HexaLocker V2 piyasaya çıktı. Ünlü HexaLocker fidye yazılımının bu yeni sürümü, yeni bir kalıcılık mekanizması, gelişmiş şifreleme algoritmaları ve Skuld olarak bilinen açık kaynaklı bir hırsız dahil olmak üzere bir dizi iyileştirmeyi beraberinde getirdi. Bu değişiklikler, siber suçlu gruplarının süregelen karmaşıklığını ve geleneksel siber güvenlik savunmalarını aşma yeteneklerini yansıtıyor.
HexaLocker ilk olarak 2024’ün ortalarında ortaya çıktı ve agresif taktikleri ve etkili şifreleme yöntemleri nedeniyle güvenlik uzmanlarının dikkatini hızla çekti. Başlangıçta, iletişim için popüler şifreleme standardı TOXID’yi ve basit bir dosya şifreleme yaklaşımını kullanarak çalışıyordu. Ancak 2024’ün sonunda yeni bir sürüm olan HexaLocker V2 ortaya çıkmaya başladı. Bu güncellenmiş sürüm, fidye yazılımının etkinliğini ve kalıcılığını artırmak için tasarlanmış bir dizi gelişmiş özelliği içerir.
HexaLocker’ın Dönüşü: Versiyon 1’den Versiyon 2’ye
Cyble Research and Intelligence Labs’a (CRIL) göre HexaLocker V2’deki en büyük değişiklik, fidye yazılımının işleyişinde kritik bir rol oynayan Skuld Stealer aracının kullanılması oldu. Farklı olarak Yalnızca dosya şifrelemeye odaklanan önceki sürüm, HexaLocker V2 çifte gasp stratejisi sunuyor. Bu yöntem, hassas verilerin şifrelemeden önce çalınmasını ve böylece kurbanlar üzerindeki fidyeyi ödeme baskısını artırmayı içeriyor.
HexaLocker V2’nin öne çıkan özelliklerinden biri de entegre olmasıdır.h Borç Hırsızı. Skuld, kimlik bilgileri, tarama geçmişi ve kripto cüzdan ayrıntıları da dahil olmak üzere güvenliği ihlal edilmiş sistemlerden hassas bilgileri toplamak için kullanılan açık kaynaklı bir araçtır. HexaLocker V2, dosyaları şifrelemeden önce Skuld hırsızını uzak bir sunucudan, özellikle “hxxps://hexalocker.xyz/SGDYSRE67T43TVD6E5RD adresinden indirir ve çalıştırır.[.]exe”. Çalıcı, Google Chrome, Mozilla Firefox ve Opera gibi popüler tarayıcılar da dahil olmak üzere hem Chromium hem de Gecko tabanlı tarayıcılardan gelen verileri hedefliyor.
Skuld verileri topladıktan sonra çalınan bilgileri bir ZIP arşivine sıkıştırıyor ve saldırganın sunucusuna aktarıyor. Bu sızma adımı, çalınan verilerin daha fazla gasp için kullanılabileceği veya karanlık ağ forumlarında satılabileceği için mağdurlar üzerinde bir baskı katmanı oluşturuyor.
Bu yaklaşım, siber suçluların hem şifrelemeyi hem de veri hırsızlığını birlikte kullanma eğiliminin arttığını vurgulayarak kurbanların saldırılardan kurtulmasını zorlaştırıyor. Skuld Stealer’ın HexaLocker V2 ile entegrasyonu, her saldırıdan elde edilen getiriyi en üst düzeye çıkarmak için bilinçli bir strateji sergiliyor.
Kalıcılık Mekanizmaları ve Gizleme
HexaLocker V2’nin kalıcılık mekanizmaları önceki sürüme göre önemli bir gelişmedir. Fidye yazılımı yürütüldükten sonra kendisini “%appdata%MyApp” dizinine kopyalar ve Windows kayıt defterinde bir giriş oluşturarak sistem yeniden başlatıldıktan sonra çalışmasını sağlar.r HKCUSoftwareMicrosoftWindowsCurrentVersionRun.
Bu kalıcılık yöntemi, HexaLocker V2’nin kurban makinesini yeniden başlattıktan sonra bile çalışmaya devam etmesini garanti eder ve bu da makinenin kaldırılmasını çok daha zorlaştırır.
Ayrıca kötü amaçlı yazılım, dizelerini ve iletişim kanallarını gizlemek için gelişmiş gizleme teknikleri kullanıyor. Dizelerin statik ve kolayca tanımlanabildiği önceki sürümün aksine, HexaLocker V2, çalışma zamanı sırasında dinamik olarak kritik dizeler oluşturur. Bu süreç, fidye yazılımıyla ilişkili dosya yollarının, klasör adlarının ve URL’lerin gizlenmesini ve tespit edilmesini zorlaştırmasını sağlayan AES-GCM şifrelemesinin kullanımıyla desteklenir.
Gelişmiş Şifreleme ve Süzme Süreci
HexaLocker V2’nin şifreleme sürecinde de önemli iyileştirmeler yapılıyor. Fidye yazılımı, kurbanların dosyalarını güvence altına almak için çeşitli şifreleme algoritmalarının bir kombinasyonunu kullanıyor. Dize şifrelemesi için AES-GCM’yi kullanırken anahtar türetme için Argon2’yi kullanır. Dosyaların kendisi, yüksek hızlı bir akış şifresi olan ChaCha20 kullanılarak şifrelenir. Şifreleme işlemi tamamlandıktan sonra fidye yazılımı, şifrelenmiş dosyalara “.HexaLockerV2” uzantısını ekleyerek dosyaları şifre çözme anahtarı olmadan erişilemez hale getiriyor.
HexaLocker V2, dosyaları şifrelemeden önce kurbanın makinesinde kapsamlı bir tarama gerçekleştirerek belirli uzantılara sahip dosyaları arar. Bu tarama, metin belgeleri, resimler, videolar, ses dosyaları ve daha fazlası gibi yaygın dosya türlerini içerir. İlgili dosyalar belirlendikten sonra bunlar bir ZIP arşivinde paketlenir ve “hxxps://hexalocker.xyz/receive.php” URL’si aracılığıyla saldırganın uzak sunucusuna gönderilir.
Bu sızma süreci, kurban şifrelenmiş dosyalarını kurtarabilse bile çalınan verilerinin saldırganların elinde kalmasını sağlar. Skuld Stealer, veri hırsızlığı ve şifrelemenin birleşimi HexaLocker V2’yi özellikle tehlikeli bir tehdit haline getiriyor.
Fidye Yazılımı Taktiklerinin Evrimi: Çifte Gasp
HexaLocker V2, modern fidye yazılımı saldırılarının ayırt edici özelliği haline gelen klasik bir çift gasp stratejisini benimser. Bu yöntem gaspın iki farklı aşamasını içerir: Birincisi, saldırganlar kurbanın makinesinden hassas verileri sızdırır ve ikinci olarak kurbanın dosyalarını şifreler. Saldırganlar, bu taktikleri birleştirerek, hem kritik verilerin kaybından hem de hassas bilgilerin kamuya açıklanma potansiyelinden korkarak kurbanların fidyeyi ödeme olasılığını artırır.
Ayrıca HexaLocker V2, önceki sürümde kullanılan iletişim protokolünün yerini alır. HexaLocker V2, orijinal TOXID iletişim yöntemi yerine benzersiz bir karma sistemi sunar. Bu yeni sistem, kurbanların özel bir web sohbet arayüzü aracılığıyla saldırganlarla doğrudan iletişim kurmasına olanak tanıyarak fidye pazarlığı sürecini daha da kolaylaştırıyor.
Çözüm
HexaLocker V2’nin Skuld Stealer entegrasyonu ve gelişmiş şifrelemeyle geri dönüşü, büyüyen fidye yazılımı tehdidini vurguluyor. Bu saldırılara karşı korunmak için düzenli yedeklemeler, yazılım güncellemeleri ve kimlik avı eğitimi gibi güçlü siber güvenlik uygulamaları önemlidir. Uç nokta koruması ve ağ bölümlendirmesi gibi proaktif önlemler de riski azaltabilir. Fidye yazılımlarının karmaşıklığı artmaya devam ederken, Cyble gibi gelişmiş tehdit istihbaratı platformlarından yararlanmak kuruluşların kendilerini HexaLocker V2 gibi siber tehditlere karşı korumalarına yardımcı oluyor.
İlgili