Yeraltı forumlarında yeni bir tehdit aktörü ortaya çıktı. bu Cyble Research & Intelligence Labs (CRIL), Hizmet Olarak NoEscape Ransomware’i (RaaS) ortaya çıkardı. Bu program, Mayıs 2023’ün sonlarında bir siber suç forumunda ortaya çıktı ve aktif olarak ona katılmak için üyeler aradı.
NoEscape’i diğerlerinden ayıran şey, üçüncü taraf kaynaklara veya kaynak kodlarına dayanmadan tamamen şirket içinde geliştirilen C++ tabanlı bir fidye yazılımı olma iddiasıdır.
Bu kendi kendine yeterlilik, operatörlere ve bağlı kuruluşlara kötü niyetli faaliyetleri üzerinde benzeri görülmemiş bir kontrol sağlar.
NoEscape Ransomware-as-a-Service (RaaS), kurbanlardan şantaj yaparken gücünü en üst düzeye çıkarmak için üçlü bir gasp tekniği kullanır.
NoEscape Ransomware-as-a-Service (RaaS) ile ilgili benzersiz olan nedir?
CRIL, ‘NoEscape’ Hizmet Olarak Fidye Yazılımı (RaaS) programının karmaşık işleyişini analiz etti.
Analizler üzerine, araştırmacılar aşağıdaki gözlemleri yaptı:
Şifreleme algoritmaları
NoEscape Hizmet Olarak Ransomware’de (RaaS) kullanılan fidye yazılımı, ChaCha20 ve RSA şifreleme algoritmalarının bir kombinasyonunu kullanır.
Genellikle karmaşık fidye yazılımı grupları tarafından kullanılan bu hibrit şifreleme yaklaşımı, dosyaların şifrelenmesini ve şifreleme anahtarlarının korunmasını sağlar.
Fidye yazılımı, tüm ChaCha20 anahtarlarını küresel bir ChaCha20 anahtarıyla şifreler ve bu daha sonra bir RSA-2048 genel anahtarıyla şifrelenir.
Windows Güvenli Mod uyumluluğu
NoEscape Hizmet Olarak Fidye Yazılımı (RaaS) kampanyası, Windows Güvenli Modu’nu destekleyerek fidye yazılımının uç nokta güvenlik ürünlerini kapatmasına ve güvenliği ihlal edilmiş sistemleri yeniden başlatarak dosyaları şifrelemesine olanak tanır.
Bu yöntemi kullanarak, fidye yazılımı şifreleme sırasında yüksek etkinlik ve etki elde eder.
Yanal hareket ve kaçınma teknikleri
Hizmet Olarak NoEscape Fidye Yazılımı (RaaS), Dağıtılmış Dosya Sistemi (DFS) ve Sunucu İleti Bloğu (SMB) protokollerini tanımlamak için eşzamansız LAN taramasını kullanır.
Bu yetenek, güvenlik çözümlerinin fidye yazılımının faaliyetlerini tespit etmesini ve azaltmasını zorlaştırarak yanal hareket, ısrar ve kaçınma sağlar.
Paylaşılan şifreleme
Fidye yazılımı, her dosyaya benzersiz bir anahtar atamak yerine bir ağ veya sistemdeki tüm dosyaları şifrelemek için tek bir anahtar kullanarak paylaşımlı şifreleme kullanır.
Bu yaklaşım, saldırganların büyük veri kümeleri için şifreleme sürecini hızlandırmasına olanak tanır. Ancak, kurbanlar bu gibi durumlarda şifrelenmiş verilerinin şifresini çözebilir.
Bitcoin işlemlerinin anonimliği
NoEscape Ransomware-as-a-Service (RaaS), Bitcoin işlemlerinin anonimliğini korumak için entegre bir hizmet içerir. Bununla birlikte, Bitcoin işlemlerinin izlenmesini önlemek için kullanılan özel yöntem henüz açıklanmadı.
Uyumluluk ve yapılandırılabilirlik
NoEscape Ransomware-as-a-Service (RaaS) bilgisayar korsanları tarafından kullanılan fidye yazılımı, Windows Desktop XP – 11, Windows Server 2003 – 2022, Linux dağıtımları (Ubuntu ve Debian tabanlı gibi) dahil olmak üzere çok çeşitli sistemlerle uyumludur. ve VMware ESXi.
Ayrıca, Yoksay, Hızlı, Güçlü ve Dengeli gibi yapılandırılabilir mod ayarları sunarak operatörlerin şifreleme sürecini özelleştirmesine olanak tanır.
İşlemler için kapsamlı özellikler
NoEscape fidye yazılımı, bağlı kuruluşlarına kapsamlı bir dizi özellik sağlar. Tor’da barındırılan yönetici paneli, otomatik işlevler sunar.
Tor’da tam otomatik bir Leak web sitesi de mevcuttur. Bağlı kuruluşlar, kurtarma şirketleriyle gizli iletişim için özel sohbetler oluşturabilir, farklı ayarlar ve tek bir anahtarla yapılar oluşturabilir, sohbet desteğini oluşturabilir ve sorgular için 7/24 desteğe erişebilir.
Fidye yazılımı ayrıca kurbanları yanıt vermeye zorlamak için hızlı mesajlar içerir.
Üçlü gasp tekniği
NoEscape fidye yazılımı bir ağa sızdığında yanal olarak yayılır, verileri şifreler ve serbest bırakılması için fidye talep eder.
Fidye ödenmezse, operatörler çalınan verileri satabilir veya halka açık bloglarda ve çevrimiçi forumlarda yayınlayabilir. Bu üçlü gasp tekniği, saldırganların taleplerine uymaları için kurbanlar üzerinde ekstra baskı oluşturur.
Ek gasp hizmetleri
NoEscape Ransomware-as-a-Service (RaaS) operatörleri, DDoS/Spam saldırıları için 500.000 ABD Doları karşılığında ek bir hizmet sunmaktadır. Bu hizmet, siber suçlulara hedeflenen şirketleri tehdit etmek ve talep edilen fidyeyi ödemeye zorlamak için başka bir yöntem sağlar.
Menşei ve bağlı kuruluşlar
NoEscape Ransomware-as-a-Service’in (RaaS) kesin kaynağı henüz açıklanmadı. Bununla birlikte, operatörler tarafından uygulanan belirli koşullar, bağlı kuruluşların Bağımsız Devletler Topluluğu (BDT) ülkelerindeki varlıkları hedeflemesini yasaklayarak, Rusya veya BDT ile olası bir bağlantıya işaret eder.
Kâr paylaşım modeli
NoEscape Ransomware-as-a-Service (RaaS) kar paylaşım modeli, bağlı kuruluşları kötü niyetli faaliyetleri aracılığıyla elde edilen ödemeye göre teşvik eder.
Bağlı kuruluşlar, ödeme 1 milyon USD’ye eşit veya daha fazla ise karın %80’ini, 3 milyon USD’ye eşit veya daha fazla bir ödeme için %85’ini ve 3 milyon USD’yi aşan ödemeler için %90’ını alır.
NoEscape Ransomware-as-a-Service (RaaS), siber suçlarda tehlikeli bir evrimi temsil ediyor.
Sağlam teknik yetenekleri, üçlü haraç metodolojisi ve çekici kar paylaşım modeli, onu yasadışı kazançlarını en üst düzeye çıkarmak isteyen siber suçlular için çekici kılıyor.
Bu tür sofistike RaaS programlarının ortaya çıkışı, kuruluşları ve bireyleri bu kötü niyetli faaliyetlerin kurbanı olmaktan korumak için gelişmiş siber güvenlik önlemlerine duyulan ihtiyacın altını çiziyor.