Bilgisayar korsanları, zayıf güvenlik önlemleri ve siber güvenlik farkındalığının eksikliği nedeniyle genellikle saldırıya uğramaları daha kolay olan KOBİ’leri (Küçük ve orta ölçekli işletmeler) hedef alıyor.
Pek çok KOBİ düzenli güvenlik denetimleri yapmıyor veya kapsamlı olay müdahale planlarına sahip değil; bu da onları güvenlik açıklarından yararlanmak isteyen tehdit aktörleri için çekici hedefler haline getiriyor.
ESET’teki siber güvenlik araştırmacıları yakın zamanda CosmicBeetle’ın eski güvenlik açıklarını aktif olarak kullanarak dünyanın dört bir yanındaki KOBİ’lere saldırdığını keşfetti.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
CosmicBeetle Eski Güvenlik Açıklarını Kullanıyor
ESET araştırmacıları, CosmicBeetle adlı tehdit grubunun ScRansom fidye yazılımını dünya çapında dağıttığını doğruladı.
Çeşitli sektörlerdeki KOBİ’leri hedef alan ve aşağıdaki güvenlik açıklarını kullanan Delphi tabanlı bir kötü amaçlı yazılımdır:
ScRansom, dosya şifrelemesi için AES-CTR-128 gibi karmaşık bir şifreleme şemasını, anahtar yönetimi için ise RSA-1024 anahtar çifti (RunKeyPair) ve sabit kodlanmış bir RSA açık anahtarı (MasterKeyPair) kullanır.
Dosyaları uzantılarına göre kısmen şifreler, “Şifre Çözme Kimliği” de dahil olmak üzere verileri ekler ve dosyaları “.Encrypted” uzantısıyla yeniden adlandırır.
Kötü amaçlı yazılım beş şifreleme modu sunuyor ve bunlar “HIZLI”, “EN HIZLI”, “YAVAŞ”, “TAM” ve “SİL” olarak sıralanıyor ve son oluşturulan dosyalar kurtarılamıyor.
ScRansom belirli süreçleri ve hizmetleri sonlandırır ve GUI tabanlı çalışması hata ayıklama özelliklerini içerir.
CosmicBeetle, sızdırılan oluşturucusunu kullanarak LockBit’i taklit etmiş ve RansomHub ile bağlantılı olabilir.
Araştırmacılar, grubun araç setinin ScHackTool, ScInstaller, ScService, ScPatcher ve yakın zamanda ayrılan işlem sonlandırma aracı ScKill’i içerdiğini söyledi.
Mağdurlarla iletişim, şifreli mesajlaşma için Tox protokolünü kullanan e-posta ve qTox aracılığıyla gerçekleşir. ScRansom’un şifre çözme süreci, olgun fidye yazılımı işlemlerinin aksine yavaş ve hataya açıktır.
Enfekte makinelerden, kurbanların birden fazla Şifre Çözme Kimliği toplaması ve saldırgandan karşılık gelen “Koruma Anahtarlarını” edinmesi gerekiyor.
Şifre çözücü, yalnızca bu Koruma Anahtarlarına dayanan MasterKeyPair.Private anahtarından yoksundur. Her şifrelenmiş aygıtta, şifre çözücü, her Şifre Çözme Kimliği için doğru Koruma Anahtarını girerek kurbanlar tarafından manuel olarak çalıştırılmalıdır.
Ayrıca, bu süreç, “ScRansom”ın tek bir makinede birden fazla kez çalıştırılması ve ek kimlikler üretilmesi gibi durumlar nedeniyle karmaşık hale geliyor.
Bunun yanı sıra, ERASE şifreleme modu bazı dosyaları kalıcı olarak yok edebilir. Bir vakada, 31 Şifre Çözme Kimliğine sahip bir kurban verilerini tamamen kurtaramadı.
Bu, eksik kimlikler, tamamlanmamış anahtar sağlama veya kalıcı dosya imhası nedeniyle gerçekleşmiş olabilir. Bu yaklaşım, genellikle daha kolay kurtarma için şifre çözme anahtarını tek bir yürütülebilir dosyada içeren LockBit Black gibi karmaşık fidye yazılımlarından farklıdır.
CosmicBeetle’ın yöntemi teknik olarak karmaşıktır ve bu da fidye ödemesinden sonra bile başarılı bir şifre çözme ve tam veri kurtarma olasılığını azaltır.
Hepsi Bir Arada Siber Güvenlik Platformuyla Siber Saldırı Senaryolarını Simüle Etme – Ücretsiz Web Seminerini İzleyin