Geçen yıl, yeraltı fidye yazılımı çetesi, çeşitli endüstriler ve coğrafyalardaki kuruluşlar için zorlu bir tehdit olarak ortaya çıktı.
İlk olarak Temmuz 2023’te tanımlanan grup, Mayıs 2024’te yeniden ortaya çıktı ve yenilenmiş ve daha sofistike bir operasyonel aşamaya işaret etti.
Kampanyaları şimdi Birleşik Arap Emirlikleri’nden Güney Kore’ye yayılıyor ve şirketleri inşaat, üretim, BT ve ötesinde hedefliyor.
Mağdurlar, hem teknik hem de psikolojik baskıyı kullanan fidye talepleri ile şifreli kritik varlıkları ve tehdit altındaki veri sızıntılarını bildiriyor.
En son modus operandilerinde, yeraltı operatörleri her saldırıyı kurbanın ortamına titizlikle uyarlar.
İlk sızma genellikle uzak masaüstü hizmetlerinde çalınan kimlik bilgilerini veya açılmamış güvenlik açıklarından yararlanır.
İçeri girdikten sonra, vssadmin delete shadows /all /quiet Komuta, hızlı geri alma seçeneklerinin kurbanlarını sıyırma.
.webp)
ASEC analistleri, bu uygulamalı yaklaşımın rutin ortamları tamamen tehlikeye atılmış manzaralara dönüştürdüğünü ve olay tepkisini karmaşıklaştıran adli izler bıraktığını belirtti.
Keşiften sonra, fidye yazılımı AES simetrik şifreleme ve RSA asimetrik ambalajı birleştiren şifreleme rutinleri ile ilerler.
Her dosya benzersiz bir AES anahtarı ile şifrelenirken, anahtar malzeme ve başlatma vektörü (IV) dosyaya eklenmeden önce sabit kodlanmış bir RSA genel anahtarı ile kapatılır.
Şifreleme sırasında hiçbir harici C2 iletişimi gerçekleşmez, bu da tek başına yerel kanıtların şifre çözmeyi kolaylaştıramamasını sağlar.
.webp)
Dosyanın orijinal boyutunu, bayrak setlerini, sürümlerini ve sihirli değerlerini oluşturan şifreleme meta verileri, her dosyanın sonuna yapıştırılmış 0x18 baytlık bir blokta yapılandırılmıştır.
Enfeksiyon mekanizması derin dalış
Yeraltı enfeksiyon mekanizmasının çekirdeği çok aşamalı yük yürütmesinde yatmaktadır. Başlatıldıktan sonra ikili, komut satırı parametrelerini kontrol eder ve ikiden fazla argüman tespit edilirse derhal çıkar, bu da ilkel bir anti-analiz koruması.
Kötü amaçlı yazılım daha sonra birden fazla örneği önlemek için bir Mutex dizesi olan “8dc1f7b9d2f4ea58” bildirir.
Gelişmiş Sandbox kaçırma teknikleri kullanmadan, şifreleme öncesi rutinleri hızla yürütür: Gölge kopyalarını silme, uzak masaüstü bağlantılarını kısıtlamak için kayıt defteri anahtarlarını değiştirmek ve SQL hizmetlerini durdurma:———
reg add HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\ /v MaxDisconnectionTime /t REG_DWORD /d 1209600000 /f
net stop MSSQLSERVER /f /m
net stop SQLSERVERAGENT /f /m
net stop MSSQLFDLauncher /f /m.webp)
Sistem dizinlerini ve yürütülebilir uzantıları hariç tutarak – .exe– .dllVe .sys-Kötü amaçlı yazılım, işletim sisteminin sakatlanmasını önler ve yıkıcı gücünü kullanıcı tarafından oluşturulan içeriğe odaklar.
.webp)
Çevre hazırlandıktan sonra, BCrypt API üzerinden 0x30 bayt rastgele bir sayı üretilir, 0x20 bayt AES tuşuna ve 0x10 bayt IV’e ayrılır.
Dosyalar belleğe okunur, yerinde şifrelenir ve daha sonra RSA ile şifreli anahtar malzeme (0x200 bayt) ile eklenir.
Büyük dosyalar için, bir şeritleme yöntemi, şifreleme birimi boyutunu ve boşluk aralıklarını belirleyen, performansı ve dosya etkisini dengeleyen bayrak değerlerini kullanarak kafa, kuyruk ve periyodik segmentleri şifreler.
Son olarak, fidye yazılımı bir _eraser.bat Windows olay günlüklerini temizlemek için komut dosyası wevtutil.exeaktivitesinin izlerini silmek ve kök neden analizini engellemek.
Bu rafine taktikler sayesinde yeraltı, klasik ve gelişmiş yöntemlerin bir karışımından yararlanır, proaktif yama, bölümlü yedeklemeler ve gelişen tehdidine karşı savunmak için sağlam uç nokta izlemesinin önemini vurgular.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.