Olarak bilinen fidye yazılımı grubu Kasseika Akira, AvosLocker, BlackByte ve RobbinHood gibi diğer gruplara katılarak, tehlikeye atılmış Windows ana bilgisayarlarındaki güvenlikle ilgili süreçleri devre dışı bırakmak için Kendi Savunmasız Sürücünüzü Getirin (BYOVD) saldırısından yararlanan en son kişi oldu.
Trend Micro Salı günü yaptığı bir analizde, taktiğin “tehdit aktörlerinin fidye yazılımı dağıtımı için antivirüs süreçlerini ve hizmetlerini sonlandırmasına” olanak tanıdığını söyledi.
Kasseika, ilk keşfedilen Siber güvenlik firması tarafından Aralık 2023 ortasında, DarkSide’ın kapatılmasının ardından ortaya çıkan, artık kullanılmayan BlackMatter ile örtüşmeler sergiliyor.
BlackMatter’ın kaynak kodunun Kasım 2021’deki ölümünden sonra hiçbir zaman kamuya açık bir şekilde sızdırılmadığı göz önüne alındığında, fidye yazılımı türünün BlackMatter’a erişim elde eden veya satın alan deneyimli bir tehdit aktörünün eseri olabileceğini öne süren kanıtlar var.
Kasseika’yı içeren saldırı zincirleri, ilk erişim için bir kimlik avı e-postasıyla başlar, ardından ayrıcalıklı erişim elde etmek ve hedef ağ içinde yanal olarak hareket etmek için uzaktan yönetim araçlarını (RAT’ler) bırakır.
Tehdit aktörlerinin Microsoft’un Sysinternals PsExec komut satırı yardımcı programını kullanarak, “Martini.exe” adlı bir işlemin varlığını kontrol eden ve bulunması halinde işlemi sonlandırarak kötü amaçlı bir toplu komut dosyası çalıştırdığı gözlemlendi. makineyi çalıştıran işlem.
Yürütülebilir dosyanın ana sorumluluğu, 991 güvenlik aracını devre dışı bırakmak için “Martini.sys” sürücüsünü uzak bir sunucudan indirip çalıştırmaktır. “Martini.sys”in, Microsoft’un savunmasız sürücü engelleme listesine eklenen “viragt64.sys” adlı meşru imzalı bir sürücü olduğunu belirtmekte fayda var.
Araştırmacılar, sürücünün savunmadan kaçmada oynadığı önemli rolü belirterek, “Martini.sys mevcut değilse, kötü amaçlı yazılım kendini sonlandıracak ve amaçlanan rutinine devam etmeyecektir.” dedi.
Bu adımın ardından “Martini.exe”, ChaCha20 ve RSA algoritmalarını kullanarak şifreleme işlemini gerçekleştiren, ancak Windows Yeniden Başlatma Yöneticisine erişen tüm işlemleri ve hizmetleri sonlandırmadan önce fidye yazılımı yükünü (“smartscreen_protected.exe”) başlatır.
Daha sonra şifrelediği her dizine bir fidye notu bırakılıyor ve bilgisayarın duvar kağıdı, 72 saat içinde bir cüzdan adresine 50 bitcoin ödemesi talep eden bir not görüntüleyecek şekilde değiştiriliyor veya son tarih sona erdiğinde her 24 saatte bir fazladan 500.000 dolar ödeme riskiyle karşılaşılıyor.
Üstelik kurbanların, şifre çözücüyü alabilmek için başarılı ödemenin ekran görüntüsünü aktörlerin kontrolündeki bir Telegram grubuna göndermeleri bekleniyor.
Kasseika fidye yazılımının, wevtutil.exe ikili dosyasını kullanarak sistemin olay günlüklerini temizleyerek etkinliğin izlerini silmeyi de içeren başka hileleri de var.
Araştırmacılar, “wevutil.exe komutu, Windows sistemindeki Uygulama, Güvenlik ve Sistem olay günlüklerini verimli bir şekilde temizler” dedi. “Bu teknik gizli bir şekilde çalışmak için kullanılıyor, bu da güvenlik araçlarının kötü niyetli etkinlikleri tespit etmesini ve bunlara yanıt vermesini daha zor hale getiriyor.”
Bu gelişme, Palo Alto Networks Birim 42’nin, BianLian fidye yazılımı grubunun, 2023’ün başlarında ücretsiz bir şifre çözücünün piyasaya sürülmesinin ardından çifte şantaj planından şifrelemesiz gasp saldırılarına geçişini ayrıntılı olarak ortaya koyuyor.
BianLian, Eylül 2022’den bu yana aktif ve yaygın bir tehdit grubudur ve ağırlıklı olarak ABD, Birleşik Krallık, Kanada, Hindistan, Avustralya, Brezilya, Mısır, Fransa, Almanya ve İspanya’daki sağlık, imalat, profesyonel ve hukuk hizmetleri sektörlerini öne çıkarmaktadır.
Çalınan Uzak Masaüstü Protokolü (RDP) kimlik bilgileri, bilinen güvenlik kusurları (örn. ProxyShell) ve web kabukları, BianLian operatörleri tarafından kurumsal ağlara sızmak için benimsenen en yaygın saldırı yolları olarak hareket eder.
Dahası, siber suç ekibi özel bir .NET tabanlı aracı Makop olarak takip edilen başka bir fidye yazılımı grubuyla paylaşıyor ve bu da ikisi arasında potansiyel bağlantılar olduğunu gösteriyor.
Güvenlik araştırmacısı Daniel Frank, BianLian’a ilişkin yeni bir genel bakışta “Bu .NET aracı, dosya numaralandırma, kayıt ve pano verilerinin alınmasından sorumludur” dedi.
“Bu araç, Rusça dilinde birden dörde kadar sayılar gibi bazı kelimeler içeriyor. Böyle bir aracın kullanılması, iki grubun geçmişte bir araç setini paylaşmış veya aynı geliştiricilerin hizmetlerini kullanmış olabileceğini gösteriyor.”