RansomHouse hizmet olarak fidye yazılımı (RaaS), yakın zamanda şifreleyicisini yükselterek nispeten basit tek fazlı doğrusal bir teknikten daha karmaşık, çok katmanlı bir yönteme geçiş yaptı.
Uygulamada yükseltmeler, modern hedef ortamlarda daha güçlü şifreleme sonuçları, daha yüksek hızlar ve daha iyi güvenilirlik sunarak, tehdit aktörlerine şifreleme sonrası müzakereler sırasında daha güçlü bir avantaj sağlıyor.
RansomHouse, Aralık 2021’de bir veri gaspı siber suç operasyonu olarak başlatıldı, daha sonra saldırılarda şifreleyicileri benimsedi ve birden fazla VMware ESXi hipervizörünü aynı anda kilitlemek için MrAgent adlı otomatik bir araç geliştirdi.
Son dönemde tehdit aktörlerinin Japon e-ticaret devi Askul Corporation’a karşı birden fazla fidye yazılımı ailesi kullandığı bildirildi.
Palo Alto Networks Unit 42’deki araştırmacılar tarafından hazırlanan yeni bir rapor, RansomHouse’un araç setine, ‘Mario’ olarak adlandırılan en yeni şifreleme çeşidi de dahil olmak üzere daha fazla ışık tutuyor.
Yeni ‘Mario’ şifrelemesi
RansomHouse’un en yeni şifreleyici çeşidi, tek geçişli dosya veri dönüşümünden, 32 baytlık bir birincil ve 8 baytlık ikincil anahtar olmak üzere iki anahtardan yararlanan iki aşamalı bir dönüşüme geçiş yapıyor.
Bu yaklaşım şifreleme entropisini artırır ve kısmi veri kurtarmayı zorlaştırır.
Kaynak: Ünite 42
İkinci büyük yükseltme, aralıklı şifrelemeyle 8 GB eşiğinde dinamik yığın boyutlandırmayı kullanan yeni bir dosya işleme stratejisinin getirilmesidir.
Ünite 42, bunun doğrusal olmaması, işleme sırasını belirlemek için karmaşık matematik kullanılması ve boyutuna bağlı olarak her dosya için farklı yaklaşımların kullanılması nedeniyle statik analizi daha zor hale getirdiğini söylüyor.
‘Mario’daki bir başka dikkate değer yükseltme, daha iyi bellek düzeni ve arabellek organizasyonu ve artık her şifreleme aşaması veya rolü için birden fazla özel arabellek kullanılmasıyla daha yüksek karmaşıklıktır.
Son olarak, yükseltilmiş şifreleyici sürümü artık yalnızca görevin tamamlandığını bildiren eski değişkenlere kıyasla dosya işleme için daha ayrıntılı bilgi yazdırıyor.
Yeni sürüm hala VM dosyalarını hedefliyor ve şifrelenmiş dosyaları ‘.emario’ uzantısıyla yeniden adlandırıyor ve etkilenen tüm dizinlere bir fidye notu (Fidyelerinizi.txt Nasıl Geri Yüklenir) bırakıyor.
Kaynak: Ünite 42
Ünite 42, RansomHouse’un şifreleme yükseltmesinin endişe verici olduğu, “fidye yazılımı geliştirmede endişe verici bir gidişata” işaret ettiği, şifre çözmenin zorluğunu artırdığı ve statik analiz ile tersine mühendisliği zorlaştırdığı sonucuna varıyor.
RansomHouse, daha uzun süredir devam eden RaaS operasyonlarından biri ancak saldırı hacmi açısından orta seviyede kalıyor. Gelişmiş araçların sürekli gelişimi, ölçekten ziyade verimliliğe ve kaçınmaya odaklanan hesaplanmış bir stratejiyi akla getiriyor.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, “iyi” IAM’nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.