Siber güvenlik manzarası, Arcus Media fidye yazılımı son derece sofistike bir tehdit olarak ortaya çıktıkça artan zorluklarla karşı karşıya.
İlk olarak Mayıs 2024’te gözlemlenen bu fidye yazılımı (RAAS) operasyonu hızla gelişti, kritik süreçleri bozan, verileri şifreleyen ve kurtarma çabalarını engelleyen koordineli saldırılar gerçekleştirdi.
Endüstriler arasında 50’den fazla büyük saldırı talep edilen Arcus Media, siber suçlu grupların artan teknolojik becerisini göstermektedir.
İşlem sonlandırma
Arcus Media Fidyeware, ayrıcalık artışını elde etmek ve kilit iş operasyonlarını bozmak için gelişmiş teknikler kullanır.
Yürütme üzerine, kötü amaçlı yazılım, idari ayrıcalıkları kontrol eder. ShellExecuteExW API.
Ayrıcalıklar yetersizse, kendini yüksek izinlerle yeniden değerlendirir.
Kötü amaçlı yazılım ayrıca, bir kodlama hatası etkinliğini kısmen sınırlandırmasına rağmen, sistem yeniden başlatıldıktan sonra yeniden başlatılmasını sağlamak için Windows kayıt defterini değiştirerek kalıcılık mekanizmalarını uygular.
Kötü amaçlı yazılımın temel bir özelliği, SQL sunucuları, e-posta istemcileri (örn. Outlook ve Thunderbird) ve ofis araçları (örn. Word ve Excel) gibi iş açısından kritik uygulamaları sonlandırma yeteneğidir.
Bunu aracılığıyla yapıyor CreateToolhelp32Snapshot Ve TerminateProcess APIsçekirdek hizmetleri çalıştırılamaz hale getirme.
Bu aksamalar operasyonel hasarı arttırır ve iyileşme çabalarını karmaşıklaştırır.
Seçici şifreleme
Arcus Media kullanıyor ChaCha20 Şifreleme algoritması ile birlikte RSA-2048 Şifreleme anahtarlarını güvence altına almak için, saldırganın şifre çözme araçları olmadan dosyaların erişilememesi gerekir.
Fidye yazılımı, dosya boyutuna dayalı çift şifreleme stratejisi kullanır.
Daha küçük dosyalar tam şifrelemeye tabi tutulurken, daha büyük dosyalar (> 2 MIB) kısmen şifrelenir, bu da ilk ve son 1 içeriğini hedefler.
Şifreli dosyalar uzantı ile yeniden adlandırılır [Encrypted].Arcusve şifreleme meta verileri içeren sert kodlanmış bir altbilgi eklenmiştir.
Şifrelemeden önce, Arcus Media, güvenli dosya aktarım protokollerini kullanarak hassas verileri pespiltrat ederek çift uzatma taktikleri sağlar.
Mağdurlar, sadece dosyalara erişimi yeniden kazanmak için değil, aynı zamanda verilerinin kamuya açıklanmasını önlemek için fidye ödemeleri için baskı yapıyorlar.
Fidye yazılımı, kurtarma mekanizmalarını engellemek için kasıtlı adımlar atar.
Gölge kopyalarını siler, sistem kurtarmayı devre dışı bırakır ve güvenlik olay günlüklerini gibi komutlar aracılığıyla vssadmin delete shadows Ve wevtutil cl Security.
Bu önlemler, yedekleme tabanlı iyileşme de dahil olmak üzere geleneksel restorasyon tekniklerinin etkisiz olmasını sağlar.
Tabanını daha da güvence altına almak için Arcus Media güvenlik duvarlarını devre dışı bırakır ve sistem yapılandırmalarını değiştirir.
Halcyon raporuna göre, kendisini kopyalayarak kalıcılığa ulaşır. ProgramData dizin ve otomatik başlatma kayıt defteri anahtarları eklemeye çalışıyor.
Ancak, bir uygulama hatası kayıt defteri girişinin yanlış biçimlendirilmesine neden olur.
Mağdurlara fidye notları sunulur. Arcus-ReadMe.txtÖdeme geciktirilirse, Sunumlu Verilerin Kamu Kamuoyuna maruz kalmasını tehdit etmek.
Grup, anonimlik sağlayan Tor ve Tox Chat dahil şifreli platformlar aracılığıyla iletişim kurar.
Belirtilen zaman çizelgeleri içinde fidye talebinin çözülmemesi, kamu veri sızıntıları ve itibar zararı da dahil olmak üzere artan cezalarla sonuçlanır.
Arcus Media’nın operasyonel modeli, modern siber güvenlikte artan fidye yazılımı tehdidini göstermektedir.
Arcus Media, gelişmiş ayrıcalık artışını, seçici şifreleme yaklaşımlarını ve etkili iyileşme bozulmasını birleştirerek kuruluşlar için zorlu bir zorluğu temsil eder.
Çift genişlemeli taktiklere ve kalıcı operasyonel bozulmaya güvenmesi, proaktif savunma stratejilerine acil ihtiyacı vurgulamaktadır.
Siber güvenlik uzmanları, hassasiyetle yürütüldüğünde, fidye olmayan fidye yazılım tekniklerinin bile önemli bir tahribat yaratabileceğini vurgulamaktadır.
SOC/DFIR ekiplerinden misiniz? -kötü amaçlı yazılım dosyalarını ve bağlantılarını herhangi biriyle analiz edin. Run Sandox -> Ücretsiz dene