Şimdiye kadarki en hızlı fidye yazılımı şifreleme ikili sistemi, kötü şöhretli LockBit 3.0 kötü amaçlı yazılımının neredeyse iki katı hızda sistemleri kilitleyen vahşi doğada tespit edildi.
Check Point Research (CPR) tarafından yapılan hız testlerine göre, olay yerine gelen “Rorschach” adlı yeni kötü adam, 220.000 yerel sürücü dosyasını yalnızca dört buçuk dakikada şifreleyebilir. Karşılaştırma için LockBit 3.0, görevi yedi dakikada tamamladı ve geçen yıl testlerde belirlenen ortalama şifreleme süresinden çok çok daha hızlı.
4 Nisan’da yayınlanan CPR araştırmasına göre “Daha da dikkat çekici olan şey, Rorschach fidye yazılımının son derece özelleştirilebilir olmasıdır. Komut satırı argümanı aracılığıyla şifreleme iş parçacığının sayısını ayarlayarak, daha da hızlı süreler elde edebilir.”
En İyi Fidye Yazılımı Tekniklerinin Yama Çalışması
İlgili etkinliğinin yanı sıra Rorschach, diğer fidye yazılımı türlerinden sızan kaynak kodundan toplanmış, herkes tarafından bilinen öğeleri içerdiği için dikkate değerdir. Ve ilginç bir şekilde, Rorschach’ın arkasındaki operatörler bir takma ad kullanmazlar ve mallarını markalamazlar – itibarın önemli olduğu ve kendini tanıtmanın yaygın olduğu fidye yazılımı çetelerinde görülmesi çok nadirdir.
Sonuç, operatörlerinin kim olduğu ve ekosistemde nereye uyduğu – dolayısıyla adı – açısından yoruma açık bir kötü amaçlı yazılım türüdür.
“Psikolojik bir Rorschach testinin herkese farklı görünmesi gibi, bu yeni fidye yazılımı türü de farklı fidye yazılımı ailelerinden alınan yüksek düzeyde teknik olarak farklı özelliklere sahiptir; kalp masajı
Kötü amaçlı yazılımda bulunan Frankenstein yönleri şunları içerir:
- Bir etki alanı grubu ilkesi (LockBit 2.0) oluşturmak gibi fidye yazılımı türlerinde genellikle manuel olan görevleri kendi kendine gerçekleştirme;
- Şifreleme hızının (Babuk) temeli olan bir hibrit kriptografi şeması;
- Önceki fidye yazılımlarından (DarkSide ve Yanluowang) büyük ölçüde ödünç alınan fidye notları;
- Rorschach’ın yapılandırmasında (Babuk) durdurulacak hizmetlerin listesi;
- Kötü amaçlı yazılımı durdurmak için kullanılan dillerin listesi (LockBit 2.0);
- Ve iş parçacığının G/Ç Tamamlama Bağlantı Noktaları yöntemi (LockBit 2.0).
Rorschach’ın Eşsiz Kodlama Öğeleri
Ancak, ödünç alan Rorschach, işlemlere kendi özel sosunu da ekler. Örneğin, CPR, ABD’de DLL yandan yükleme ve Palo Alto Networks’ün (PAN) Cortex XDR Dump Service Tool’un eski bir sürümü kullanılarak konuşlandırıldığını tespit etti – PAN’ın doğruladığı bir şey.
CPR’nin araştırmasına paralel olarak yayınlanan bir danışma belgesine göre “Palo Alto Networks, Cortex XDR 7.7 ve daha yeni sürümlerin, içerik güncelleme sürümü 240 ve sonraki içerik güncellemelerinin fidye yazılımını algılayıp engellediğini doğruladı.”
Ayrıca, fidye yazılımı ekosisteminde teknik son derece nadir olduğundan, CPR araştırmacılarının “şaşırtıcı” olarak adlandırdığı kötü amaçlı kodları diğer işlemlere sessizce enjekte etmek için doğrudan sistem çağrılarını kullanır.
Shykevich, “Bu teknik, gelişmiş ve karmaşık kötü amaçlı yazılımlar tarafından davranış tespitinden kaçınmak için yaygın olarak kullanılır ve fidye yazılımlarında yaygın olarak gözlemlenmez” diye açıklıyor. “Bu tür mekanizmaların uygulanması, fidye yazılımının tespit edilmesini çok daha zor hale getiriyor.”
Ayrıca dikkate değer: Kısmen özerktir, yani kullanıcı etkileşimi olmadan bir ortamda yolunu bulabilir.
Analize göre “Bir Etki Alanı Denetleyicisinde (DC) çalıştırıldığında otomatik olarak yayılırken, etkilenen makinelerin olay günlüklerini temizler.” “Ayrıca, yalnızca yerleşik bir yapılandırmaya dayalı olarak değil, aynı zamanda operatörün ihtiyaçlarına göre davranışını değiştirmesine izin veren çok sayıda isteğe bağlı argümana dayalı olarak çalışan son derece esnek.”
CPR araştırmacılarına göre, Rorschach “fidye saldırıları için çıtayı yükseltiyor”.
Shykevich, “Bu şimdiye kadar gördüğümüz en hızlı ve en gelişmiş fidye yazılımlarından biri” diyor. “Siber saldırıların hızla değişen doğasına ve şirketlerin Rorschach’ın verilerini şifrelemesini engelleyebilecek, önleme odaklı bir çözüm kullanma ihtiyacına değiniyor.”