Dark Angels fidye yazılımı grubu, önemli fidye ödemeleri için öncelikle büyük şirketleri hedef alan “sofistike” ve “gizli” saldırı stratejileriyle tanınıyor.
Bu grup, 2024’ün başlarında bir ‘Fortune 50 şirketi’ tarafından ödenen rekor kıran “75 milyon dolarlık fidye” de dahil olmak üzere, yüksek hedefli saldırıları gerçekleştirmesiyle ün kazandı.
Zscaler araştırmacıları yakın zamanda “Dark Angels” fidye yazılımının Windows, Linux ve ESXi sistemlerine aktif olarak saldırdığını ortaya çıkardı.
Kara Melekler Fidye Yazılımı
“Dark Angels” fidye yazılımı grubu, Nisan 2022’de “Rusça konuşulan” bölgelerden ortaya çıktı ve gelişmiş metodolojileriyle siber saldırılarda devrim yarattı.
Üçüncü taraf “ilk erişim aracıları” olmadan çalışarak, halka açık uygulamalardaki “kimlik avı kampanyaları” ve “güvenlik açıklarından yararlanma” (‘CVE-2023-22069’) gibi gelişmiş taktikler kullanarak “hassas hedefli ihlaller” gerçekleştirirler.
Teknik cephanelikleri şunları sunar: –
- Babuk tabanlı fidye yazılımının değiştirilmiş versiyonları
- Windows sistemleri için RTM Locker
- Linux/ESXi ortamları için RagnarLocker çeşitleri
Bir ağa girdikten sonra, “kapsamlı keşif gerçekleştirirler”, “etki alanı yöneticisi erişimi elde etmek için ayrıcalıkları yükseltirler” ve “çok büyük miktarda hassas veriyi (1 ila 100 terabayt arasında değişen) sistematik olarak sızdırırlar”. ‘Tor ağı’ ve ‘Telegram kanalı’ (@leaksdirectory).
Analyse Any Suspicious Links Using ANY.RUN’s New Safe Browsing Tool: Try for Free
Çifte şantaj stratejileri, ‘ABD’, ‘Avrupa’ ve ‘Güney’deki ‘geleneksel dosya şifrelemeyi veri hırsızlığıyla’, ‘sağlık hizmetleri genelinde yüksek değerli işletmeleri hedefleme’, ‘teknoloji’, ‘imalat’ ve ‘telekomünikasyon sektörlerini’ birleştiriyor Amerika’ ve ‘Asya’.
Yaygın saldırılar gerçekleştiren geleneksel fidye yazılımı gruplarının aksine, “Karanlık Melekler” seçici hedefleme ve ele geçirilen ağlar içindeki gelişmiş yanal hareket teknikleri, RaaS modelleri aracılığıyla finansal kazançları en üst düzeye çıkarırken operasyonel “gizliliği” korumalarına olanak tanıdı.
Dark Angels’ın teknik gelişimi, temel “Babuk fidye yazılımı” kullanımından Windows sistemleri için “RTM Locker” ve Linux/ESXi ortamları için “RagnarLocker” gibi daha gelişmiş varyantlara doğru ilerlemeyi gösteriyor.
Windows’ta geleneksel “HC-128 şifrelemesini” “ChaCha20” ile değiştirdiler ve dosya başına benzersiz “32 baytlık özel anahtarlar” oluşturarak “Curve25519” kullanarak “ECC”yi uyguladılar.
Şifreleme işlemi, sabit kodlanmış bir genel anahtarla “Eliptik Eğri Diffie-Hellman” (‘ECDH’) anahtar değişimini içerir ve sonuçta “ChaCha20 şifreleme anahtarı” olarak hizmet veren paylaşılan bir sır ortaya çıkar.
“Linux” ve “ESXi” sistemleri için, anahtar türetme için özel bir bitcoin çekirdekli “libsecp256k1 kitaplığı” kullanarak “CBC” modunda “AES-256” ile birleştirilmiş “secp256k1” eliptik eğri kriptografisini kullanırlar.
Şifreleme stratejileri, “10 MB’ın altındaki dosyaların tamamen şifrelendiği”, daha büyük dosyaların ise yapılandırılabilir atlama aralıklarıyla seçici “1 MB blok şifrelemeye” tabi tutulduğu ve kapsamlı veri kümeleri için şifreleme sürecini optimize ettiği akıllı dosya boyutu tabanlı bir yaklaşımı içerir.
Grubun ayırt edici operasyonel metodolojisi, özellikle “yüksek değerli organizasyonları” hedef alan “bağlı kuruluşlar olmadan” bağımsız çalışmayı içerir.
Bunun yanı sıra Kara Melekler, “veri sızmasını” seçici şifrelemeyle birleştiren “stratejik bir yaklaşım” kullanıyor.
IoC’ler
Strategies to Protect Websites & APIs from Malware Attack => Free Webinar