Dolandırıcılık Yönetimi ve Siber Suç, Fidye Yazılımı
Araştırmacılar, Polis Kendi Şifre Çözücüsünü Kamuoyuna Duyurmadan Önce DoNex Şifre Çözücüsünü Gizlice Dağıttılar
Mathew J. Schwartz (euroinfosec) •
8 Temmuz 2024
Kurbanların dosyalarını ücretsiz olarak şifresini çözmelerine yardımcı olan fidye yazılımlarındaki bilinen bir güvenlik açığını ele almak için en iyi strateji nedir?
Ayrıca bakınız: Proaktif Kimlik Yönetimi ile Küresel Güvenlik Düzenlemelerinde Yol Alma
Güvenlik araştırmacıları ve kolluk kuvvetlerinin iki seçeneği vardır: gizlilik veya erişim. Gizlilik, güvenlik açığının ömrünü ve güvenlik ekiplerinin onu istismar etme yeteneğini uzatır. Erişim, daha fazla insanın bundan haberdar olmasını sağlar, ancak yalnızca var olduğu sürece.
Bu, DoNex fidye yazılımı için varsayımsal bir senaryo değildi. Hollanda Ulusal Polisi, Haziran ayı sonunda ücretsiz bir şifre çözücü yayınladı; belki de bir güvenlik firmasının iki ay önce kendi şifre çözücüsünü özel olarak dağıtmaya başladığından habersizdi.
“Bir DoNex örneğinin tersine mühendisliği, basit bir koşul altında kurbanlar için şifrelenmiş her dosyayı şifresini çözmemize olanak tanıyan bir güvenlik açığını ortaya çıkardı,” dedi Hollanda Ulusal Polisi için siber tehdit analisti ve kötü amaçlı yazılım tersine mühendisi olarak çalışan Gijs Rijnders. 30 Haziran’da Montreal’de düzenlenen yıllık Recon 2024 konferansında “Kriptografi Zordur: DoNex Fidye Yazılımını Kırmak” başlıklı bir sunumda güvenlik açığını kamuoyuna açıkladı.
Rijnders’in sunumunda, DoNex ile şifrelenmiş dosyaların şifresinin çözülmesinin, geliştiricisinin aralıklı – kısmi – şifreleme kullanması nedeniyle bazı pürüzleri olduğu ayrıntılı olarak anlatıldı. Bu, kötü amaçlı yazılımın dosyaları daha hızlı şifrelemesine olanak tanıyor ve böylece müdahale ekiplerinin saldırıyı engellemek için sahip olduğu süre azalıyor (bkz: Strike Force: Fidye Yazılımı Grupları Neden Hıza İhtiyaç Duyuyor?).
DoNex durumunda, kötü amaçlı kod yalnızca 1 megabayttan küçük olan karşılaştığı tüm dosyaları tamamen şifreler. Aksi takdirde, 10 MB’tan küçük herhangi bir dosyanın ilk 1 MB’ını şifrelemek üzere tasarlanmıştır; 100 MB’a kadar olan daha büyük dosyalar için beş farklı 1 MB bloğu; ve 100 MB’tan büyük dosyalar için her biri 1 MB olan 100 blok.
Kurbanlar, hizmetin tanımlamak üzere tasarlandığı kripto kilitli dosyalarının bir örneğini yükledikten sonra, kamuya açık/özel No More Ransom portalı üzerinden DoNexDecrypt şifre çözücüye erişebilirler. Rijnders, ücretsiz şifre çözücü sayesinde kurbanların “siber suçlularla pazarlık yapmaya gerek kalmadan DoNex’ten etkilenen dosyaları şifresini çözebileceklerini” söyledi.
Pazartesi günü, güvenlik firması Avast, DoNex için kendi şifre çözücüsünü kamuoyuna duyurdu. Avast, Pazartesi günü şifre çözücüsüne bağlantı veren bir blog yazısında, “Yasa uygulama kuruluşlarıyla iş birliği yaparak, Mart ayından bu yana DoNex fidye yazılımı mağdurlarına sessizce şifre çözücü sağlıyoruz,” dedi. “Kriptografik zayıflık Recon 2024’te kamuoyuna açıklandı ve bu nedenle bunu artık gizli tutmamız için hiçbir nedenimiz yok.”
Avast’ın kötü amaçlı yazılım araştırma direktörü Jakub Kroustek, sosyal platform X’e yaptığı bir paylaşımda, “#Fidye yazılımı şifreleme hataları hakkında ayrıntıları kamuoyuyla paylaşmayı tercih etmiyorum, ancak bu zaten yayınlandığı için #DoNex şifre çözme aracımızı kamuoyuyla paylaşıyoruz” dedi.
Bu, bir grubun ücretsiz bir şifre çözücü yayınlamasının ilk örneği değil; daha önce araştırmacılar ve kolluk kuvvetleri tarafından gizlice dağıtılan bir şifre çözücü vardı.
Şubat ayında araştırmacılar Rhysida fidye yazılımının Windows sürümündeki bir güvenlik açığını ayrıntılı olarak açıkladılar ve ücretsiz bir şifre çözücü yayınladılar. “İşte bir tane daha gitti,” dedi o zamanlar Emsisoft’ta fidye yazılımı araştırma başkanı Fabian Wosar sosyal platform X aracılığıyla.
Güvenlik açığının “en az üç başka tarafça bağımsız olarak bulunduğunu ve Rhysida’yı sorunları hakkında uyarmak ve yayınlamak yerine bunu özel olarak yaymayı tercih ettiklerini” söyledi. Bu taraflar arasında güvenlik açığını Ekim 2023’te keşfeden Avast; Haziran 2023’te Fransa’nın Bilgisayar Acil Durum Müdahale Ekibi; ve Mayıs 2023’te Wosar yer aldı.
Wosar, gizli şifre çözücüyü “yüzlerce sistemi” kurtarmak için kullandığını söyledi.
Hangi yaklaşımın -gizlilik veya erişim- daha iyi olduğu belli değil. Gizli yaklaşımda, araştırmacılar bir geçici çözüm keşfeder veya bir şifre çözme aracı oluşturur ve bunu diğer güvenlik araştırmacıları, fidye yazılımı müdahale şirketleri ve kolluk kuvvetlerinin oluşturduğu güvenilir bir çevre içinde dağıtır, böylece bilinen kurbanlara gizlice yardım edebilir ve fidye yazılımı grubuna haber vermezler. Avantajı, fidye yazılımı grubunun kripto kilitleme kötü amaçlı yazılımının bir kusuru olduğunu öğrenmesini geciktirmesidir, çünkü dolandırıcılar bunu anladığında, güncellenmiş kötü amaçlı yazılımların da takip edeceği kesindir. Sonuçta suçlular para kazanmak için fidye yazılımı kullanıyorlar.
Dezavantajı, tüm kurbanların “hapisten ücretsiz çıkma” kartına erişebileceklerinin farkında olmayabileceğidir. Güvenlik araştırmacılarının tüm fidye yazılımı kurbanlarına, kendilerine isabet eden şey için herhangi bir geçici çözüm olup olmadığını görmek için saygın bir fidye yazılımıyla mücadele firmasıyla iletişime geçmelerini önermelerinin bir nedeni budur. Bu tür firmalar ayrıca fidye ödemesini değerlendiren kuruluşlara tavsiyelerde bulunabilir ve kaç tane dosyalarını kurtarabilecekleri konusunda bilgi paylaşabilir ve saldırganların fidye fiyatını düşürmelerine yardımcı olabilir.
Erişim stratejisinin destekçileri temel bir şablonu takip eder: Güvenlik araştırmacıları veya kolluk kuvvetleri basitçe bir şifre çözücüyü kamuya açıklar. Bu stratejinin olumlu tarafı, şifre çözücünün herhangi bir kurban için, diğer kuruluşları dahil etmek istemeseler bile, kolayca bulunup erişilebilmesidir. Olumsuz tarafı, dolandırıcıların bir kusur olduğu konusunda uyarılması ve genellikle gelecekteki kurbanların zararına olacak şekilde bunu hemen düzeltmeleridir.
Çözülemeyen felsefi bilmecelerle uğraşan herkes için ne mutlu ki, bu özel vaka çalışmasındaki cevap önemli olmayabilir. Avast Pazartesi günü “Nisan 2024’ten beri DoNex evrimini durdurmuş gibi görünüyor, çünkü o zamandan beri yeni bir örnek tespit etmedik,” dedi. “Ek olarak, fidye yazılımının Tor sitesi o noktadan beri kapalı.”
Araştırmacılar, DoNex’in Nisan 2022’de ortaya çıkan Muse adlı bir fidye yazılımı türünün en son sürümü olduğunu söylüyor. Araştırmacıların, Eylül 2022’de bu fidye yazılımı grubunun bir geliştiricisi tarafından sızdırılan LockBit kaynak kodunu kullandığını söylediği DarkRace de dahil olmak üzere birden fazla evrim geçirdi.
DarkRace, 2023’ün ortalarında ortaya çıktı ve siber güvenlik firması Cyble’ın Haziran 2023’te bildirdiğine göre, çalınan dosyaları fidye için tutmanın yanı sıra bir şifre çözme aracı için fidye talep ederek çift taraflı gasp uyguladı. O zamana kadar, DarkRace’in veri sızıntısı sitesinin yalnızca iki kurbanı listeledikten sonra kapandığını söyledi.
SANS Enstitüsü’nde stajyer olan John Moutos, Nisan ayındaki blog yazısında, bu yılın başlarında DoNex adlı bir grubun “daha önce DarkRace grubu ve LockBit tarafından kullanılanlara çok benzeyen örnekleri kullanarak” bu mücadeleye katıldığını söyledi.
DoNex tarafından şifrelenen dosyalar bir .VictimID Symantec, dosya adlarının sonuna bir uzantı eklendiğini söyledi.
Araştırmacılar DoNex saldırılarını ilk olarak Mart ayının başlarında tespit ettiler. “Örneklerin dosya oluşturma zamanı Şubat ortası, bu nedenle fidye yazılımı ilk raporun tarihinden önce dağıtılmış olabilir,” diye bildirdi Fortinet Nisan ayında. Grubun veri sızıntısı sitesine eklenen en erken kurbanların da Şubat ayından kalma olduğu görülüyor.
Veri sızıntısı blogları hiçbir zaman hikayenin tamamını anlatmaz, çünkü gruplar yalnızca ödeme yapmayan mağdurları listeler ve hatta daha güçlü görünmek için sahte mağdurlar bile oluşturabilirler (bkz: Fidye Yazılımı Gruplarının Veri Sızıntısı Blogları Yalan Söylüyor: Onlara Güvenmeyi Bırakın).
Muse, DarkRace veya DoNex’in arkasında aynı geliştirici veya operatörlerin olup olmadığı net değil. Operasyonlarını yeniden adlandırıp yeniden başlatıp başlatmadıkları, yama uygulanmış kötü amaçlı yazılımlar kullanıp kullanmadıkları ise açık bir soru olarak kalıyor.