Cyble Research and Intelligence Labs (CRIL) kısa süre önce, kripto para birimi kullanıcıları için önemli bir tehdit oluşturan “Kanti” adlı yeni bir fidye yazılımı türü keşfetti.
Kanti fidye yazılımı adını, farklı şifreleme yöntemi, şifrelenmiş dosyalara “.kanti” uzantısını eklemesi ve şifreleme işlemi tamamlandıktan sonra “Kanti.html” adlı bir fidye notu bırakması nedeniyle almıştır.
Kanti’nin arkasındaki siber suçlular özellikle kripto para birimi kullanıcılarına, özellikle de Bitcoin (BTC) cüzdanlarıyla ilişkili olanlara odaklanır.
Cyble araştırmacıları, Kanti fidye yazılımının nispeten yeni olan ve verimli yürütmesi ve platformlar arası uyumluluğuyla bilinen NIM programlama dili kullanılarak oluşturulduğunu keşfetti.
CRIL raporu, “Daha önce, Dark Power fidye yazılımı grubu, kurbanların dosyalarını şifrelerken kritik sistem dosyalarını kasıtlı olarak dışarıda bırakabilen fidye yazılımı varyantları oluşturmak için NIM programlama dilini kullanıyordu.”
“Ayrıca, kötü amaçlı yazılım, günlükleri temizleme ve etkilenen her klasörde bir fidye notu oluşturma yeteneğine sahipti.”
NIM’in benzersiz özellikleri, kötü amaçlı yazılım yazarlarının hem Windows hem de Linux işletim sistemlerini hedef alan fidye yazılımları oluşturmasını sağlayarak, onu tespit edilmekten kaçmak isteyen siber suçlular için çok yönlü bir araç haline getirir.
Kanti Ransomware: Yürütme ve şifreleme süreci
Kanti, başta Bitcoin olmak üzere kripto para birimi kullanan kişileri hedefleyen yeni bir fidye yazılımı türüdür. Dosyalarınızı kilitlemek ve onları geri almak için sizden fidye talep etmek için tasarlanmış kötü amaçlı bir yazılımdır.
Saldırganlar, fidye yazılımını “BTC Wallet.zip” adlı bir dosya aracılığıyla dağıtır. Bu sıkıştırılmış dosyanın içinde iki dosya daha vardır: “Wallet.lnk’e Erişim İçin Özel Anahtarları Açın” ve “Locked_253_BTC.zip.”
“Wallet.lnk’e Erişim İçin Özel Anahtarları Açın” dosyasını açtığınızda aslında “Locked_253_BTC.zip” dosyasını çalıştırıyor. “Lnk” dosyası zararsız görünmek için yapılmıştır, ancak kılık değiştirmiş gerçek fidye yazılımıdır.
Fidye yazılımını çalıştırdığınızda, dosyalarınızı şifrelemeye başlar. Şifreleme, dosyalarınıza özel bir anahtar olmadan erişemeyeceğiniz bir kilit koymak gibidir. Bu durumda saldırganların anahtarı vardır ve size vermek için para (fidye) talep ederler.
Kanti fidye yazılımı, şifreleme için dosyaları ve dizinleri belirlemek üzere API işlevlerini kullanarak sistem birimlerini tarar.
İlginç bir şekilde, fidye yazılımı belirli dosya ve klasörleri seçici olarak şifrelemenin dışında bırakarak kurbanın sisteminin düzgün çalışması için gerekli olan kritik sistem dosyalarının ve bileşenlerinin etkilenmemesini sağlar.
Kanti fidye yazılımı, bilgisayarınızın düzgün çalışması için gerekli olan bazı önemli dosyaların şifrelenmesini önlemek için akıllıca programlanmıştır. Bu, bilgisayarın çalışır durumda kalmasını ve fidyeyi ödemek için yine de kullanabilmenizi sağlar.
Fidye yazılımı, NIM adlı yeni bir programlama dili kullanılarak oluşturulur. Bu dil, saldırganların fidye yazılımının hem Windows hem de Linux bilgisayarlarda çalışmasını sağlar.
Fidye yazılımı, dosyalarınızı güvenli bir şekilde kilitlemek için “BCrypt.dll” adlı özel bir modül kullanır. Bu modül, dosyalarınızı kilitlemek ve kilidini açmak için gereken şifreleme anahtarlarını üretir.
Dosyalarınız şifrelendikten sonra, fidye yazılımı Masaüstünüzde “Kanti.html” adlı bir mesaj bırakır. Bu mesaj, dosyalarınızın kilitli olduğunu açıklar ve şifre çözme anahtarını almak için fidyeyi nasıl ödeyeceğiniz konusunda talimatlar sağlar.
İzlerini örtmek için, fidye yazılımı dosyalarınızı şifreledikten sonra kendisini bilgisayarınızdan siler. Ayrıca çıkmadan önce fidye notunu görüntüler, böylece ne olduğunu bilirsiniz.
Kanti fidye yazılımı: Etkiler ve önlemler
Diğer tüm fidye yazılımı türlerinde olduğu gibi, Kanti’nin etkisinin ana etkisi, değerli verilerin kaybıdır.
Bir fidye yazılımı saldırısının kurbanı olmak, bir kuruluşun itibarını ve bütünlüğünü kötü bir şekilde vurarak müşterilerin ve iş ortaklarının güvenini kaybetmesine yol açar.
Fidye yazılımı hassas ticari bilgileri ifşa ederek tüketicilerinin, bağlı kuruluşlarının ve paydaşlarının gizliliğine yönelik ciddi bir risk oluşturabilir.
Fidye yazılımlarının yıkıcı doğası bir başka önemli endişe kaynağıdır.
Bilgisayarlar veya ağlar bir kez virüs bulaştıktan sonra, fidye ödenene veya durum çözülene kadar çalışamaz hale gelebilir ve bu da normal işlemlerde önemli kesintilere neden olabilir.
Önemli verilerin düzenli olarak yedeklenmesi çok önemlidir, Cyble araştırmacılarına tavsiye ederiz.
Yedeklemeleri çevrimdışı veya ayrı ağlarda tutmak, gerektiğinde kurtarma için verilerin güvenli bir kopyasının bulunmasını sağlar.
Araştırmacılar, bilgisayarlarda, mobil cihazlarda ve diğer bağlı cihazlarda otomatik yazılım güncellemelerinin etkinleştirilmesinin güvenlik açıklarının kontrol altında tutulmasına ve cihazların bilinen tehditlere karşı korunmasına yardımcı olduğunu da sözlerine ekledi.