehdit eder.
Akira’nın Linus Hedeflemesi Nasıl Çalışır?
Araştırmacılar, yeni Linux fidye yazılımı dosyasının, sistemlere Microsoft Visual C/C++ derleyicisinde yazılmış konsol tabanlı 64 bitlik bir yürütülebilir dosya biçiminde bulaştığını söyledi. Yürütüldüğünde, API işlevini kullanır GetLogicalDriveStrings() Sistemde şu anda mevcut olan mantıksal sürücülerin bir listesini elde etmek için.
Kötü amaçlı yazılım daha sonra “akira_readme.txt” dosya adına sahip birden çok klasöre bir fidye notu bırakır ve API işlevlerini kullanarak bunlar arasında yineleme yaparak şifrelenecek dosya ve dizinleri aramaya devam eder. FindFirstFileW() Ve SonrakiDosyayı Bul().
Fidye yazılımı, kurbanın makinesini sabit bir sabit kodlanmış base64 kodlu genel anahtar kullanarak şifrelemek ve şifrelenmiş dosyaları “.akira” uzantısıyla yeniden adlandırmak için “Microsoft Enhanced RSA ve AES Cryptographic Provider” kitaplıklarını kullanır. Araştırmacılar, şifreleme sürecinde CryptoAPI’nin çeşitli işlevlerini de kullandığını söyledi.
Akira fidye yazılımı ayrıca, gölge kopyayı silen bir WMI sorgusu yürütmek için bir PowerShell komutu kullanarak sistem geri yüklemesini önleyen ek bir özellik içerir.
Düşen fidye notu, kurbanlara fidye ödeme şartlarını müzakere etmek için Akira ile iletişime geçmeleri için talimatlar sağlar. Araştırmacılar, grubun genellikle kurbanları fidye yazılımı sitesindeki verileri sızdırma planları yapmakla (diğer bir deyişle çifte gasp) tehdit ettiğini ve bu sitenin gerçekten de ödeme yapmayan kurbanların bir listesini ve verilerinin sızdırılmasıyla ilişkili olduğunu gösterdiğini söyledi.
Fidye Yazılımlarını Önleme ve Azaltma
Araştırmacılar, kuruluşların fidye yazılımı saldırılarını nasıl önleyebileceği ve azaltabileceği konusunda bir dizi öneride bulundu. Saldırı durumunda sistemlerin geri yüklenebilmesi için düzenli yedekleme uygulamaları yapmayı ve bu yedekleri çevrimdışı veya ayrı bir ağda tutmayı içerirler.
Araştırmacılar, kuruluşların bilgisayarlarda ve diğer mobil ve bağlı cihazlarda mümkün olan ve pragmatik olan yerlerde otomatik yazılım güncelleme özelliğini açmaları ve bağlı tüm cihazlarda güvenilir ve güvenilir antivirüs ve İnternet güvenliği yazılım paketi kullanmaları gerektiğini tavsiye etti.
Fidye yazılımları genellikle kimlik avı saldırıları yoluyla yayılan dosyalara saldırdığından, kurumsal kullanıcıların da orijinalliğini doğrulamadan güvenilmeyen bağlantıları ve e-posta eklerini açmaktan kaçınmaları gerektiğini eklediler.
Bir fidye yazılımı saldırısından sonra atılan adımların, bir ağa verilen hasarın ne kadar kapsamlı olduğu üzerinde de etkisi vardır. Araştırmacılar, bir kurumsal sistemde fidye yazılımı tespit edilirse, kuruluşların aynı ağdaki virüslü cihazları derhal ayırması, bağlı tüm harici depolama cihazlarının bağlantısını kesmesi ve şüpheli olaylar için sistem günlüklerini incelemesi gerektiğini de sözlerine ekledi.