Güvenlik araştırmacıları, Windows kullanıcılarını telgraf kanalları ve karanlık web forumları aracılığıyla aktif olarak hedefleyen BQTlock adlı yeni bir fidye yazılımı (RAAS) suşu ortaya çıkardılar. Temmuz ortasından bu yana, hizmetin bağlı kuruluşları, çok çeşitli dosya türlerini şifreleyen, özel bir “.bqtlock” uzantısı ekleyen ve kurtarmayı önlemek için sistem yedeklemelerini silen kötü amaçlı bir yürütülebilir ürün içeren bir fermuarlı arşiv dağıtıyor.
BQTlock, tespitten kaçınmak için birden fazla anti-analiz önlemi içerir. Kötü amaçlı yazılım, IsdebuggerPresent ve CheckRemotEDEBUGGERPRESENT aracılığıyla String Obfuscation, Hata Ayıklayıcı Kontrolleri ve Sanal Makine Kaçma için Saplar kullanır.
Yürütüldükten sonra, Dosya Update.exe, Windows sistem dizinlerini hariç tutan dosya sistemi üzerinden yinelenir ve Dosya içeriği için AES-256’yı kullanarak 50 MB altındaki dosyaları ve AES tuşunu ve başlatma vektörünü korumak için RSA-4096’yı şifreler.
Mağdurlar, Monero’da 48 saat içinde ödeme talep eden bir fidye notu alır, ücretin ikiye katlanması tehdidi altında ve kontak yapılmazsa şifre çözme anahtarlarını kalıcı olarak silerler.
Şifreli dosyalar “.bqtlock” uzantısı ile yeniden adlandırılır ve her dizinde bir fidye notu bırakılır.
Not, kurbanlara 13 ila 40 XMR (yaklaşık 3.600 ila 10.000 $) ödemek için 48 saat içinde Telegram veya X (eski adıyla Twitter) aracılığıyla saldırganlarla iletişime geçmelerini söyler. Yanıtlanamaması iki katına çıkma ile sonuçlanır ve yedi gün sonra saldırganlar şifre çözme anahtarlarını siler ve çalınan verileri yayınlamakla tehdit eder.
BQTlock Fidye Yazılımı
İnfaz üzerine BQTlock bir dizi keşif ve ayrıcalık yükseltme adımları gerçekleştirir. Icanhazip.com aracılığıyla ana bilgisayar adı, kullanıcı adı, donanım kimliği ve genel IP adresi de dahil olmak üzere sistem bilgilerini toplar ve bu verileri bir Discord Webhook aracılığıyla dışarı atar.
Kötü amaçlı yazılım, kullanıcı etkileşimi olmadan yüksek ayrıcalıklar kazanmak için CMSTP, Fodhelper.exe ve eventvwr.exe kullanarak SedeBugPrivilege’yi etkinleştirmeye çalışır ve UAC bypass tekniklerini kullanır.
“BQTlockAdmin” adlı yeni bir yerel yönetici hesabı oluşturur ve Stealth’i korumak için kodunu explorer.exe’ye enjekte eder.
BQTlock ayrıca CreateToolhelp32SnapShot kullanarak ve hedeflenen süreçleri zorla sonlandıran çalışma süreçlerini numaralandırarak antivirüs ve yedekleme hizmetlerini sonlandırır.
Uzun vadeli kalıcılığı sağlamak için, Microsoft \ Windows \ Bakım \ SystemHealthCheck altında planlanmış bir görev kaydeder, özel bir duvar kağıdı ayarlar ve HKEY_Classes_Root altındaki kayıt defteri anahtarlarını güncelleyerek dosya simgelerini değiştirir.
RAAS abonelik seçenekleri
BQTlock RAAS, yapılandırılabilir fidye notları, duvar kağıdı görüntüsü, simge, dosya uzantıları ve isteğe bağlı anti-analiz özellikleri ile üç abonelik katmanı (başlangıç, profesyonel ve işletme) sunar.
İştirakler, sadece fidye yazılımı oluşturucu arayüzündeki ayarları ayarlayarak, kodlama deneyimi olmadan yükleri uyarlayabilir.
Ağustos ayında yayınlanan bir sürüm 4 oluşturucu, OutputDebugString ve GettickCount, Gelişmiş Kod Gizli, UAC baypas yöntemleri ve Chrome, Firefox, Edge, Opera ve Cesur’dan depolanmış şifreleri hedefleyen kimlik bilgisi çalma modüllerini kullanarak yeni anti-Debug kontrolleri ekledi.
Bu varyant, donanım detaylarını hasat etmek için WMI sorgularını kötüye kullanır, kendi kendini aşınma için bir toplu komut dosyası bırakır, olay günlüklerini temizler ve lateral hareket için % geçici % dizin
Grubun arkasındaki lider olan Zerodayx, BQTlock’un antivirüs satıcıları tarafından tamamen tespit edilemediğini iddia ediyor. Bununla birlikte, analiz, bozuk bir ISO örneği ve Virustotal üzerine sınırlı gönderimleri ortaya çıkardı, bu da bu iddiaların yanıltıcı olduğunu düşündürmektedir.
Recon sonrası, fidye yazılımı, NetUSeradd API üzerinden “Password123!” Parolasıyla yeni bir yerel kullanıcı “BQTlockAdmin” oluşturarak kalıcı idari erişim sağlamaya çalışır.
Orijinal Telegram kanallarındaki bir bloğa rağmen, operatörler yeni bir kanal altında yeniden açıldı ve hatta yeni bağlı kuruluşları ikna etmek için üç gün boyunca ücretsiz erişim sundu. Ayrıca çalınan verileri aramak için ücretli bir platform olan “Baqiyat.osint” i başlattılar.
Fidye yazılımı saldırıları ile kuruluşlar ve bireyler güncel antivirüs savunmalarını sürdürmeli, açıkça çevrimdışı veya değişmez olan sağlam yedekleme stratejileri kullanmalı ve şüpheli planlanan görevler ve yeni idari hesaplar için monitör olmalıdır.
K7 Total Güvenlik gibi çözümler, BQTLOCK gibi ortaya çıkan tehditlere karşı ek bir koruma katmanı sağlayabilir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.