Gölgelerden sofistike yeni bir fidye yazılımı grubu ortaya çıktı ve çok uluslu kuruluşları hassas ve sistematik bir yaklaşımla çeşitli sektörlerde hedef aldı.
İlk olarak Haziran 2025’te tespit edilen KAWA4096, özellikle Japonya ve Amerika Birleşik Devletleri’ndeki kurbanlara odaklanan finans, eğitim ve hizmet endüstrilerini kapsayan işletmeler için müthiş bir tehdit olarak kendini hızla kurmuştur.
Grubun operasyonel sofistiklığı, oldukça kısa bir zaman dilimi içinde birden fazla ülkede yaygın etki potansiyeli olan iyi koordine edilmiş siber suç faaliyetlerini göstermektedir.
KAWA4096 Fidye Yazılımı İşlemi, çift gasp metodolojilerinin uygulanması yoluyla gelişmiş taktik yetenekleri gösterir ve mağdurlar üzerindeki kaldıraçları en üst düzeye çıkarmak için veri şifrelemesini veri hırsızlığı ile birleştirir.
Grup, kurban bilgilerini sistematik olarak ifşa ettikleri ve fidye ödeme uyumluluğu için ek baskı oluşturdukları özel bir TOR tabanlı veri eksfiltrasyon platformu çalıştırır.
Operasyonel yapıları, her bir kurban için veri erişimini kontrol etmek ve gasp süreci boyunca organize iletişim kanallarını korumak için bireyselleştirilmiş talep URL’leri sağlayarak titiz bir planlama ortaya koymaktadır.
ASEC analistleri, fidye yazılımının teknik uygulamasının, onu geleneksel fidye yazılımı ailelerinden ayıran çeşitli ayırt edici özellikleri içerdiğini belirtti.
Kötü amaçlı yazılım, otomatik olarak yeniden yürütüyor - all Argüman Parametreler olmadan başlatıldığında, hedef sistemler arasında kapsamlı dosya şifrelemesi sağlar.
Ek olarak, şifreleme işlemi sırasında yinelenen yürütmeleri ve potansiyel sistem çatışmalarını önlemek için CreateMutexa API’sını kullanarak “Say_hi_2025” adlı benzersiz bir muteks oluşturur.
Fidye yazılımının yapılandırma yönetim sistemi, şifreleme davranışını kontrol eden 17 farklı alanı içeren gömülü kaynak bölümlerini kullanır.
.webp)
Bu yapılandırmalar, hasarı en üst düzeye çıkarırken sistem stabilitesini korumak için dosya uzantıları, dizinler ve belirli dosya adları için kapsamlı hariç tutma listeleri içerir.
Gibi kritik sistem dosyaları [.]exe, [.]DLL, [.]Sys ve önyükleme gibi çekirdek pencereler bileşenleri[.]Bu ve masaüstü[.]INI, sistem işlevselliğini korumak ve müzakere yeteneklerini korumak için kasıtlı olarak hariç tutulur.
Gelişmiş şifreleme mekaniği ve kaçış taktikleri
KAWA4096, yıkıcı etkiyi sürdürürken hız ve verimliliği optimize etmek için sofistike kısmi şifreleme teknikleri kullanır.
Kötü amaçlı yazılım, hedef dosyaları 64kb parçalara ayırır ve her dosyanın yalnızca% 25’ini şifreler, dosyaları tamamen kullanılamaz hale getirirken şifreleme süresini önemli ölçüde azaltır.
Bu seçici yaklaşım, başlıkların veya dizinlerin kısmi yolsuzluğunun tüm dosyaları erişilemez hale getirdiği veritabanlarına, belgelere ve multimedya dosyalarına karşı özellikle etkili olduğunu kanıtlamaktadır.
Şifreleme işlemi Salsa20 Stream Cipher algoritmasını kullanır ve şifreli dosyalar formatta uzantılar alır [original_filename].[extension].[9_random_characters].
.webp)
10 MB’lik dosyalar için fidye yazılımı güçlü kısmi şifreleme modelleri uygularken, daha küçük dosyalar tam veya zayıf kısmi şifreleme tedavisi alır.
Bu uyarlanabilir yaklaşım, grubun sistem performansı optimizasyonu ve mağdur etki maksimizasyonu hakkındaki anlayışını göstermektedir.
Fidye yazılımı, şifreleme için dosyaların kilidini açmak için veritabanı sunucuları, ofis uygulamaları ve yedekleme hizmetleri dahil kritik işlemleri sistematik olarak sonlandırır.
Hedef süreçler SQLServr içerir[.]exe, excel[.]exe, firefox[.]Exe, Outlook[.]EXE ve şifreleme sürecine müdahale edebilecek veya mağdurlar için kurtarma mekanizmaları sağlayabilecek diğer birçok uygulama.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.
