Cybervolk fidye yazılımı ilk olarak Mayıs 2024’te ortaya çıktı ve Rus çıkarlarına düşman olarak algılanan ülkelerde devlet kurumlarına ve kritik altyapıya yönelik sofistike bir tehdide hızla dönüştü.
Çift katmanlı bir simetrik şifreleme sürecinden yararlanan bu kötü amaçlı yazılım, Japonya, Fransa ve Birleşik Krallık’taki bilimsel kurumlar ve kamu hizmetleri üzerinde önemli operasyonel aksamalar getirmiştir.
Saldırıların arkasındaki grup, sadece Telegram aracılığıyla iletişim kurarak Bitcoin’de 20.000 dolarlık talepler veriyor ve şifrelenmiş dosyaları kurtarma girişiminin veri tahribatına neden olacağını uyarıyor.
İlk enfeksiyon tipik olarak hedeflenen kimlik avı kampanyaları veya tehlikeye atılmış idari kimlik bilgileri aracılığıyla gerçekleşir ve fidye yazılımlarının yüksek haklarla yeniden başlatılmadan önce standart kullanıcı ayrıcalıkları altında yürütülmesine izin verir.
ASEC analistleri, idari erişim elde edildikten sonra, kötü amaçlı yazılım, “Windows” ve “Program Dosyaları” gibi önceden tanımlanmış yol dizelerini eşleştirerek sistem-kritik dizinleri ve dosyaları sistematik olarak hariç tuttuğunu belirledi.
.webp)
Bu dışlama, temel sistem bileşenlerinin sağlam kalmasını sağlar ve fidye müzakerelerini engelleyebilecek istenmeyen sistem çökmelerini önler.
ASEC araştırmacıları, her dosyayı güvence altına almak için GCM modunda AES-256’yı GCM modunda birleştirerek kötü amaçlı yazılımların benzersiz çift şifreleme yapısını kaydetti.
Her şifreleme işlemi için 12 baytlık rastgele bir nonce oluşturulur, ancak eleştirel olarak, bu nonce şifrelenmiş dosyanın meta verilerinde korunmaz ve orijinal anahtar olmadan şifre çözme neredeyse imkansız hale gelir.
Şifreleme sona erdiğinde, Cybervolk etkilenen dizinde Readmenow.txt adlı bir fidye notu oluşturur ve kurbanlara ödeme ve şifre çözme prosedürleri hakkında bilgi verir.
.webp)
Teknik sofistike olmasına rağmen, Cybervolk fidye yazılımı şifre çözme rutininde kasıtlı bir kusur sergiler.
Mağdurlar verilen şifre çözme anahtarına girdiğinde, kötü amaçlı yazılım Chacha20-Poly1305 katmanını yanlış bir nonc kullanarak şifresini çözmeye çalışır ve işlemin geçerli bir anahtarla bile başarısız olmasına neden olur.
.webp)
Bu “kamuflaj şifresini çözme” taktik, kurbanları ödeme yoluyla veri kurtarabileceklerine inanmaya inanırken, gerçekte orijinal olmayanların yokluğu iyileşmeyi mümkün değil.
Enfeksiyon mekanizması derin dalış
İnfaz üzerine, Cybervolk ayrıcalıklarını kontrol eder ve gerekirse yönetici hakları elde etmek için bir ayrıcalık artış rutini tetikler.
Daha sonra dosyaları tüm yerel sürücüler boyunca numaralandırır, bir dışlama tablosunda tanımlanan alt dizeleri içeren yolları filtreler.
Çekirdek şifreleme rutini her dosyayı belleğe okur ve GO tabanlı çağırır crypto_aes_NewCipher işlev ve ardından crypto_cipher_NewGCM AES-256 GCM şifrelemesini gerçekleştirmek için:-
v15 = crypto_aes_NewCipher(keyPtr, 32, 32, 0, a5, ...)
v76 = crypto_cipher_NewGCM(v15, 32, ..., a5, ...)
nonce := make([]byte, v76.NonceSize())
crypto_rand_Read(nonce, v76.NonceSize(), ...)
ciphertext := v76.Seal(nil, nonce, fileData, nil)Bu şifre metni daha sonra sadece şifreli veriler ve bir kimlik doğrulama etiketinden oluşan kompakt bir yük üreten Chacha20-Poly1305 ile sarılır.
Depolanan yükteki nonce’yi atlayarak, geliştiriciler yalnızca geçerli şifre çözme gerçekleştirebileceklerini garanti eder – kendi kusurlu uygulamaları, hatta manuel olmayan yönetimi olmadan dosyaları geri yüklemelerini önler.
Özel enfeksiyon rutini, sofistike şifreleme katmanları ve kasıtlı iyileşme kusurları ile birleştiğinde, Cybervolk’un operasyonel etkiyi ve mağdur belirsizliğini en üst düzeye çıkarma niyetinin altını çiziyor.
Kuruluşlar saha dışı yedeklemeleri uygulamalı, idari erişimi kısıtlamalı ve bu tür tehditleri azaltmak için düzenli kurtarma tatbikatları yapmalıdır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.