Fidye yazılımı, bilgisayar korsanlarının bireyler, işletmeler ve hükümetler gibi hedeflerinden zorla para almak için kullandıkları bir araçtır. Kötü amaçlı yazılım, hedefin verilerini şifreler ve kilidini açmak için ödeme talep eder.
Bu kötü niyetli strateji, tehdit aktörlerine hayati bilgiler karşılığında bitcoin şeklinde mali kazanç sağlayarak ödeme olasılığını artırıyor.
Trend Micro’daki siber güvenlik araştırmacıları yakın zamanda tehdit aktörlerinin Antivirüs programlarını öldürmek için sürücü işlevselliğinden aktif olarak yararlandığını keşfetti.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Kasseika Fidye Yazılımı Kill’in Antivirüsü
2023 yılında Kasseika fidye yazılımı da Akira, BlackByte ve AvosLocker’ın ardından BYOVD trendine katıldı. Sahte fidye uzantılarına sahip BlackMatter’a benzeyen antivirüs programlarını devre dışı bırakmak için Martini sürücüsünü kullandılar.
Bu, BlackMatter’ın daha önce DarkSide ve ALPHV ile bağlantılı kaynak koduna erişimi olan olgun bir aktörü akla getiriyor. 2021’deki kapanışından bu yana özel fidye yazılımı grupları, BlackMatter’ın eski kodunu yeni türlere uyarladı.
Kasseika fidye yazılımı, kimlik bilgilerini toplayarak ve ağ içinde hareket etmek için PsExec’i kullanarak ilk erişim için hedefli kimlik avı kullanıyor.
Süreçlerin sonlandırılmasına yardımcı olan güvenlik araçlarını devre dışı bırakmak için Martini.sys’den yararlanır ve güvenlikle ilgili süreçleri tespit etmek için FindWindowA API’sinden yararlanır.
Komut dosyası, gelecekte kullanılmak üzere esnek değişkenler ayarlayarak temiz bir durum sağlar. Kasseika dosyaları aktarır, Martini.exe ile antivirüs işlemlerini sonlandırır ve ayrıca fidye yazılımı ikili dosyası olarak smartscreen_protected.exe dosyasını çalıştırır. Clear.bat daha sonra işlemin izlerini silmek için yürütülür.
Kasseika fidye yazılımı, güçlü gizleme ve hata ayıklama önleme özelliklerini kullanan Themida paketli 32 bit Windows PE dosyasıdır.
Kayıt defteri anahtarlarını değiştirerek ve şifrelemeden önce oturum karmalarını numaralandırarak Windows Yeniden Başlatma Yöneticisine erişen işlemleri sonlandırır.
WMIC sorgularını kullanarak gölge kopyaları siler ve Base64 kodlamasıyla uzantısının şifresini çözer. Kasseika, şifreleme için değiştirilmiş bir matris oluşturarak CryptoPP’den ChaCha20 ve RSA’yı kullanıyor.
CBhwKBgQD.README.txt dosyasını fidye notu olarak yeniden adlandırıp bıraktıktan sonra Kasseika, şifreleme sonrası sistem duvar kağıdını değiştirir.
Kasseika fidye yazılımı, güvenlik araçları tarafından kolay tespit ve müdahaleden kaçınmaya yardımcı olan Uygulama, Güvenlik ve Sistem olay günlüklerini gizlice silmek için wevutil.exe’yi kullanır.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- Yönetici haklarını yalnızca gerektiğinde verin.
- Güvenlik ürünlerini düzenli olarak güncelleyin ve taramalar gerçekleştirin.
- Kritik veriler için güvenli yedeklemeler.
- Güvenli e-posta ve web sitesi alışkanlıklarını uygulayın.
- Şüpheli e-postaların ve dosyaların bildirilmesini teşvik edin.
- Kullanıcıları düzenli olarak sosyal mühendislik riskleri konusunda eğitin.
Kuruluşlar, uç noktaları, e-postayı, web ve ağ giriş noktalarını kapsayarak çok katmanlı bir stratejiyle güvenliği artırabilir.
Kötü amaçlı bileşenlerin ve şüpheli davranışların güvenlik çözümleri tarafından tespiti kurumsal koruma açısından çok önemlidir.