Son haftalarda dünya çapındaki güvenlik ekipleri, hız ve gelişmişlik beklentilerini yerle bir eden yeni bir fidye yazılımı türüyle boğuştu.
İlk olarak Eylül 2025’in sonlarında tespit edilen bu varyant, kritik verileri yürütüldükten birkaç saniye sonra şifreleyerek müdahale için çok az zaman bırakıyor.
İmalat, sağlık ve finans sektörlerindeki kuruluşlar, saldırganların uzak masaüstü protokolü (RDP) saldırılarını ve kimlik avı yüklü hedef odaklı kimlik avı e-postalarını silah haline getiren büyük ölçekli kampanyalar başlatması nedeniyle sistem çapında kesintiler olduğunu bildirdi.
İlk adli analiz, kötü amaçlı yazılımın, güvenli olmayan RDP oturumlarından yararlanan ve paketlenmiş DLL modülleri içinde gizlenen, ağlar arasında hızlı yanal hareket sağlayan özel bir yükleyici aracılığıyla yayıldığını gösteriyor.
Fidye yazılımı yayıldıkça, adli tıp araştırmacıları kurşun geçirmez altyapılarda barındırılan komuta ve kontrol sunucularına olağandışı geri aramalar yapıldığını fark etti.
Bu C2 alan adlarının hızlı değişen DNS rotasyonunu kullandığı görülüyor ve bu da yayından kaldırma çalışmalarını zorlaştırıyor. Şifreli iletişimler, benzersiz oturum belirteçlerine bağlı ChaCha20 akışlarını kullanarak her saldırı örneğinin izole kalmasını sağlar.
Kurbanlar, yük boyutlarının 100 KB’nin altında olduğunu bildiriyor (bu, çağdaş fidye yazılımları için son derece küçük), bu da aşırı kod optimizasyonu öneriyor.
İlk olay müdahale ekipleri, veri imha rutinleri tetiklenmeden önce kilitli birimlerin şifresini çözmekte zorlandı ve Windows ana bilgisayarlarındaki yedek anlık görüntüleri ve birim gölge kopyalarını sildi.
Fortinet araştırmacıları, müşteri ağlarındaki anormal DLL yükleri ve anormal dosya yeniden adlandırma düzenleri tarafından tetiklenen yüksek önem derecesine sahip bir dizi uyarıyı gözlemledikten sonra bu gerilimi belirledi.
Fortinet’in FortiGuard Laboratuvarlarından araştırmacılar, kötü amaçlı yazılımın polimorfik motorunun, her derlemede küçük kod değişikliklerini yeniden başlattığını ve antivirüs ürünlerinde imza tabanlı algılamayı engellediğini buldu.
Dinamik analiz, şifreleme rutininin, bir yükleyici saplamasını belleğe bırakan bir alt işlemi çatalladığını, ardından hıza şaşırtma yerine öncelik vermek için kabuk içi şifreleme kodunu yamaladığını ortaya çıkardı.
Tehdit istihbaratı ekipleri, keşiften birkaç saat sonra, otomatik varlık değerlemelerine göre kurban başına özel olarak hazırlanmış tutarlarla Monero cinsinden ödeme talep eden yeni fidye notlarının ortaya çıktığını doğruladı.
.webp)
Şifreleme anahtarları, anahtar değişimi için 3072 bit RSA ile dosya şifreleme için eliptik eğri ChaCha20’yi harmanlayan hibrit bir RSA-EC şeması kullanılarak oluşturulur.
Sonuç, neredeyse kırılmaz anahtar değişimiyle birlikte hızlı dosya kilitlemedir.
Enfeksiyon Mekanizması: Bellek İçi Yürütme ve Yükleyici Aktarımı
Bu türün bulaşma mekanizmasına daha derinlemesine bakıldığında, gizlilik ve hız için tasarlanmış iki aşamalı bir bellek içi yürütme zinciri ortaya çıkıyor.
İlk damlalık, meşru bir MSI yükleyicisi gibi davranır ve ikincil yükü doğrudan çekirdek belleğinde çağırmak için Windows Yönetim Araçları’nı (WMI) kullanır.
Yürütme üzerine aşağıdaki kod parçacığı, yükleyicinin belleği nasıl ayırdığını, şifre çözme koçanını nasıl yazdığını ve yürütmeyi nasıl aktardığını gösterir: –
LPVOID exec_mem = VirtualAlloc(NULL, shellcodeSize, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
RtlCopyMemory(exec_mem, encryptedShellcode, shellcodeSize);
DWORD oldProtect;
VirtualProtect(exec_mem, shellcodeSize, PAGE_EXECUTE_READ, &oldProtect);
((void(*)())exec_mem)();Bu teknik, disk yazma işlemlerini tamamen atlayarak ana bilgisayar dosya sisteminde minimum düzeyde yapıt bırakır. Yükleyici aktif hale geldiğinde, içe aktarmalara güvenmek yerine API adreslerini çalışma zamanında çözer ve statik analizden daha fazla kaçınır.
Fidye yazılımı, ana modülünün şifresini çözdükten sonra, önceden tanımlanmış uzantılarla eşleşen dosyalar için yerel sürücüleri ve ağ paylaşımlarını hemen tarar ve çok çekirdekli şifreleme verimini en üst düzeye çıkarmak için paralel iş parçacıkları oluşturur.
Kötü amaçlı yazılım, bu işlemleri tamamen bellekte düzenleyerek geleneksel uç nokta tabanlı algılama araçlarını baltalıyor ve modern CPU’lardaki 10 GB veri için şifreleme hızlarını 30 saniyenin altına kadar hızlandırıyor.
Bu bellek içi aktarım aynı zamanda kötü amaçlı yazılıma güçlü bir kalıcılık da sağlar: Yükleyici, LSASS sürecine küçük bir saplama ekler ve sistem başlangıcında yükü tetikleyen zamanlanmış bir görevi kaydeder.
Kurbanlar, kayıt defteri çalıştırma anahtarları ve WMI olay abonelikleriyle birleştiğinde, düzeltme sırasında önemli zorluklarla karşı karşıya kalıyor ve genellikle ortadan kaldırmayı garanti etmek için tam sistemin yeniden inşa edilmesini gerektiriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
