Yashma fidye yazılımının İngilizce konuşulan çeşitli ülkeler, Bulgaristan, Çin ve Vietnam’daki hedefleri vurmaya hazır özel bir sürümünü kullanan Vietnam kökenli gibi görünen yeni bir tehdit aktörü ortaya çıktı.
Cisco Talos’tan araştırmacılar, 7 Ağustos’ta yayınlanan bir blog gönderisinde, Haziran ayı başlarında başladığına inandıkları fidye notunu saklamak ve teslim etmek için benzersiz kaçamak yollarla karakterize edilen bir kampanyada Yashma’nın bir türünü konuşlandıran henüz bilinmeyen aktörü keşfettiler. .
Yashma, .NET’te yazılmış bir 32-bit yürütülebilir dosyadır ve Chaos fidye yazılımı sürüm 5’in yeniden markalanmış bir sürümüdür. Yeni aktör tarafından dağıtılan varyant, biri yeni olan birkaç dikkate değer değişiklik haricinde orijinal özelliklerinin çoğunu korur. Araştırmacılar, fidye notunu saklamanın ve teslim etmenin bir yolu olduğunu söyledi. Not ayrıca, kötü şöhretli WannaCry fidye yazılımı tarafından kullanılanın tonlarını da içeriyor.
Cisco Talos siber güvenlik araştırmacısı Chetan Raghuprasad gönderisinde “Genellikle, fidye yazılımları fidye notu metnini ikili dosyada dizeler olarak depolar.” “Ancak, Yashma’nın bu varyantı, aktör tarafından kontrol edilen GitHub deposundan fidye notunu indirme komutlarına sahip gömülü bir toplu iş dosyasını yürütür.”
Bu teknik, tipik olarak ikili dosyadaki gömülü fidye notu dizelerini algılayan uç nokta algılama çözümlerinden ve virüsten koruma yazılımından kaçınır.
Ayrıca, araştırmacıların analizine göre aktör, Bitcoin cinsinden bir cüzdan adresine fidye ödemesi talep ediyor ve kurban üç gün içinde ödeme yapmazsa ücret ikiye katlanıyor. Mağdurlar ayrıca ” adresinden aktörle iletişime geçebilirler.[email protected],” oyuncunun kökeninin Vietnam olduğunu gösteren birkaç ipucundan biri.
Aktör, meşru bir Vietnam örgütünün adını taklit eden “nguyenvietphat” adında bir GitHub hesabı tutuyor ve not, kurbanlardan Vietnam’ın saat dilimine uygun bir zamanda onlarla iletişime geçmelerini istiyor.
Araştırmacıların analizi sırasında, cüzdanda Bitcoin olmadığı ve notta ödenecek bir miktar belirtilmediği için fidye yazılımı operasyonu ilk aşamalarında gibi görünüyor. Ancak araştırmacılar, aktörün GitHub dosyalarında İngilizce, Bulgarca, Vietnamca, basitleştirilmiş Çince ve geleneksel Çince dillerinde yazılmış ve gelecekteki potansiyel hedefleri gösteren fidye notları buldular.
Ayrıca araştırmacılar, fidye notu metninin 2017’deki büyük WannaCry fidye yazılımı kampanyasında kullanılana benzediğini ve potansiyel olarak tehdit aktörünün kimliğini gizlemek ve araştırmacıları yoldan çıkarmak için kullandığını söyledi.
İçeride ne var, dışarıda ne var
Yashma ilk olarak Mayıs 2022’de, bilgisayar korsanları için bir İsviçre Çakısı’na dönüşmeden önce yeraltındaki suçlulardan bir silici olarak ortaya çıkan, Chaos kötü amaçlı yazılım oluşturucusunda tam teşekküllü bir fidye yazılımı modülü olarak ortaya çıktı. Fidye notunu sunma şeklinin yanı sıra, varyantın Yashma’nın ana versiyonundan birkaç başka farkı daha vardır.
Değişikliklerden biri, bir makinede nasıl kalıcılık oluşturduğudur. Yashma fidye yazılımının önceki sürümleri, Run kayıt defteri anahtarında ve başlangıç klasöründeki fidye yazılımı yürütülebilir yoluna işaret eden bir Windows kısayol dosyasını bırakarak kalıcılık sağlıyordu. Araştırmacılar, varyantın öncekini de yaptığını ancak daha sonra başlangıç klasöründe “%AppData%\Roaming\svchost.exe” konumunda bulunan bırakılan yürütülebilir dosyaya işaret eden bir “.url” yer işareti dosyası oluşturduğunu belirtti.
Varyant aynı zamanda, Yashma’nın dosyaları şifreledikten, orijinal şifrelenmemiş dosyaların içeriğini sildikten, yalnızca bir karakter – “?” – yazıp ardından dosyayı silen kurtarma önleme özelliği olan orijinal koddan koruduğu özelliklerle de dikkate değerdir. , dedi Raghuprasad.
Gönderide, “Bu teknik, olaya müdahale ekiplerinin ve adli tıp analistlerinin silinen dosyaları kurbanın sabit diskinden kurtarmasını daha zor hale getiriyor” diye yazdı.
Savunma Stratejileri
Araştırmacılar, kuruluşların etkilenip etkilenmediklerini görmek için sistemlerini kontrol edebilmeleri için uzlaşma göstergelerine bir bağlantı ekledi.
Kuruluşlar ayrıca çeşitli güvenli uç nokta, web cihazı ve e-posta çözümlerini kullanarak ağlarını fidye yazılımlarından koruyabilirler; fidye yazılımı genellikle kimlik avı veya e-posta tabanlı bir saldırı yoluyla bir kurumsal sisteme girdiği için sonuncusu özellikle önemlidir.
Kullanıcıların kötü amaçlı öğelere bağlanmasını engelleyen ağ güvenlik duvarları, kötü amaçlı yazılım analizleri ve güvenli İnternet ağ geçitleri de kuruluşların fidye yazılımlarından ve diğer kötü amaçlı yazılım türlerinden korunmasına yardımcı olabilir.