Güvenlik araştırmacıları, ABD merkezli bir şirkete yönelik bir saldırıda, şimdi adı Rorschach olan, önceden adlandırılmamış bir fidye yazılımı türü tespit etti.
Rorschach fidye yazılımını diğer türlerden ayıran şey, yüksek düzeyde özelleştirme ve teknik olarak benzersiz özellikleridir, bu da onu şifreleme hızı açısından şimdiye kadar gözlemlenen en hızlı fidye yazılımı türlerinden biri yapar.
Check Point tarafından hazırlanan raporda, “Rorschach fidye yazılımı benzersiz görünüyor ve onu bilinen herhangi bir fidye yazılımı türüyle kolayca ilişkilendirebilecek hiçbir çakışmayı paylaşmıyor” dedi.
Ayrıca fidye yazılım grupları arasında yaygın bir uygulama olan herhangi bir markalaşma taşımaz.
Araştırma sırasında, Rorschach fidye yazılımının ‘alışılmadık’ bir tespitten kaçma mekanizmasına sahip olduğu bulundu. Rorschach, özelleştirilebilir olmasının yanı sıra, bir Etki Alanı Grup İlkesi (GPO) oluşturmak da dahil olmak üzere manuel yürütme gerektiren görevleri de gerçekleştirir.
Güvenlik araştırmacıları, Rorschach fidye yazılımının, çeşitli yöntemler kullanarak kendini uygulama yeteneği nedeniyle en hızlı şifreleyen kötü amaçlı yazılım olduğunu belirtti.
Rapor, yaygın olarak kullanılan yöntemler yerine, Rorschach fidye yazılımının, imzalı bir ticari güvenlik ürünü olan Palo Alto Network’ün Cortex XDR Dump Service Aracının DLL yandan yüklemesi kullanılarak konuşlandırıldığını ortaya çıkardı. Bu, siber suçluların tespit edilmekten kaçınmak için benimsediği yeni bir yaklaşıma işaret ediyor.
En hızlı ve en gelişmiş fidye yazılımlarından biri
Check Point Research Tehdit İstihbaratı Grup Yöneticisi Sergey Shykevich, farklı fidye yazılımı ailelerinden alınan Rorschach fidye yazılımındaki teknik olarak farklı özelliklerin onu nasıl farklı kıldığını vurguladı.
Psikolojik bir Rorschach testinin her kişiye farklı görünmesi gibi, bu yeni fidye yazılımı türü de farklı fidye yazılımı ailelerinden alınan yüksek düzeyde teknik olarak farklı özelliklere sahiptir – bu da onu özel ve diğer fidye yazılımı ailelerinden farklı kılar, ”dedi Shykevich The Cyber Express’e.
“Bu şimdiye kadar gördüğümüz en hızlı ve en gelişmiş fidye yazılımlarından biri. Siber saldırıların hızla değişen doğasına ve şirketlerin, Rorschach’ın verilerini şifrelemesini engelleyebilecek, önleme öncelikli bir çözüm kullanma ihtiyacına değiniyor” diye ekledi.
Rorschach fidye yazılımının açıklaması
Kısmen otonom Rorschach fidye yazılımının, etki alanındaki diğer makinelerde yanal olarak hareket eden bir Etki Alanı Denetleyicisinde çalıştırıldığında yayıldığı bulundu.
Rorschach fidye yazılımının yürütülmesi (Fotoğraf: Check Point)
Rorschach fidye yazılımı üç dosya tutar. Cy.exe, winutils.dll’yi, dosyaların şifresini çözen yükleyicisi olan winutils.dll’yi ve mantık ve yapılandırmayı tutan config.ini’yi yandan yüklemek için.
Rorschach fidye yazılımı, fidye yazılımı için yaygın olarak kullanılmayan bir Cortex XDR Dump Hizmet Aracının DLL yandan yükleme saldırısı kullanılarak yüklendi.
Bu, Rorschach fidye yazılımının geliştiricilerinin, kurbanın ve uzmanların kafasını karıştırabilecek imzalı bir güvenlik ürünü olduğu için tespit edilmekten kaçan karmaşık bir araç tasarlamaya çalıştıklarını gösteriyor.
Bir DLL yandan yükleme saldırısı, Windows’ta arama yaparak ve ardından yükü yürütmek için meşru bir uygulama kullanarak başlar. Kalıcılığı sürdürmeye ve bir dereceye kadar tespitten kaçınmaya yardımcı olur.
Rorschach fidye yazılımının şifreleme ayrıntıları
Rorschach fidye yazılımının hibrit kriptografi şifreleme şeması, bilgisayar korsanı tarafından yönlendirilen belirli dosyaları hedefler. WinAPI CryptGenRandom kullanarak kriptografik olarak rasgele baytlar biçiminde kurban başına bir özel anahtar oluşturur.
- Rorschach enjektörü, manuel olarak ambalajdan çıkarmaya bağlı olan UPX tarzı bir ambalajla korunmuştur.
- Rorschach, kodlamasını gizleyen VMProtect tarafından korunurken notepad.exe’ye enjekte eder.
- Rorschach yükü, çoğu fidye yazılımından farklı olarak, ancak diğer kötü amaçlı yazılımlarda bulunan sistem çağrısı veya doğrudan sistem çağrıları yapar. NT API’leri için sistem çağrı numaralarını bulur, bunları bir tabloda saklar ve bir saplama yordamı çağırır. Bu karmaşık süreç, tespitten kaçmasına daha da yardımcı olur.
- Yerleşik seçeneklerle sabit kodlanmış yapılandırması gizlenmişti ve yalnızca tersine mühendislik yoluyla erişilebilirdi.
- Rorschach fidye yazılımının bazı argümanları şunlardı: -nomail fidye notu oluşturmayı atlar, -at bu bir tetikleme zaman aralığı ayarlar, -nobk cihazın duvar kağıdını olduğu gibi tutar ve -yol seçili yolları şifrelemek için.
Rorschach fidye yazılımı tarafından sağlanan ekstra şifreleme hızı, G/Ç tamamlama bağlantı noktaları kullanılarak tehdit planlamasının uygulanmasına bağlanır.
Birkaç red-teaming çalışmasından sonra, LockBit v.3’ün dosyaları şifrelemesinin 7 dakika sürerken, Rorschach fidye yazılımının dosyaları şifrelemesinin yaklaşık 4 dakika 30 saniye sürdüğü sonucuna varıldı.
Şifrelemeden önce izlenen adımlar
Şifrelemeden önce yükün ardından gelen iki sistem kontrolü, GetSystemDefaultUILanguage ve GetUserDefaultUILanguage idi.
Kontroller, kullanıcı tarafından ayarlanan dili aradı. Dil BDT ülkeleri tarafından kullanılıyorsa, Rorschach fidye yazılımı sona erecekti. Bazıları şunlardı:
- Ermeni
- Gürcü
- Rusça
- Ukrayna
- Belarusça
Rorschach ve diğer fidye yazılımları arasındaki benzerlikler
Rorschach fidye yazılımı şimdiye kadar bir siber suç grubuyla ilişkilendirilmedi. Ancak, Rorschach ve diğer fidye yazılımları arasında bazı benzerlikler bulundu.
Fidye notunun ayrıntıları, Yanluowang ve DarkSide tarafından yazılan fidye notlarına benzerlik buldu.
Raporda, “Kurbana gönderilen fidye yazılımı notu, Yanluowang fidye yazılımı notlarına benzer şekilde biçimlendirildi, ancak diğer değişkenler, DarkSide fidye yazılımı notlarına daha çok benzeyen bir not bıraktı (bazılarının yanlışlıkla DarkSide olarak anmasına neden oldu),” belirtildi.
Rorschach fidye yazılımının bir Windows etki alanı denetleyicisinde otonom yürütülmesi, LockBit 2.0 fidye yazılımıyla benzerlikler taşıyordu.
Rorschach’ın hibrit kriptografi şeması, Babuk fidye yazılımıyla benzerlikler taşıyordu. Aynı kodlamanın ve belirli süreçleri durdurmanın Babuk’tan alındığından şüpheleniliyor.
Ayrıca, LockBit’in kötü amaçlı yazılımı durdurmak için listeler için kullandığı Rusça dili, Rorschach fidye yazılımında da görüldü.
Rorschach kişilik testi
Araştırmacılar, Rorschach adının, yorumları ve algoritmaları kullanarak noktaları birleştirmeyi içeren Rorschach psikolojik testine benzediğini düşündüler.
Raporda, “Fidye yazılımını inceleyen her kişi biraz farklı bir şey gördü ve bu da bizi ona ünlü psikolojik test olan Rorschach Ransomware’in adını vermemize neden oldu” dedi.