Bir tehdit aktörü, korsan forumlarında kullanımı ücretsiz ‘Kurtarıcı’ fidye yazılımı oluşturucularının yeni bir sürümünü tanıtıyor ve vasıfsız tehdit aktörlerine şifreleme destekli gasp saldırıları dünyasına kolay bir giriş sunuyor.
Yazarına göre, yeni sürüm 2.0 sürümü tamamen C++ ile yazılmıştır ve Windows Vista, 7, 8, 10 ve 11’de çalışır, çoklu iş parçacıklı performans ve orta AV algılama oranı sunar.
Birçok Hizmet Olarak Fidye Yazılımı (RaaS) işleminin aksine, herkes kendi saldırılarını başlatmak için Redeemer fidye yazılımı oluşturucusunu indirebilir ve kullanabilir. Ancak, bir kurban fidyeyi ödemeye karar verdiğinde, yazar ücretlerin %20’sini alır ve ana anahtarı, bağlı kuruluş tarafından şifre çözme için tutulan özel yapım anahtarıyla birleştirilecek şekilde paylaşır.
Ayrıca, yeni sürüm, bağlı kuruluşun fidye yazılımı yürütülebilir ve şifre çözme aracını oluşturması için yeni bir grafik kullanıcı arabirimi sunarken, nasıl kullanılacağına ilişkin tüm talimatlar ZIP’de yer almaktadır.
Yazar, ilgilerini kaybederlerse projenin açık kaynağa gideceğini söylüyor; bu, Haziran 2021’de, tehdit aktörünün kaynak kodunu kamuya açık bir şekilde yayınladığı Redeemer 1.0’da tam olarak böyleydi.
Kurtarıcı 2.0 ayrıntıları
Yeni fidye yazılımı oluşturucu sürümü, Windows 11 desteği, GUI araçları ve XMPP ve Tox Chat gibi daha fazla iletişim seçeneği gibi çeşitli eklemeler içeriyor.
Ayrıca, artık verileri yürütülebilir dosyaya ekleyen ve tehdit aktörlerinin yürütebilecekleri çeşitli kampanyaları izlemelerine olanak tanıyan bir kampanya kimliği izleme sistemi var.
Fidye miktarı yürütülebilir dosyanın oluşturulması sırasında belirlendiğinden ve belirli bir kimliğe karşılık geldiğinden, bağlı kuruluş yazara keyfi taleplerde bulunamaz, bu nedenle yazarın %20’lik kesintisi garanti edilir.
Kaynak: BleepingComputer
Yazar, bağlı kuruluşların kiti edinmeleri, iletişim kurmaları, talimatlara erişmeleri ve destek almaları için dark web sitesi Dread’de bir sayfa oluşturmuştur.
Site: BleepingComputer
Yeni sürümü analiz eden Cyble araştırmacıları, fidye yazılımının, kurbanın sisteminde birden fazla çalışan örneğini önlemek için başlatma sırasında bir muteks oluşturduğunu ve yönetici ayrıcalıklarıyla kendisini yürütmek için Windows API’lerini kötüye kullandığını bildiriyor.
Şifrelemeden önce, kötü amaçlı yazılım, olay günlüklerini temizlemek ve gölge kopyaları ve tüm sistem durumu yedeklemelerini silmek için Windows komutlarını kötüye kullanarak kolay/ücretsiz geri yüklemeyi engeller.
Ardından, şifreleme sürecini tehlikeye atmamak ve tüm hedef dosyaları ve verileri şifrelenebilir hale getirmek için serbest bırakmak için aşağıda gösterilen işlemler sonlandırılır.
Bundan sonra, fidye yazılımı, Windows’un şifrelenmiş dosya uzantısı (kullanmak) için kullanması için özel bir simge bırakır, fidye notlarını oluşturur ve tüm dosya ve dizinleri numaralandırır.
.png)
Bleeping Computer, fidye yazılımını bağımsız olarak test etti ve tüm dosyaları şifreledikten sonra silmediğini, bu nedenle çalışması artık güvenilmez görünüyor.
Kurban, şifrelenmiş kopyalardan birini açmaya çalışırken, ne yapması gerektiğiyle ilgili talimatlar için fidye notunu açmasına işaret eden bir mesaj alır.
Fidye yazılımı ayrıca, sistem yeniden başlatıldığında ne olduğu konusunda kullanıcıyı uyarmak için Winlogon kayıt defteri anahtarına bir fidye notu ekler.
Endişelenmeli misin?
Redeemer gibi projelerdeki sorun, düşük vasıflı tehdit aktörleri de dahil olmak üzere birçok siber suçlu için fidye yazılımı alanına önemli ölçüde daha düşük bir giriş çubuğu sunmalarıdır.
Bu düşük seviyeli bilgisayar korsanları genellikle değerli kurumsal ağlarda ilk erişim noktalarını bulma becerilerinden yoksun olsalar da, sağlık ve küçük işletmeler gibi hayati ancak yetersiz korunan birçok kuruluşa ciddi zararlar verebilirler.
Bununla birlikte, bu yeni fidye yazılımının benimsenmesi çok yüksek görünmüyor, ancak proje başarısız olsa bile, kaynak kodunu serbest bırakma vaadi, Kurtarıcı kaynak koduna dayalı yeni projelerin kasvetli beklentisini yaratıyor.