Clop fidye yazılımı çetesi artık açıkça Linux sunucularını hedefleyen bir kötü amaçlı yazılım çeşidi kullanıyor, ancak şifreleme planındaki bir kusur, kurbanların dosyalarını aylarca sessizce ve ücretsiz olarak kurtarmasına izin verdi.
Clop’un bu yeni Linux sürümü, Aralık 2022’de SentinelLabs’te bir araştırmacı olan Antonis Terefos tarafından, tehdit grubu tarafından Kolombiya’daki bir üniversiteye yönelik bir saldırıda Windows değişkeniyle birlikte kullanıldıktan sonra fark edildi.
Her ikisi de aynı şifreleme yöntemini ve neredeyse aynı işlem mantığını kullandıkları için Windows sürümüne çok benzer olsalar da, esas olarak işletim sistemi API çağrıları ve hâlâ Linux varyantında uygulanmayı bekleyen özelliklerle sınırlı bazı farklılıklar vardır.
Clop’un Linux kötü amaçlı yazılımı da erken geliştirme aşamasındadır, çünkü hala uygun şaşırtma ve kaçma mekanizmalarından yoksundur ve kurbanların dolandırıcılara herhangi bir para ödemeden dosyalarını almalarını mümkün kılan kusurlarla boğuşmaktadır.
Oracle veritabanı sunucularını hedefleme
Clop fidye yazılımının Linux yürütülebilir dosyası (ELF), başlatıldığında izinleri veri şifrelemeye izin verecek bir düzeye yükseltmeye çalışan yeni bir süreç oluşturur.
Hedeflediği dosya ve klasörler, kullanıcının tüm kişisel dosyalarını içeren “/home” dizinini, “/root” dizini, “/opt” ve depolama için kullanılan Oracle dizinlerini (“/u01” – “/u04”) içerir. veritabanı dosyaları veya Oracle yazılımı için bağlama noktaları olarak.
Oracle veritabanı klasörlerinin belirli hedeflemesi, genellikle ESXi sanal makinelerini şifrelemeye odaklanan Linux fidye yazılımı şifreleyicilerinde yaygın olarak görülmez.
Linux varyantı, Windows sürümü tarafından belirli dosya türlerini ve klasörleri şifrelemenin dışında bırakmak için kullanılan karma algoritma desteğinden de yoksundur. Ayrıca, Linux’ta çeşitli boyutlardaki dosyaları farklı şekilde ele alan bir mekanizma yoktur.
Clop’un Linux sürümünde bulunmayan diğer özellikler arasında, klasörleri yinelemeli olarak şifrelemek için başlangıç noktasını bulmaya yardımcı olacak sürücü numaralandırmasının olmaması ve şifreleme işlemi üzerinde ek kontrol sağlamak için komut satırı parametreleri yer alır.
Şifreleme kusurları
Mevcut Linux sürümü, Windows varyantında kullanılan RSA tabanlı asimetrik algoritma ile dosya şifreleme için kullanılan RC4 anahtarlarını da şifrelemeyecektir.
Bunun yerine, Linux sürümünde Clop, şifreleme anahtarlarını oluşturmak için sabit kodlanmış bir RC4 “ana anahtar” kullanır ve ardından aynı anahtarı şifrelemek ve dosyada yerel olarak depolamak için kullanır. Ayrıca, RC4 anahtarı hiçbir zaman doğrulanmaz, oysa Windows’ta şifrelemeyi başlatmadan önce doğrulanır.
Bu zayıf şema, SentinelLabs’in yaptığı gibi anahtarların serbestçe alınmasını ve şifrelemenin tersine çevrilmesini korumaz (tam da bunu yapan bir Python betiği artık GitHub’da mevcuttur).
SentinelLabs, anahtar güvenliğinin olmamasına ek olarak, şifrelenmiş anahtar bir dosyaya yazıldığında, kötü amaçlı yazılımın dosyanın boyutu ve şifreleme zamanı gibi ayrıntılar gibi bazı ekstra verileri de yazdığını tespit etti.
Adli tıp uzmanlarının belirli, değerli dosyaların hedeflenen şifresini çözmesine yardımcı olabileceğinden, bu veriler gizlenmelidir.
Linux için Clop fidye yazılımının mevcut haliyle yaygın bir tehdit haline gelmesi olası değildir. Bir şifre çözücünün piyasaya sürülmesi, yazarlarını muhtemelen uygun bir şifreleme şemasıyla güvenli ve geliştirilmiş sürümler yayınlamaya zorlayacaktır.
SentinelLabs, BleepingComputer’a şifre çözücülerini kolluk kuvvetleriyle paylaştıklarını, böylece kurbanların dosyalarını kurtarmalarına yardımcı olabileceklerini söyledi.
BleepingComputer’a konuşan SentinelLabs, “Bulgularımızı ilgili kolluk kuvvetleri ve istihbarat ortaklarıyla erkenden paylaştık ve fidye yazılımı alanının ekonomisini savunucuların lehine etkilemek için ilgili kuruluşlarla işbirliği yapmaya devam edeceğiz.”
Zayıf yönlerine rağmen, gerçek Clop saldırılarında Linux varyantının kullanılması, tehdit aktörleri için, uzlaşması kolay olsa bile bir Linux sürümüne sahip olmanın, hedef kuruluşlardaki Linux sistemlerine saldıramamaya tercih edildiğini göstermektedir.