Razr fidye yazılımı, dosyaları AES-256 ile dağıtmak ve şifrelemek için PythonAnywhere’i kullanıyor. ANY.RUN’ın analizi, davranışını, C2 iletişimini ve Tor üzerinden fidye taleplerini ortaya koyuyor. Sistemlerinizi ANY.RUN’ın ücretsiz kötü amaçlı yazılım analiz araçlarıyla koruyun ve bu tehdidin önünde kalın.
ANY.RUN araştırmacıları yakın zamanda saldırganların kötü amaçlı dosyaları barındırmak ve dağıtmak için PythonAnywhere bulut platformunu kullandığı bir fidye yazılımı kampanyasını ortaya çıkardı. Bu kampanya, kurbanları gizlice ve etkili bir şekilde hedeflemek için PythonAnywhere’in altyapısını kullanan Razr fidye yazılımını içeriyor.
Fidye Yazılımı Davranışına Genel Bakış
ANY.RUN tarafından yapılan detaylı bir analizde, Razr fidye yazılımının, benzersiz bir makine kimliği, bir şifreleme anahtarı ve bir Başlatma Vektörü (IV) oluşturarak çalışmaya başladığı tespit edildi.
Mağdurun ID, IV ve şifreleme anahtarı ANY.RUN sanal alanında görüntülendi
Bu kritik ayrıntılar daha sonra şifrelenmemiş JSON formatında bir C2 sunucusuna gönderilir. ANY.RUN’ın MITM (Aracı Adam) özelliğini kullanan araştırmacılar, bu verileri ele geçirip şifresini çözerek fidye yazılımının işleyişine dair değerli bilgiler elde edebildiler.
Araştırmaya göre, kötü amaçlı dosya PythonAnywhere’in xmb.pythonanywherecom alt etki alanında barındırılıyor. İkincisi, Python kodunu ve web uygulamalarını doğrudan bulutta çalıştırmak için tasarlanmış meşru bir platformdur.
Razr Şifreleme İşlemi
Razr fidye yazılımı, kurbanın dosyalarını şifrelemek için CBC (Şifre Blok Zincirleme) modunda AES-256 şifreleme algoritmasını kullanır. Bu, dosyaları kilitleyen ve saldırganların fidye için elinde tuttuğu şifre çözme anahtarı olmadan kurbanın bunlara erişmesini neredeyse imkansız hale getiren güçlü bir şifreleme yöntemidir.
Bu sanal alan analiz oturumunda görüldüğü üzere saldırganlar, kurbanlarına dosyaların gelişmiş AES-256 tekniğiyle şifrelendiğini bildiriyor ve dosyaların şifresini çözmek için belirli bir miktar para talep ediyor.
Razr fidye yazılımı ANY.RUN sanal alanıyla analiz edildi
ANY.RUN’ın gerçekleştirdiği sanal alan analizi oturumu, fidye yazılımının davranışını gerçek zamanlı olarak ortaya koydu ve şu bilgileri sağladı:
- AES-256 algoritmaları ile sistematik dosya şifrelemesi
- Algılanmayı önlemek için meşru PythonAnywhere alt etki alanında barındırılan kötü amaçlı tehdit
- Belirli bir Tor etki alanını ziyaret edip ödemeyi yapmanız için talimatlar içeren bir fidye notu
- Fidye yazılımlarının gerçek zamanlı davranışları.
Razr Fidye Yazılımı Analizine İlişkin Daha Derin Bir Araştırma
Ayrıca ANY.RUN’ın TI Lookup servisi, bir kullanıcının aynı PythonAnywhere alt etki alanında barındırılan raporları incelediği genel bir analiz oturumunun gerçekleştirildiğini ortaya çıkardı.
Kötü amaçlı dosya ANY.RUN sanal alanıyla analiz edildi
Rapor, Discord’a yönlendirilen birden fazla webhook’u tanımlıyor. İlginç bir şekilde, rapordaki karma sayısı webhook sayısıyla uyuşuyor ve bu da her webhook’un karşılık gelen karma değerine göre benzersiz bir şekilde kullanılabileceğini gösteriyor.
ANY.RUN’da genel sanal alan oturumu
Gördüğünüz gibi ANY.RUN, potansiyel kurbanların tehditi fark edip koruyucu önlemler almasına yardımcı olmak için PythonAnywhere suistimalinin tüm gerekli teknik ayrıntılarını ifşa etti.
Fidye Yazılımını Doğrudan Tarayıcınızda Açığa Çıkarın
İşletmenizi Razr gibi gelişmiş fidye yazılımı tehditlerine karşı koruyun. Sınırsız kötü amaçlı yazılım analizine erişmek ve siber saldırganların bir adım önünde olmak için bugün ücretsiz bir ANY.RUN hesabına kaydolun.
İLGİLİ KONULAR
- PyPI, Python Paketleri Aracılığıyla Sistemlere Sızmak İçin Kullanıldı
- Python Uygulamalarında NTLM Kimlik Bilgisi Hırsızlığı Windows Güvenliğini Tehlikeye Atıyor
- Tehdit İstihbaratında Python: Siber Tehditlerin Analizi ve Azaltılması
- Qubitstrike Kötü Amaçlı Yazılımı, Cryptojacking İçin Jupyter Not Defterlerine Saldırıyor
- VMCONNECT: Python Araçlarını Taklit Eden Kötü Amaçlı PyPI Paketi
- Jupyter infostealer’ın yeni sürümü MSI yükleyicisi aracılığıyla sunuldu