Daha Önce Bilinmeyen Fidye Yazılımı Saldırısı Windows ve macOS

   Aralık 20, 2024  Posted in GBHackers


KilitBit DeğilKilitBit Değil

Yeni ve gelişmiş bir fidye yazılımı ailesi KilitBit Değilkötü şöhretli LockBit fidye yazılımının davranış ve taktiklerini yakından taklit ederek siber güvenlik ortamında önemli bir tehdit olarak ortaya çıktı.

NotLockBit, hem macOS hem de Windows işletim sistemlerine etkili bir şekilde saldırmak için tasarlanan ve güçlü platformlar arası yetenekler sergileyen ilk fidye yazılımı türlerinden biri olarak kendisini belirgin bir şekilde farklılaştırıyor.

NotLockBit’in Yeteneklerine Genel Bakış

Go programlama dilinde yazılmış bir x86_64 ikili dosyası olarak dağıtılan NotLockBit, aşağıdaki gibi gelişmiş özelliklerle donatılmış gelişmiş bir tasarım sergiler:

  • Hedefli Dosya Şifreleme: AES ve RSA gibi güçlü şifreleme protokollerini kullanarak değerli veya hassas verileri şifrelemeye odaklanır.
  • Veri Süzülmesi: Potansiyel çifte gasp taktikleri için çalınan dosyaları genellikle Amazon S3 klasörlerinden veya benzer bulut depolama alanlarından yararlanarak saldırganların kontrolündeki depolara aktarır.
  • Kendini Silme Mekanizmaları: Kurtarmanın neredeyse imkansız olmasını sağlamak için gölge kopyalar da dahil olmak üzere varlığının izlerini siler.

“Analizimiz, bu yeni türün hedefli dosya şifreleme, veri sızdırma ve kendi kendini silme mekanizmaları dahil olmak üzere gelişmiş yetenekler sergilediğini ortaya koyuyor.” CSN, ayrıntılı Qualys araştırmasından bilgi aldı.

KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin

NotLockBit’in İşlevselliğine İlişkin Teknik Bilgiler

NotLockBit, yürütüldükten sonra özellikle macOS sistemlerinde bir keşif aşamasıyla başlar.

NotLockbit Yürütme Zinciri

Şunu kullanır: go-sysinfo modülü donanım özellikleri, işletim sistemi ayrıntıları, ağ yapılandırması ve benzersiz tanımlayıcılar (UUID’ler) gibi ayrıntılı sistem bilgilerini toplamak için.

Fidye yazılımı üç adımlı karmaşık bir şifreleme işlemi kullanıyor:

  1. Bir PEM dosyasından katıştırılmış bir RSA ortak anahtarının kodunu çözer.
  2. RSA ayrıntıları kullanılarak güvenli bir şekilde şifrelenen rastgele bir ana şifreleme anahtarı oluşturur.
  3. gibi kritik sistem dizinlerini atlarken kullanıcı dosyalarını şifreler. /proc/, /sys/Ve /dev/.

Şifrelenmiş dosyalar orijinal konumlarına kaydedilir ancak benzersiz bir tanımlayıcıyla yeniden adlandırılır ve bir .abcd eklenti. Fidye yazılımı, özel anahtar olmadan şifre çözmeyi neredeyse imkansız hale getirmek için orijinal dosyaları siler.

NotLockBit aşağıdakiler dahil ancak bunlarla sınırlı olmamak üzere çeşitli dosya türlerine odaklanır:

  • Kişisel belgeler: .doc, .pdf, .txt
  • Profesyonel dosyalar: .csv, .xls, .ppt
  • Multimedya: .jpg, .png, .mpg
  • Sanal makine verileri: .vmdk, .vmsd, .vbox

Kapsamlı hedefleme, fidye yazılımının kullanıcı sistemlerinden maksimum değeri elde etme girişimini vurguluyor.

NotLockBit, şifrelemenin ötesine geçerek hassas dosyaları saldırganın kontrol ettiği depolama alanına (genellikle Amazon S3 klasörüne) aktarır.

Bu adım, çalınan verilerin fidye ödenmediği takdirde ifşa edilme veya satılma tehdidiyle karşı karşıya kaldığı çifte şantaj stratejisinin önünü açıyor.

Şifreleme tamamlandıktan sonra NotLockBit, kurbanın masaüstü duvar kağıdını değiştirerek yerine bir fidye notu koyuyor.

MacOS cihazlarda bu, aşağıdakiler kullanılarak gerçekleştirilir: osascript arka plan görüntüsünü değiştirmek için işletim sistemiyle programlı olarak etkileşime giren komut.

Fidye yazılımı, kendi kendini silme mekanizmasını çalıştırarak, ikili dosyasını ve yürütme izlerini kurbanın sisteminden kaldırarak saldırısını sonlandırır. Bu aynı zamanda kurtarma çabalarını daha da karmaşık hale getiren gölge kopyaların silinmesini de içerir.

NotLockBit, tespit edilmekten kaçınmak için çeşitli düzeylerde gizleme kullanır:

  • Bazı örnekler görünür işlev adlarını içerir.
  • Diğerleri ise gizlenmiş veya tamamen çıkarılmış ikili dosyalar kullanıyor, bu da tersine mühendislik ve tehdit analizini daha zorlu hale getiriyor.

İlginç bir şekilde araştırmacılar, veri sızdırma yeteneklerini göz ardı eden ve yalnızca şifrelemeye odaklanan değişkenler gözlemledi. Bu, özel saldırı stratejileri veya fidye yazılımının sürekli geliştirilmesi anlamına gelir.

Tespit ve Azaltma

Qualys EDR ve EPP güvenlik çözümleri NotLockBit’i indirildiği anda algılayabilir ve karantinaya alabilir.

Güvenlik profesyonellerinin, fidye yazılımının etkisini analiz etmek ve azaltmak için gelişmiş arama sorgularını kullanmaları teşvik edilmektedir. Buna rağmen kuruluşlar aşağıdakiler de dahil olmak üzere sağlam siber güvenlik önlemleri uygulamalıdır:

  1. Düzenli Yedeklemeler: Kritik verilerin çevrimdışı yedeklerini koruyun.
  2. Uç Nokta Koruması: Fidye yazılımı davranışını tespit edebilen gelişmiş tespit çözümlerini kullanın.
  3. Ağ Güvenliği: Güvenlik duvarlarını, izinsiz giriş tespit sistemlerini ve erişim kontrollerini kullanın.
  4. Kullanıcı Farkındalığı: Çalışanlarınızı kimlik avı, sosyal mühendislik ve diğer siber suç taktikleri konusunda eğitin.

NotLockBit’in ortaya çıkışı, özellikle de macOS ve Windows sistemleriyle ikili uyumluluğu, fidye yazılımı geliştirmede endişe verici bir eğilimin sinyalini veriyor.

LockBit gibi yerleşik fidye yazılımı ailelerini taklit etme yeteneği ve sızma taktiklerini kullanması, siber tehditlerin artan karmaşıklığını vurguluyor.

Bu fidye yazılımı ailesi, güvenlik araştırmacıları tarafından yakından takip edilmeyi ve kuruluşların potansiyel olarak yıkıcı sonuçlarını engellemek için güçlü savunmalar yapmasını gerektirir.

Fidye yazılımı önleme kontrol listesini okuyun. Her zaman olduğu gibi, gelişen fidye yazılımı ortamıyla mücadelede dikkatli olmak ve hazırlıklı olmak kritik öneme sahiptir.

ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin



Source link