Sürekli gelişen siber tehdit ortamında, selefi Babuk’un kötü şöhretli taktiklerini hatırlatan yeni bir fidye yazılımı türü olan Midnight ortaya çıktı.
İlk olarak Gen araştırmacıları tarafından tespit edilen Midnight, tanıdık fidye yazılımı mekaniklerini yeni şifreleme değişiklikleriyle birleştiriyor; bunlardan bazıları istemeden dosya kurtarmanın kapısını açıyor.
Bu, kurbanların fidye ödemeden verilerini geri almaları için nadir bir fırsatı temsil ediyor ve fidye yazılımı savunma yeteneklerinde önemli bir atılım anlamına geliyor.
Midnight, ilk olarak 2021’in başlarında ortaya çıkan ve agresif taktikleri ve gelişmiş teknik yönleriyle hızla itibar kazanan Babuk fidye yazılımı ailesinden ilham aldığına dair açık işaretler gösteriyor.
Babuk, sağlık, finans, hükümet ve diğer kritik altyapı sektörlerindeki büyük kuruluşları hedef alan bir Hizmet Olarak Fidye Yazılımı (RaaS) olarak çalışıyordu.
Fidye yazılımı, operasyonel hızı korurken hasarı en üst düzeye çıkarmak için aralıklı dosya şifrelemenin yanı sıra HC256 ve ECDH protokolleri aracılığıyla güçlü şifreleme kullandı.
2021’in ortalarında Babuk’un operatörleri beklenmedik bir şekilde kapandı ve Windows, ESXI ve NAS çeşitlerine yönelik geliştiriciler de dahil olmak üzere tüm kaynak kodlarını sızdırdı. Bu sızıntı, her biri Babuk’un orijinal tasarımını kendi özel hedeflerine uyacak şekilde değiştiren, ilham verici fidye yazılımı aileleri dalgasını ateşledi.
Kriptografik Zayıflıklar
Midnight, Babuk’un çekirdek yapısının çoğunu korurken, özellikle dosya şifreleme için kullanılan şifreleme şemasında olmak üzere çeşitli değişiklikler getiriyor.
Bu değişiklikler, muhtemelen fidye yazılımının etkinliğini artırmayı amaçlasa da, yanlışlıkla belirli koşullar altında dosya şifresinin çözülmesini mümkün kılan zayıflıkları ortaya çıkardı.
Fidye yazılımı genellikle şifrelenmiş dosyalara .Midnight veya .endpoint uzantısını ekler, ancak bazı yapılandırmalarda uzantı dizesini dosya adlarını değiştirmek yerine doğrudan dosya içeriğinin sonuna ekler.
Şifreleme uygulaması, dosya içeriğini şifrelemek için ChaCha’yı ve ChaCha20 anahtarını şifrelemek için RSA’yı kullanır.
RSA ile şifrelenmiş anahtar, SHA256 karma değeriyle birlikte, bilinen örnekler arasında tutarlı bir formatta her şifrelenmiş dosyanın sonuna eklenir.
Performansı artırmak için Midnight, Babuk’tan devralınan ancak hangi bölümlerin şifreleme gerektirdiğini belirlemek için daha ayrıntılı dosya boyutuna dayalı mantıkla geliştirilmiş bir teknik olan aralıklı şifrelemeyi kullanır. Bu yaklaşım, büyük dosyaların daha hızlı işlenmesini sağlarken onları kullanılamaz hale getirir.
Gece Yarısı Enfeksiyonlarını Tanımlamak
Güvenlik araştırmacıları Midnight enfeksiyonunun birkaç temel göstergesini belirlediler. Fidye yazılımı, birden fazla örneğin aynı anda çalışmasını önlemek için “Mutexisfunnylocal” adlı bir muteks oluşturur.
Etkilenen dizinlere “Files.txt Nasıl Geri Yüklenir” adlı bir fidye notu bırakılır. Bazı örnekler, yapılandırmaya bağlı olarak “Report.Midnight” veya “debug.endpoint” olarak tanımlanan hata ayıklama günlükleri oluşturur.
Önceki Midnight varyantları öncelikle veritabanları, yedeklemeler ve .mdf, .ndf, .bak, .dbf ve .sql gibi uzantılara sahip arşivler gibi yüksek değerli dosyaları hedef alıyordu.
Daha yeni varyantlar kapsamlarını genişletti; artık .exe, .dll ve .msi dosyaları gibi yürütülebilir dosyalar dışında neredeyse tüm dosya türlerini şifreliyor.
Fidye yazılımı, dosya içeriğine uzantı dizeleri ekleme, ağa bağlı birimlerin şifrelenmesini etkinleştirme ve belirli dizinleri hedefleme seçenekleri de dahil olmak üzere, davranışı kontrol etmek için çeşitli komut satırı argümanlarını kabul eder.
Güvenlik satıcıları Midnight’ın kriptografik kusurlarını gidermek için özel olarak tasarlanmış şifre çözme araçlarını piyasaya sürdü.
Bu şifre çözücüler, şifrelenmiş konumları belirlemek, dosya bütünlüğünü doğrulamak ve fidye ödemesine gerek kalmadan verileri geri yüklemek için sihirbaz tabanlı bir süreçte kullanıcılara rehberlik eder.
Kullanıcılara şifre çözücüleri yönetici ayrıcalıklarıyla çalıştırmaları ve geri yükleme işlemi sırasında yedekleme seçeneklerini etkinleştirmeleri önerilir; böylece şifre çözme işlemleri boyunca kritik güvenlik önlemlerinin yerinde kalması sağlanır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.