Yaklaşan bir Avrupalı siber suç grubu FusionCore, güvenlik araştırmacıları tarafından tespit edilen yeni bir fidye yazılımı olan ‘SarinLocker’ı satarken bulundu.
Yeraltı forumlarında ve Telegram’da reklamı yapılan SarinLocker fidye yazılımı, kripto para biriminde ödeme talep eden bir fidye notu bırakır.
Bir Cyfirma raporuna göre, FusionCore’un bağlı kuruluş programının bir parçası olarak, fidye yazılımları ve bağlı kuruluş yazılımları saldırılar için diğer suçluların kullanımına sunuldu.
Daha ayrıntılı incelemelerde araştırmacılar, SarinLocker fidye yazılımının FusionCore’un önde gelen bir üyesi olan NecroSys tarafından satıldığını tespit etti.
SarinLocker fidye yazılımı
Yazılımın mevcut sürümü olan SarinLocker (v1.0), sistem verilerini şifrelemenin yanı sıra hedefin Telegram bilgilerini de sızdırıyor. Bir Cyware raporuna göre, SarinLocker Ransomware aylık 20$ ve ömür boyu 100$ olarak sunuluyor.
SarinLocker’ın güncellenmiş sürümü, önceki sürümde kaba kuvvet saldırısı kullanılarak parolanın tahmin edilmesine izin veren bir güvenlik açığı bulunduktan sonra geliştirilmiştir.
SarinLocker fidye yazılımı hakkında önemli bulgular
- SarinLocker fidye yazılımı, dosyaları 128 bitlik blok boyutuna sahip 256 bitlik bir anahtar boyutu kullanarak şifreler.
- NecroSys, Aralık 2022’de SarinLocker v2.0’ın oluşturulduğunu duyurdu. Bu sürümün daha uzun bir şifre çözme anahtarı gerektirdiği söyleniyor.
- SarinLocker, yer altı forum reklamında belirtilen görevleri yerine getirmekten aciz bulundu.
- Şifrelenmiş dosyalar ‘SARIN.XXX’ uzantısıyla yeniden adlandırılır.
- Kurbanlara bir fidye notu bırakmanın yanı sıra Telegram kanallarında bir fidye yazılımı mesajı da gönderilir.
SarinLocker fidye yazılımının teknik detayları
SarinLocker örneğini analiz ettikten sonra, GUI alt sistemine sahip 32 bitlik bir PE dosyası olduğu bulundu. İkili dosya .NET’te yazılmıştır ve 7 Mart 2023 civarında derlenmiştir.
SarinLocker fidye yazılımı tarafından sağlanan akış şu şekildedir:
- Bulunan SHA1 Dosya Karması şuydu: 856707241a7624681d6a46b2fa279bd56aa6438a
- MD5 Dosya Karması, 4cdd313daa831401382beac13bea4f00 idi
- SarinLocker yürütmesinin başlangıç yolunu alır ve özniteliklerini dosya gezgininde görünmeyecek şekilde gizli olarak ayarlar.
- arama Şifrelemeyi Başlat modül, kullanıcı dizinindeki dosyaları ve cihazdaki sürücüleri şifreler.
- Kullanıcı adı da dahil olmak üzere kullanıcı verilerini çalar ve kullanıcının dizininde bir yol oluşturur.
- aradıktan sonra Dizini Şifrele SarinLocker fidye yazılımı, sürücüleri kontrol ettikten sonra kullanıcının tüm dizin dosyalarını şifreler. Ayrıca şifreleme için her bir alt dizini kontrol eder.
- SarinLocker fidye yazılımı, şifrelemek üzere programlandığı dosyaların uzantılarını kontrol eder ve yalnızca bu dosyalara saldırır. Uzantılardan bazıları –
- .txt
- .dotx
- .docm
- .bat
- .jpeg
- .zip
- .vbs
- .ico
- .png
- .mp4
SarinLocker fidye yazılımının arkasındaki siber suçlu grup
FusionCore, genişletilmiş kiralık bilgisayar korsanı hizmetleriyle bir Hizmet Olarak Kötü Amaçlı Yazılım grubu olarak işlev görür.
Kötü amaçlı yazılım araç setlerini geliştirmek için genellikle açık kaynaklı araçlar kullanırken bulundular. Grubun, AntraXXXLocker programının bir parçası olarak daha fazla üye eklemesi bekleniyor.