Sonicwall Capture Labs Tehdit Araştırma Ekibi, en az 2023’ten beri aktif olan Rus siber suç grubu kriptobaylarından devam eden etkinlik tespit etti.
Bu finansal olarak motive olmuş grup, sızdırılmış fidye yazılımı inşaatçılarına olan güveninden dolayı kötü şöhret kazanan Uxcryptor adlı bir fidye yazılımı suşundan yararlanıyor.
Bu araçlar, kötü amaçlı yazılım operatörleri için teknik engeli düşürerek daha az vasıflı aktörlerin bile sofistike saldırılar dağıtmasını sağlıyor.
UXCryptor, kurban sistemlerindeki dosyaları şifrelemek ve tipik fidye yazılımı oyun kitabını takiben şifre çözme için kripto para ödemeleri talep etmek için tasarlanmıştır.
Ortaya çıkmasından bu yana, UXCryptor, saldırıların etkisini en üst düzeye çıkarmak için uzaktan erişim truva atları (sıçanlar) ve bilgi çalmacılar gibi diğer kötü amaçlı yazılımlarla birlikte kullanılmıştır.
Kötü amaçlı yazılım 2024’te en yüksek faaliyetini gördü, ancak 2025’te aktif kalıyor.
Sonicwall ekibinin UXCryptor’un erken bir versiyonunu analizi, bu özel çalışma sırasında herhangi bir dosya şifrelemesi gözlenmemiş olsa da, gelişmiş anti-analiz tekniklerini ve yıkıcı yeteneklerini ortaya koymaktadır.
Enfeksiyon döngüsü ve teknik detaylar
Uygulama üzerine Uxcryptor, Rusça yazılmış bir fidye notu da dahil olmak üzere hızlı bir şekilde arka arkaya bir dizi fidye ekranı sergiliyor.
Kötü amaçlı yazılım ayrıca, kurbanın sistemine kaydedilen ek bir fidye notu oluşturur. %USERPROFILE%\AppData\Local\Temp\$unlocker_id.ux-cryptobytes.
Not, kripto para biriminde ödeme talep ediyor ve kurbanların şifreli dosyalarına erişimi yeniden kazanmaları için talimatlar sağlıyor.
Kötü amaçlı yazılım .NET ile yazılmıştır ve tespitten kaçınmak için birkaç anti-analiz yöntemi kullanır.
Gibi süreçleri sonlandırmaya çalışır explorer.exe ve Sandboxie, Avast ve Qihoo360 gibi kum havuzu ortamlarını kontrol eder.
Ayrıca, VMware ve VirtualBox ortamlarını hedefleyen sanal makine algılama mekanizmalarını içerir.
Sistem işlevselliğini daha da bozmak için UXCryptor, enfeksiyon işlemi sırasında çalışıyorlarsa anlaşmazlık, skype, zoom ve web tarayıcıları gibi uygulamaları öldürür.
Ayrıca, ilişkili kayıt defteri anahtarlarını silerek çeşitli Windows System uygulamalarının girişten sonra başlamasını önler.
Bu yeteneklere rağmen, UXCryptor’un analiz edilen sürümü test sırasında dosyaları şifrelemedi.
Bununla birlikte, şifreleme işlevselliği kod tabanında mevcuttur, bu da gelecek veya alternatif sürümlerin tam ölçekli fidye yazılımı saldırıları yürütebileceğini gösterir.
Azaltma ve koruma
Sonicwall, birden fazla güvenlik çözüm katmanı aracılığıyla UXCryptor’a karşı koruma sağlar.
Tehdit imza tarafından tespit edilir GAV: UXCryptor.RSM (Trojan) ve gerçek zamanlı derin bellek muayenesi (RTDMI) ile Sonicwall yakalama ATP tarafından hafifletilir ve istemci uç noktası koruma çözümlerini yakalar.
Kuruluşlara güncellenmiş güvenlik sistemlerini korumaları ve bu tür tehditlere karşı korunmak için sağlam uç nokta algılama önlemleri uygulamaları tavsiye edilir.
Cryptobytes’in sızdırılmış fidye yazılımı yapımcıları kullanımı, siber suçlarda bir eğilimi vurgular: daha az vasıflı aktörlerin zarar verici kampanyalar başlatmasını kolaylaştıran ileri saldırı araçlarının demokratikleştirilmesi.
Bu tehdit geliştikçe, proaktif tehdit zekası ve katmanlı savunmalar, Uxcryptor gibi fidye yazılımlarının ortaya koyduğu riskleri azaltmak için kritik olmaya devam etmektedir.
Ücretsiz Web Semineri: Olay yanıtı ve tehdit avı için etkileşimli kötü amaçlı yazılım sanal alanına sahip daha iyi SOC – buraya kaydolun