Siber güvenlik satıcısı Sophos, SophosEncrypt adlı yeni bir hizmet olarak fidye yazılımı tarafından taklit ediliyor ve tehdit aktörleri operasyonları için şirketin adını kullanıyor.
tarafından dün keşfedildi Kötü Amaçlı Yazılım Avcısı Ekibifidye yazılımının başlangıçta Sophos tarafından yapılan bir kırmızı takım tatbikatının parçası olduğu düşünülüyordu.
Ancak Sophos X-Ops ekibi, şifreleyiciyi kendilerinin yaratmadığını ve lansmanını araştırdıklarını tweetledi.
“Bunu daha önce VT’de bulduk ve araştırıyorduk. İlk bulgularımız, Sophos InterceptX’in bu fidye yazılımı örneklerine karşı koruma sağladığını gösteriyor.” tweet attı Sofos.
Ayrıca, ID Fidye Yazılımı, virüs bulaşmış kurbanlardan bir gönderim göstererek bu Hizmet Olarak Fidye Yazılımı operasyonunun etkin olduğunu gösterir.
RaaS operasyonu ve nasıl tanıtıldığı hakkında çok az şey bilinmekle birlikte, MalwareHunterTeam tarafından şifreleyicinin bir örneği bulundu ve bu, nasıl çalıştığına hızlı bir şekilde bakmamızı sağladı.
SophosEncrypt fidye yazılımı
Fidye yazılımı şifreleyici Rust’ta yazılmıştır ve kasaları için ‘C:\Users\Dubinin\’ yolunu kullanır. Dahili olarak, fidye yazılımı ‘sophos_encrypt’ olarak adlandırılır, bu nedenle tespitler zaten ID Ransomware’e eklenmiş olarak SophosEncrypt olarak adlandırılmıştır.
Şifreleyici yürütüldüğünde, bağlı kuruluştan kurbanla ilişkili, muhtemelen ilk olarak fidye yazılımı yönetim panelinden alınan bir belirteci girmesini ister.
Bir jeton girildiğinde, şifreleyici 179.43.154.137:21119’a bağlanacak ve jetonun geçerli olup olmadığını doğrulayacaktır. Fidye yazılımı uzmanı Michael Gillespie, ağ kartlarınızı devre dışı bırakarak ve şifreleyiciyi etkin bir şekilde çevrimdışı çalıştırarak bu doğrulamayı atlamanın mümkün olduğunu buldu.
Geçerli bir belirteç girildiğinde, şifreleyici fidye yazılımı ortağından cihazı şifrelerken kullanılacak ek bilgileri isteyecektir.
Bu bilgiler, bir iletişim e-postası, jabber adresi ve Gillespie’nin şifreleme algoritmasının bir parçası olarak kullanıldığını söylediği 32 karakterlik bir şifreyi içerir.
Şifreleyici daha sonra bağlı kuruluştan aşağıda gösterildiği gibi bir dosyayı şifrelemesini veya tüm cihazı şifrelemesini isteyecektir.
Kaynak: BleepingComputer
Gillespie, dosyaları şifrelerken BleepingComputer’a PKCS#7 dolgulu AES256-CBC şifreleme kullandığını söyledi.
Her şifrelenmiş dosyada girilen belirteç, girilen e-posta ve sophos uzantı : biçiminde bir dosyanın adına eklenir.[[]].[[]].sophos. Bu, aşağıda BleepingComputer tarafından yapılan bir test şifrelemesinde gösterilmektedir.
Kaynak: BleepingComputer
Bir dosyanın şifrelendiği her klasörde, fidye yazılımı, şifreleme bittiğinde otomatik olarak başlatılan info.hta adlı bir fidye notu oluşturur.
Bu fidye notu, kurbanın dosyalarına ne olduğu ve bağlı kuruluş tarafından cihazı şifrelemeden önce girilen iletişim bilgileri hakkında bilgi içerir.
Kaynak: BleepingComputer
Şifreleyici, http://xnfz2jv5fk6dbvrsxxf3dloi6by3agwtur2fauydd3hwdk4vmm27k7ad.onion adresinde bulunan bir Tor sitesine çok sayıda referans içerir.
Bu Tor sitesi bir müzakere veya veri sızıntısı sitesi değil, hizmet olarak fidye yazılımı operasyonu için ortaklık paneli gibi görünen bir sitedir.
Kaynak: BleepingComputer
Araştırmacılar, herhangi bir zayıflığın dosyaların ücretsiz olarak kurtarılmasına izin verip vermediğini görmek için hâlâ SophosEncrypt’i analiz ediyor.
Herhangi bir zayıflık veya şifreleme sorunu bulunursa, bu makale için bir güncelleme yayınlayacağız.