Jolly Scorpius olarak takip edilen bir grup tarafından işletilen RansomHouse, fidye yazılımı ortamında önemli bir tehdit olarak ortaya çıktı.
Bu hizmet olarak fidye yazılımı platformu, veri hırsızlığını şifrelemeyle birleştirerek kurbanları zor kararlara zorlayan ikili bir baskı noktası oluşturuyor.
Grup, Aralık 2021’den bu yana kritik sektörlerde en az 123 kuruluşu hedef aldı; bu durum sağlık, finans, ulaşım ve kamu sektörlerindeki kuruluşlar için büyük mali kayıplara ve ciddi veri ihlallerine yol açtı.
Operasyon, sorumlulukları operatörler, saldırganlar ve altyapı sağlayıcıları arasında ayıran karmaşık bir saldırı zinciri kullanıyor.
Saldırganlar genellikle hedef odaklı kimlik avı e-postaları veya savunmasız sistemler aracılığıyla ilk erişimi elde eder, ardından değerli verileri ve kritik altyapıyı belirlemek için kurban ağları içinde yanal hareket oluşturur.
.webp)
Bu tehdit aktörleri, ortama yerleştirildikten sonra sanallaştırılmış sistemlerdeki hasarı en üst düzeye çıkarmak için özel araçlar kullanır.
Palo Alto Networks analistleri, RansomHouse’un özellikle VMware ESXi hipervizörlerini hedef aldığını, çünkü bu altyapının tehlikeye atılmasının saldırganların düzinelerce veya yüzlerce sanal makineyi aynı anda şifrelemesine olanak sağladığını tespit etti.
Bu hedefleme stratejisi, kademeli operasyonel kesintiler yaratarak saldırganlara gasp müzakereleri sırasında maksimum avantaj sağlıyor.
RansomHouse’un Arkasındaki Teknik Makine
RansomHouse araç seti birlikte çalışan iki modüler bileşenden oluşur. MrAgent, ESXi ortamlarında fidye yazılımı dağıtımını otomatikleştirirken saldırganın komuta ve kontrol sunucularına kalıcı bağlantılar kurarak yönetim ve dağıtım aracı olarak işlev görür.
Bu bileşen, ana bilgisayar tanımlama, güvenlik duvarını devre dışı bırakma ve koordineli şifreleme düzenlemesi dahil olmak üzere kritik işlevleri yönetir.
Şifreleyici bileşen olan Mario, operasyonun en son teknik ilerlemesini temsil ediyor. Mario’nun yükseltilmiş sürümü, hem birincil hem de ikincil anahtarları kullanan iki aşamalı bir şifreleme işlemi sunarak şifre çözme çabalarını önemli ölçüde karmaşık hale getiriyor.
.webp)
Yükseltilmiş sürüm, dosyaları basit doğrusal sıralar halinde işlemek yerine, dinamik boyutlandırma hesaplamalarıyla parçalı işleme uygular.
Orijinal Mario çeşidi, sabit segment uzunluklarına sahip basit tek geçişli şifrelemeyi kullanıyordu. Yükseltilmiş sürüm, yalnızca belirli dosya bloklarını hesaplanan uzaklıklarda işleyen seyrek şifreleme teknikleri kullanır ve bu da statik analizi önemli ölçüde zorlaştırır.
.webp)
Bu gelişmiş yaklaşım, dosya boyutuna göre işleme sırasını belirleyen karmaşık matematiksel formüller kullanarak dosyaları doğrusal olmayan bir şekilde işler.
Mario, VMDK, VMEM, VMSD, VMSN ve VSWP dosyalarının yanı sıra Veeam yedekleme dosyalarını da içeren sanallaştırmaya özel dosya uzantılarını hedefler.
Şifreleyici, şifrelenmiş dosyalara “mario” içeren uzantılar ekler ve bunun sonucunda “.emario” gibi dosya adları elde edilir.
.webp)
Şifreleme tamamlandıktan sonra Mario, dosya sayıları, şifrelenmiş veri hacimleri ve işleme sonuçları dahil olmak üzere ayrıntılı istatistikleri görüntüler.
Basit şifrelemeden karmaşık, çok katmanlı yaklaşımlara doğru yaşanan evrim, fidye yazılımı aktörlerinin teknik yeteneklerini nasıl sürekli olarak geliştirdiklerini ve böylece savunucuların da eşit derecede gelişmiş tespit ve yanıt stratejilerini benimsemelerini gerektirdiğini gösteriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
