Güvenlik araştırmacıları ve siber güvenlik uzmanları, yakın zamanda kötü şöhretli Hellokitty fidye yazılımlarının yeni varyantlarını ortaya çıkardılar ve Windows, Linux ve ESXI ortamlarını hedefleyen saldırılarla yeniden canlandırıldığını gösterdi.
Başlangıçta Ekim 2020’de bir Deathransom çatalı olarak görünen Hellokitty fidye yazılımı, şifreleme yöntemlerinde önemli ölçüde gelişti.
Fidye yazılımı artık benzersiz bir kurban kimliği olarak hizmet etmek için SHA256 aracılığıyla haşlanmış bir RSA-2048 genel anahtarı yerleştiriyor.
.png
)
Şifreli her dosya, CPU zaman damgasından türetilen, başlangıç şifrelemesi için Salsa20 kullanan 32 baytlık bir tohum değeri kullanır, ardından dosya şifreleme için AE’ler kullanılır.
Karakulma sonrası, dosyalar, RSA ile şifreli bir dosya boyutu, sihirli bir değer ve AES anahtarı dahil olmak üzere, şifre çözme için eklenmiş meta verilerin yanı sıra Crypted, Crypt veya Kitty gibi bir uzantı alır.
Bazı varyantlar, fidye yazılımlarının şifreleme tekniklerinde uyarlanabilirliğini sergileyen bir NTRU genel anahtarı kullanır.
Ağ genişlemesi açısından Hellokitty sadece daha fazla platform hedeflemekle kalmadı, aynı zamanda coğrafi erişimini de genişletti.
2020’nin ilk numuneleri öncelikle Windows işletim sistemlerine odaklanmıştır.
Bununla birlikte, Temmuz 2021’e kadar grup, Linux ESXI ortamları için bir şifreleme geliştirdi ve saldırı vektörlerini genişletme niyetlerini sergiledi.
Coğrafi dağılım ve ilişkilendirme belirsizliği
Hellokitty’nin en son örnekleri, özellikle Çin’den, grubun kökenleri hakkında tartışmayı karıştıran çeşitli ülkelerde ortaya çıktı.
ABD siber güvenlik ajansları operasyonlarını Ukrayna’ya atfetse de, birkaç eser, Çin dilinin iç dosyalarda kullanımı, Çin IP adreslerine bağlantılar ve Çin’den yeni örneklerin ilk yüklenmesi de dahil olmak üzere daha güçlü bir Çin etkisine işaret ediyor.
Rapora göre, bu kanıt karışımı ya kökenlerin kasıtlı bir şekilde şaşkınlığı veya çok uluslu bir operasyon olduğunu gösteriyor.
Örneğin, dahili dosyalardan biri, sızdırılan kurban listesinde Çin şirketlerinin bulunmamasının yanı sıra, qq, skycn ve mandalina karakterleri gibi Çinli varlıkların varlığını ortaya çıkardı.
Ek olarak, 2024’te tanımlanan bir örnek, tarihsel olarak kaçan panda gibi Çin siber operasyonları ile ilişkili bir IP aralığı olan Chinanet’e bağlı bir C2 sunucusuna bağlandı.
TTPS Evrimi: 2020 vs 2024
Hellokitty fidye yazılımlarının taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) analiz etmek, kuruluşundan bu yana belirgin bir evrim gösterir:
- 2020 Örnekler: Bunlar öncelikle yedeklemeleri devirmek için gölge hacimlerini sorgulama, süreç enjeksiyonları, kalıcılık için WMI ve işletim sistemi tükenme seli gibi temel işlemlere odaklandı. Enfeksiyon zinciri, TaskKill kullanarak süreçleri sonlandırarak ve gizli için bir kök sertifikası yerleştirerek güvenlik hizmetlerini devre dışı bırakmayı içeriyordu.
- 2024 Örnekler: Kayıt defteri, sistem bilgisi keşfi ve konum keşfi de dahil olmak üzere daha agresif sistem keşiflerine doğru belirgin bir değişim var. Grup yaklaşımını geliştirerek, muhtemelen bu tür faaliyetleri tespit etmede daha becerikli hale gelen modern uç nokta güvenlik çözümlerinden kaçınmak için kök sertifikası kurulumu gibi belirli adımları kaldırdı.
Tehdit aktörleri tarafından mağdur ve dağıtım
Hellokitty’nin mağduru, diğer bazı gruplar kadar geniş olmamasına rağmen, dikkat çekicidir.
Grup, aşağıdakileri içeren çeşitli kurbanları hedefledi:
- CD projesi: Şubat 2021’de grup, Fidye için oyun geliştirme dosyalarının şifrelemesinden yararlanarak Polonya’daki Oyun Stüdyosu CD Projek Red’i ünlü bir şekilde tehlikeye attı.
- Cemig Powerplant: Aralık 2020’de fidye yazılımı bir Brezilya santralini etkiledi ve kritik altyapıyı bir hedef olarak vurguladı.
- Sağlık Hizmetleri: Birleşik Krallık’ta sağlık hizmeti sağlayıcılarını ve Fransa’da BT hizmetlerini etkileyen ve hedef sektörlerde geniş bir menzil sergileyen olaylar olmuştur.
Buna ek olarak, Hellokitty fidye yazılımı, yardımcı toplum iştirakleri, UNC2447, Lapsus $ ve Yanluowang dahil olmak üzere çeşitli tehdit aktörleri tarafından konuşlandırıldı, bu da fidye yazılımı (RAAS) ekosisteminde popülerliğini ve uyarlanabilirliğini gösteriyor.
Şu anda aktif karanlık web varlığına rağmen, bir soğan bağlantısı olmayan ancak bilinen fidye yazılımı ile kod benzerliklerini paylaşan Çin’den yüklenen yeni bir örnek (MD5: A831D838A135C3E0F315F73FCD3) ortaya çıkarılması, grubun operasyonlarını yeniden kalibre ettiğini göstermektedir.
RingQ kötü amaçlı yazılımlarla yaklaşık% 5’lik bir eşleşme ile içerik oluşturucular, potansiyel olarak daha agresif bir kampanya için yeni bir altyapı geliştirme sürecinde olabilirler.
Şimdi sofistike şifreleme, farklı platformlarda çeşitli hedefleme ve belirsiz bir coğrafi ayak izi ile donatılmış Hellokitty’nin yeniden canlanması, siber güvenlik uzmanları için zorlu bir zorluk sunuyor.
Grubun 2020 varyantından rafine ve daha kaçınılmaz 2024 versiyonuna evrimi, siber suçtaki amansız inovasyonu vurgulamaktadır. Fidye yazılımı gelişmeye devam ettikçe, bu ileri tehditleri tespit etmek, yanıtlamak ve azaltmak için kullanılan stratejiler de olmalıdır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!