Fidye yazılımı araştırmacıları ve uzmanlarına göre, son derece gelişmiş bir fidye yazılımı türü olan Rorschach, bilinen diğer türlere göre verileri daha hızlı şifreleme ve gelişmiş güvenlik tespitinden kaçma becerisiyle öne çıkıyor.
Geçen hafta Check Point tarafından tespit edilen ve “şimdiye kadarki en hızlı fidye yazılımı” olarak kabul edilen fidye yazılımı türünün ilk yinelemesi, Jon Miller’a göre bir Windows etki alanı denetleyicisinde çalıştırıldığında otonom yayılma yetenekleri taşıyor. Halcyon’un CEO’su ve kurucu ortağı.
Yeni fidye yazılımı türü, DLL yandan yüklemeyi kullandı. isimsiz bir ABD şirketine ilk saldırı yasal ve dijital olarak imzalanmış bir güvenlik ürünü olan Palo Alto Networks’ün Cortex XDR’sindeki döküm hizmeti aracını kötüye kullanmak.
Palo Alto Networks, yazılımının kötüye kullanılmasını önlemek için Cortex XDR’nin yeni sürümlerini yayınlayacağını söyledi ve aracının Windows’ta CU-240’tan daha eski bir içerik güncellemesi çalıştıran onaylanmış sürümleri etkileniyor. Siber güvenlik satıcısı güncelleme yaptı güvenlik danışmanlığı CU-910 içerik güncellemesinin DLL yandan yükleme tekniğini daha fazla algılayıp önlediğini müşterilere bildirmek için Çarşamba günü.
Palo Alto Networks sözcüsü, şirketin gerektiğinde güncellemeleri paylaşmaya devam edeceğini söyledi.
Darktrace tehdit araştırma başkanı Hanah-Marie Darley.
Darley e-posta yoluyla, “Rekabetçi bir siber suç pazarında, tehdit aktörleri, kötü amaçlı yazılımların nasıl çalıştığına ilişkin tehdit istihbaratını okuyacak ve bu bilgileri savunmalardan daha fazla kaçabilecek daha iyi araçlar oluşturmak için kullanacak” dedi.
Darley, “Bu saldırılar ayrıca, çoğu tehdit için şablonlu öldürme zinciri oyun kitaplarında bulunma olasılığı düşük olan, karadan uzakta yaşama tekniklerini ve sessiz izinsiz giriş unsurlarını kullanma eğilimindedir” dedi.
Daha hızlı şifreleme hızı baskıyı artırır
Rorschach’ın şifreleme hızı birçok fidye yazılımı gözlemcisinin dikkatini çekti.
Recorded Future’da tehdit istihbarat analisti ve çözüm mimarı olan Allan Liska e-posta yoluyla, “Bir fidye yazılımı şifreleme sürecinden ne kadar hızlı geçebilirse, saldırının bir güvenlik ekibi yanıt veremeden tamamlanma olasılığı o kadar artar” dedi.
Bu, kuruluşların bir fidye yazılımı saldırısını yakalayıp daha fazla hasara neden olmasını durdurmak için izinsiz giriş veya yanal hareketten sonra bile tehditleri erken algılama ihtiyacını vurgular.
Bir hizmet sağlayıcı olarak fidye yazılımı, bağlı kuruluşları çekmek için şifreleme hızı sunar, bu da Rorschach’ı izlenmesi gereken bir fidye yazılımı türü yapar. Ancak Miller, gelişmiş güvenlikten kaçınma yeteneklerinin şifreleme hızından daha önemli olduğunu söyledi.
Miller’e göre DLL yandan yükleme yeni bir teknik değil, ancak fidye yazılımı saldırılarında nadir ve savunması inanılmaz derecede zor bir saldırı tekniği. Teknik, REvil tarafından kullanıldı. Kaseya’ya karşı 2021 fidye yazılımı saldırısı.
Liska, “Rorschach kendisini tamamen yeni olarak tanıtsa da, koduna dahil edilmiş diğer fidye yazılımı suşlarının bileşenleri var” dedi. “Birçok fidye yazılımı grubu, kendi fidye yazılımlarını oluşturmak için diğer fidye yazılımlarının parçalarını yeniden kullandığından, bu şaşırtıcı değil.”
Yenilik bir yana, Rorschach’ın iddia ettiği potansiyel etki ve kurbanlar bilinmiyor. Liska, VirusTotal’a ve diğer kötü amaçlı yazılım depolarına çok sayıda örneğin gönderildiğini, ancak şimdiye kadar hiçbir kurbanın kimliğinin açıklanmadığını söyledi.
Ayrıca, fidye yazılımının birçok biçimde geldiğini ve şifrelemenin genellikle bir saldırının sonraki aşamalarına kadar gerçekleşmediğini unutmamak önemlidir.
“Madem bunlar Miller, “daha uzun, çok aşamalı operasyonlar, muhtemelen henüz tespit edilmemiş bazı Rorschach saldırıları sürüyor ve çoğu hedef, yalnızca saldırganlar fidye yazılımı yükünü konuşlandırdığında ve kendilerini fidye notu aracılığıyla ortaya çıkardığında vurulduklarını keşfediyor” dedi. ”