Siber güvenlik manzarası, GitHub’da yakın zamana kadar serbestçe erişilebilen açık kaynaklı bir fidye yazılımı üreticisi olan “Prens Fidye Yazılımı” nın ortaya çıkmasıyla ilgili bir gelişmeye tanık oldu.
Go programlama dilinde yazılan bu araç, siber suçlular tarafından minimum teknik uzmanlıkla sofistike fidye yazılımı saldırıları başlatmak için kullanılmıştır.
Tayvan’daki Mackay Memorial Hastanesi’ne yapılan son saldırı, halka açık bu tür saldırgan araçların yarattığı artan riskleri vurgulamaktadır.
Mackay Memorial Hastanesi Olayı
Mackay Memorial Hastanesi, operasyonlarını sakatlayan fidye yazılımı saldırısının hedefi oldu.
Saldırganlar başlangıçta bir USB cihazı, nadir fakat etkili bir fiziksel erişim vektörü kullanarak birkaç bilgisayarı enfekte etti.
Ağın savunmalarını değerlendirdikten sonra, çabalarını artırdılar, hastanenin altyapısına yanal olarak yayıldılar ve Taipei ve Tamsui’deki iki şubede 600’den fazla cihazı şifrelediler.
Saldırı, kritik sistemleri bozdu ve personelin hasta verilerine erişimini reddetti ve bu tür olayların yıkıcı etkisini sergiledi.
Bu saldırıda kullanılan fidye yazılımı, “CrazyHunter” olarak adlandırılan Prens fidye yazılımı üreticisi kullanılarak oluşturuldu.
Rapora göre, bu araç ChaCha20 ve ECIES (Eliptik Eğri Entegre Entegre Şifreleme Şeması) dahil olmak üzere gelişmiş kriptografik teknikler kullanarak fidye yazılımlarının oluşturulmasını otomatikleştiriyor.
Bu yöntemler sağlam şifrelemeyi sağlar ve şifre çözme anahtarları olmadan dosya kurtarmayı neredeyse imkansız hale getirir.
Prens Ransomware, şifrelediği her dosya için benzersiz Chacha20 tuşları ve nonces üreterek çalışır.
Bu anahtarlar daha sonra bir ECIES genel anahtarı kullanılarak şifrelenir ve dosyaya eklenir.
Fidye yazılımı, blok listelenen dosyaları ve uzantıları yok sayılırken bir sistemdeki tüm sürücüleri ve dizinleri sistematik olarak tarar.
Dosyaları bir desende şifreler, bir bayt şifreler ve ardından bir fidye notu bırakmadan önce iki bayt şifresiz bırakır.
İnşaatçının GitHub’a erişilebilirliği, tehdit aktörlerinin yapılandırma dosyalarını değiştirerek fidye yazılımı varyantlarını kolayca özelleştirmesine izin verdi.
“Siyah (Prens)”, “Wenda” ve “UWU” gibi varyantlar sadece dosya uzantılarında ve fidye notlarında farklılık göstermiştir.
Bu kullanıma hazır işlevsellik, saldırganlar için engelleri düşürdü ve düşük vasıflı bireylerin bile fidye yazılımlarını etkili bir şekilde dağıtmalarını sağladı.
Saldırıda kullanılan araçlar ve teknikler
Mackay Memorial Hastane saldırısı, “BB2.ZIP” adlı bir dosyada paketlenmiş birkaç kötü amaçlı araç içeriyordu.
Anahtar bileşenler:
- CrazyHunter.exe: Prens Ransomware Builder ile inşa edilen birincil fidye yazılım şifrelemesi.
- SharpgpoAbuse (gpo.exe): Grup İlkesi Nesneleri’nden (GPO’lar) sömürülerek yanal hareket için kullanılır.
- File.exe: Dosya sunucularını barındırabilen veya belirli dosya türlerini izleyebilen ve silebilen bir veri ekleme aracı.
- Zemana anti-logger sürücüsü (zam64.sys): Güvenlik yazılımını devre dışı bırakmak için “Kendi Savunmasız Sürücünüzü Getirin” (BYOVD) tekniğini kullanarak sömürüldü.
Buna ek olarak, saldırganlar antivirüs süreçlerini sonlandırmak için “Go.exe” ve “Go2.exe” gibi savunma kaçakçılığı araçlarını kullandılar ve çekirdek seviyesi ayrıcalıkları için meşru sürücülerdeki güvenlik açıklarından yararlandı.
Prens fidye yazılımının mevcudiyeti, kötü niyetli amaçlar için kötüye kullanılan açık kaynaklı saldırı araçlarının daha geniş bir eğiliminin altını çizmektedir.
Bu tür araçlar, yalnız kurt saldırganlarını ve küçük grupları, yerleşik fidye yazılımları (RAAS) modellerine dayanmadan karmaşık saldırıları yürütmelerini sağlar.
Siber suçların bu demokratikleşmesi, atıf ve savunma için önemli zorluklar doğurur.
Mackay Memorial Hastanesi olayı, USB bağlantı noktaları gibi fiziksel erişim noktalarının güvence altına alınmasının ve sağlam uç nokta koruma önlemlerinin uygulanmasının önemini de vurgulamaktadır.
Kuruluşlar, benzer tehditleri azaltmak için ağ segmentasyonuna, sürekli izlemeye ve zamanında güncellemelere öncelik vermelidir.
Prens fidye yazılımı gibi açık kaynaklı araçlar çoğalmaya devam ettikçe, siber güvenlik profesyonelleri açık inovasyonun faydalarını dengelerken kötüye kullanımlarını önlemek için zorlu bir savaşla karşı karşıya.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!