Daha önce bilinmeyen bir siber suç grubunun “Darkbit” adlı sofistike fidye yazılımı saldırısı, büyük bir kuruluşun VMware ESXI altyapısını hedefledi, kritik sanal makine dosyalarını şifreledi ve potansiyel devlet destekli siber savaşla ilgili endişeleri artırdı.
Ocak 2023’ün sonlarında jeopolitik gerginliklerin ardından meydana gelen olay, fidye yazılımı gruplarının hasarı ve kaldıraçları en üst düzeye çıkarmak için kurumsal sanallaştırma platformlarını nasıl hedeflediğini göstermektedir.
Saldırı Zaman Çizelgesi ve İlk Etki
Darkbit fidye yazılımı saldırısı, 28 Ocak 2023’ten kısa bir süre sonra, İsfahan’da bir mühimmat fabrikası ve Tabriz’deki bir petrol rafinerisinin drone grevleri tarafından hedeflendiği bildirildi.
Siber saldırının zamanlaması, saldırganların davranış kalıpları ile birleştiğinde, araştırmacıların geleneksel finansal olarak motive olmuş siber suçlardan ziyade potansiyel ulus devlet katılımından şüphelenmesine yol açtı.
Minimal merkezi kontrole sahip 30’dan fazla farklı departman işleten hedeflenen organizasyon, daha önce bilinmeyen Darkbit grubundan fidye notaları ile şifrelenmiş hem uç nokta makineleri hem de birden fazla ESXI sunucusu buldu.
Saldırganlar, sanallaştırma sunucularının genellikle en kritik iş verilerini ve uygulamalarını içerdiğini kabul ederek, özellikle VMware ESXI altyapısına odaklanarak sofistike hedefleme gösterdiler.
Fidye Yazılımının Teknik Analizi
Güvenlik araştırmacıları, birincil saldırı aracını VMware ESXI sunucularını hedeflemek için özel olarak tasarlanmış 1.5MB C ++ yürütülebilir dosyası olan “ESXI.Darkbit” olarak tanımladılar.
Kötü amaçlı yazılım, kripto ++ kriptografi kütüphanesini kullandı ve teknik olarak sağlam ancak nihayetinde kusurlu bir uygulamayı temsil eden anahtar koruma için RSA-128-CBC şifrelemesini kullandı.
Fidye yazılımı, önce ESXI komut satırı araçlarını kullanarak tüm sanal makineleri durdurarak, ardından dosyaları eşzamanlı olarak şifrelemek için birden fazla işlemi zorlayarak çalışır.
Özellikle sanal makine diski (VMDK) dosyalarını ve diğer kritik VMware dosya biçimlerini hedefler ve “.Darkbit” uzantısını şifrelenmiş dosyalara ekler.
Tüm dosyaları şifrelemek yerine, kötü amaçlı yazılım, işlem süresini azaltırken dosyaları kullanılamaz hale getiren yığın tabanlı bir yaklaşım kullanır.
Finansal kazançlara odaklanan tipik fidye yazılımı operasyonlarının aksine, Darkbit operatörleri birden fazla platformda kapsamlı bir etki kampanyası başlatırken, aynı zamanda mağdurlardan ve güvenlik araştırmacılarından gelen tüm iletişim girişimlerini görmezden geliyor.
Bu davranış modeli, potansiyel olarak casusluk veya sabotaj hedeflerini gösteren parasal gasp ötesinde motivasyonları şiddetle önerdi.
Araştırmaları sırasında, olay müdahale uzmanları fidye yazılımlarının rastgele sayı üretim sürecinde önemli uygulama kusurları keşfettiler.
Kötü amaçlı yazılımların tohum üretimi, işlem kimlikleri, zaman damgaları ve yığın adresleri gibi öngörülebilir değerlere dayanarak yaklaşık 2^39 olası değerlerin sonlu bir tuş alanı oluşturdu.
Bu keşif, özellikle etkilenen birçok sistemin adres uzay düzeni randomizasyonu (ASLR) etkinleştirildiği, ancak yine de anahtar üretiminde öngörülebilir bileşenler kullandığı göz önüne alındığında, kaba kuvvet şifre çözme saldırıları olasılığını açtı.
Bulgu, sofistike fidye yazılımı şifrelemesinin fidye ödemesinden ziyade kriptografik analizle potansiyel olarak yenilebileceği nadir bir fırsatı temsil ediyor.
Darkbit olayı, kurumsal sanallaştırma altyapısının artan tehdidi vurgulamaktadır ve jeopolitik gerilimlerin, çapraz ateşte yakalanan kritik iş altyapısıyla nasıl siber uzaya döküldüğünü göstermektedir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!