Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Rust Tabanlı Fidye Yazılımı Agresif Tespit Önleme Taktikleri Kullanıyor
Prajeet Nair (@prajeetspeaks) •
25 Ekim 2024
Rusça konuşan bir fidye yazılımı grubunun operatörleri, siber savunucuları yenmek için günlükleri silmek, yedekleme sistemlerini bozmak ve içeriden birinin bilgisi olmadan şifre çözmeyi durdurmak da dahil olmak üzere gelişmiş önlemler içeren yeni bir şifreleyici başlattı.
Ayrıca bakınız: Copilot destekli Windows 11 Pro ile İş Başarınızı Hızlandırın
Güvenlik araştırmacıları, hizmet olarak Qilin fidye yazılımı çetesini ilk kez Temmuz 2022’de gözlemledi. Agenda olarak da bilinen bu çete, Temmuz ayında Birleşik Krallık Ulusal Sağlık Hizmetleri sağlayıcısı Synnovis’e yönelik bir saldırı gerçekleştirerek testleri ve operasyonları durduran bir olayla küresel bir fenomen haline geldi. Londra’daki hastanelerde (bkz: Synnovis ve NHS Saldırısının Arkasında Qilin RaaS Grubunun Olduğuna İnanılıyor).
Siber güvenlik firması Halcyon Perşembe günü yaptığı açıklamada, grubun Qilin.B adını verdiği yeni bir veri yükünü ortaya çıkardığını söyledi.
İyileştirmeleri arasında: daha hızlı şifreleme yöntemini desteklemeyen kurban makineler için eski Chacha20 şifresini korurken, daha yeni sistemler için daha hızlı bir blok şifreleme algoritması (AESNI yeteneklerine sahip AES-256-CTR) yer alıyor. Bilgisayar korsanları ayrıca şifreleme anahtarlarını OAEP dolgulu RSA-4096 ile koruyarak “özel anahtar veya yakalanan çekirdek değerleri olmadan dosya şifresinin çözülmesini imkansız hale getiriyor.”
Sayaç modunda AES-256-CTR, donanım desteğiyle yüksek hızlı şifrelemeye uygun, 256 bitlik bir anahtar kullanarak verileri 128 bitlik bloklar halinde şifreler. Chacha20, çeşitli cihazlarda yazılım performansı ve güvenlik için optimize edilmiş, verileri bayt bayt şifreleyen bir akış şifresidir.
Qilin.B’nin en güçlü özelliklerinden biri kaçınma yeteneğidir. Güçlü güvenliği ve tersine mühendisliğe karşı dayanıklılığıyla bilinen bir dil olan Rust’ta yazılan Qilin.B’nin analiz edilmesi ve izlenmesi oldukça zordur.
Fidye yazılımı dağıtımdan sonra temel güvenlik hizmetlerini sonlandırıyor, Windows Olay Günlüklerini temizliyor ve en sonunda kendisini hedef sistemden silerek minimum adli iz bırakıyor.
Qilin.B, yapılandırmasını yüklemeden ve kalıcılığı sağlamadan önce yönetici ayrıcalıklarını doğrulayarak, sanal makine ortamlarını tanımlayarak ve AESNI komut seti desteğini test ederek başlar. Başlangıçta otomatik olarak çalıştırılacak bir kayıt defteri girdisi aracılığıyla kendisini sistem içinde kurar ve yeniden başlatmanın ardından yeniden etkinleştirilmesini sağlar.
Qilin.B, özellikle Windows Birim Gölge Kopyası Hizmetini hedef alarak, kullanıcıların şifreleme sonrasında verileri kurtarmasını engelleyerek, kontrol altına alındıktan sonra yedekleme sistemlerini bozar. Şifreleyici, Sophos, Acronis ve Veeam gibi satıcıların sunduğu güvenlik, yedekleme ve sanallaştırma araçlarıyla yaygın olarak ilişkilendirilen hizmetleri hedefler ve devre dışı bırakır.
Şifrelenmiş dosyalar, bağlı kuruluşların kurbanları tanımlamak ve izlemek için kullandığı “şirket_kimliği” ile bağlantılı benzersiz bir uzantı görüntüler. Qilin.B, şifrelenmiş her dizinde “README-RECOVER-” başlıklı bir fidye notu bırakır.[company_id]Ödeme talimatlarını ve şifre çözme yardımı için Tor tabanlı bir siteye bağlantıları içeren .txt”.