İlk olarak Mayıs 2024’te ortaya çıkan Cybervolk fidye yazılımı, devlet kurumlarına, kritik altyapıya ve Japonya, Fransa ve Birleşik Krallık’taki bilimsel kurumlara karşı operasyonlarını artırdı.
Rus yanlısı eğilimlerle faaliyet gösteren Cybervolk, özellikle Rus çıkarlarına düşman olarak algılanan devletleri hedefliyor ve şifre çözmeyi imkansız hale getiren sofistike şifreleme tekniklerinden yararlanıyor.
Bu makale, Cybervolk’un şifreleme mimarisinin, yürütme akışının ve yedeklemeden iyileşmeyi önleyen doğal kusurların teknik bir analizini sunmaktadır.
Cybervolk, Mayıs 2024’te ortaya çıktı ve Rusya karşıtı politikaları olan ülkelerdeki kamu sektörü hedeflerine odaklanarak kendini hızla ayırt etti.
Grup, telgraf kanalları aracılığıyla iletişim kurar, doğrudan kurbanlara tehdit ve fidye talepleri verir.
Dikkate değer saldırılar arasında Japon güç şebekeleri, Fransız araştırma laboratuvarları ve İngiliz bilimsel konsorsiyumları yer alıyor.
Cybervolk’un motivasyonları, rakip devletlerin teknolojik yeteneklerini sakatlayarak Rus yanlısı anlatılarla hizalanarak jeopolitik olarak yönlendiriliyor.
Standart kullanıcı ayrıcalıkları altında başlatıldıktan sonra, fidye yazılımı tam sistem erişimi elde etmek için yönetici haklarına sahip.
Daha sonra kritik sistem dizinlerini istikrarsızlaştırmaktan kaçınmak için bir dışlama listesi oluşturur. “Windows”, “Program Dosyaları” ve “ProgramData” gibi alt dizeler içeren yollar, sistem kararlılığını korumak ve yeniden başlatıldıktan sonra kalıcılığı sağlamak için şifrelemeden çıkarılır.
Şifreleme hariç tutma
Cybervolk, gereksiz işlemleri ve yeniden enfeksiyonu önlemek için zaten özel uzantısını ve sistem klasörlerini taşıyan dosyaları hariç tutar.
Pencereler.
Program dosyaları.
ProgramData.
Cybervolk.
Fidye yazılımı, AES-256 GCM ve Chacha20-Poly1305 kullanılarak iki katmanlı bir simetrik şifreleme şeması kullanır.
Proses başlatmasında tek bir simetrik anahtar oluşturulur ve tüm hedef dosyalarda eşit olarak uygulanır. Her dosya şifrelemesi, tarafından üretilen 12 baytlık bir nonc ile başlar. crypto_rand_Read().
Bu nonce, aynı düz metinler için bile benzersiz şifrelemeler sağlar. Dosya içeriği ilk olarak AES-256 GCM altında şifrelenir, Chacha20-Poly1305 kullanılarak çift şifrelenmeden önce hem şifreleme ve kimlik doğrulama etiketi üretir.
Dosya Yapısı Değişiklikleri
Karakulma sonrası dosyalar yalnızca şifrelenmiş verileri ve Chacha20-Poly1305 kimlik doğrulama etiketini korur; Kifirağın yanında hiçbir nonce veya anahtar türetme meta verileri saklanmaz. Bu ihmal, çevrimdışı şifre çözme işlemi yapılamaz hale getirir.
Şifrelemeyi tamamladıktan sonra, fidye yazılımı yürütme dizinindeki ReadMenow.txt adlı bir fidye notu oluşturur.
Bir masaüstü arka plan değişikliği ve not istemi, kurbanlara üç deneme içinde sabit kodlu bir şifre çözme anahtarı girmelerini söyler.
Her ne kadar şifre çözme mantığı mevcut olsa da, şifre çözme arızalarına başvuran nonce’yi yanlış bir şekilde – orijinal değeri almak veya uygulamak için uygun – işler.
Cybervolk’un kendinden geliştirilmiş fidye yazılımı, hiçbir zaman korunmayan rastgele üretilen nonses ile sağlam, çift katmanlı simetrik şifrelemeden yararlanır ve şifreleme metnini tasarımla geri alınamaz hale getirir.
Rus yanlısı yönelimi ve Rus karşıtı devletlerin seçici hedeflemesi, siber saldırılarının jeopolitik boyutunun altını çiziyor.
Kuruluşlar, kritik verilerin çevrimdışı, erişim kontrollü kopyalarını oluşturan katı yedekleme stratejilerini uygulamalı ve geri dönüşü olmayan veri kaybını azaltmak için düzenli olarak kurtarma tatbikatları uygulamalıdır.
Yedekleme sistemlerinin kendilerini güvence altına alan bütünsel bir yaklaşım, operasyonel sürekliliği korumak için hayati önem taşır.
4.1. V3
Ransomware/win.blacklock.c5764855 (2025.06.11.03).
Ransom/MDP.Behavior.M2649 (2022.09.06.00).
Ransom/MDP.Decoy.M1171 (2016.07.15.02).
4.2. EDR
Ransom/edr.decoy.m2716 (2025.08.07.00).
C04E70613FCF916E27BD653F38149F71.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.