Fidye yazılımları, siber güvenlik alanında giderek daha fazla yer kaplıyor ve hem bireylere hem de kurumlara önemli zararlar veriyor.
Şifrelenmiş dosyaları kurtarmanın zorluğu ve çalınan verilerin potansiyel olarak ifşa edilmesi nedeniyle, aktif fidye yazılımı ailelerini takip etmek önemlidir. Şu anda artışta olan üç önemli tehdidi inceleyelim ve nasıl olduğunu gösterelim kum havuzu analizi onları proaktif olarak tespit etmeye yardımcı olabilir.
Bluesky Fidye Yazılımı
İlk olarak 2022’nin 2. çeyreğinde tanımlanan BlueSky fidye yazılımı, mevcut manzarada önemli bir siber güvenlik tehdidi olmaya devam ediyor. Windows çoklu iş parçacığı mimarisini istismar etmek için tasarlanmıştır ve bu da dosyaları daha hızlı şifrelemesine olanak tanır.
Bu kötü amaçlı yazılım, simetrik şifreleme algoritması ChaCha20’yi kullanarak karmaşık şifreleme yöntemleri kullanır. Ayrıca yanal hareket yeteneğine sahiptir ve aynı ağa ait birden fazla uç noktayı enfekte edebilir.
Şifreleme işlemi tamamlandıktan sonra, fidye yazılımı etkilenen dosyaların adlarını değiştirerek .bluesky uzantısını ekler. Ayrıca kurbanların Tor’da barındırılan bir sayfayı ziyaret ederek fidye ödemesini gerektiren bir fidye talimat dosyası oluşturur.
Bu fidye yazılımını içeren son saldırıların kökeni, ilk olarak Microsoft SQL Server’larına sızmalara dayanıyor; çünkü fidye yazılımı saldırganları, kaba kuvvet de dahil olmak üzere, bu sistemlerdeki güvenlik açıklarını sıklıkla hedef alıyor.
BlueSky fidye yazılımı, analiz girişimlerine karşı savunma mekanizmaları içerdiğinden, siber güvenlik araştırmacılarının inceleme yapmasını ve karşı önlemler geliştirmesini zorlaştırıyor.
BlueSky Fidye Yazılımını Bir Sandbox’ta Algılama ve Analiz Etme
BlueSky’ın anti-analiz işlevselliğine rağmen, örneğini aşağıdaki gibi ücretsiz bir kötü amaçlı yazılım deneme ortamına yükleyerek kolayca ifşa edebiliriz: HERHANGİ BİR KOŞUgüvenli bir sanal patlatma ortamı sunuyor.
Görmek bu analiz oturumu daha fazla ayrıntı için.
Hizmet, kötü amaçlı yazılımı anında tespit eder ve “bluesky” ve “ransomware” etiketlerini ekleyerek varlığı hakkında bizi bilgilendirir. Ayrıca program tarafından gerçekleştirilen faaliyetleri de listeler:
- Dosya yeniden adlandırma.
- Kilitli dosyaların şifresinin nasıl çözüleceğine dair talimatlar içeren bir fidye notunun oluşturulması ve bırakılması. Etkileşimliliği sayesinde, sandbox bu notu manuel olarak açmamıza ve içeriğini okumamıza olanak tanır.
- Yapılan analizde ayrıca notta, mağdurun fidye ödemesi için ziyaret etmesi talimatının verildiği bir TOR ağı URL’sinin de yer aldığı ortaya çıktı.
Analiz tamamlandığında, dosyanın yürütülmesi sırasında toplanan tüm önemli bilgileri, tehlikeye ilişkin göstergeler de dahil olmak üzere içeren ayrıntılı bir rapor sunulur.
SOC/DFIR Ekiplerinden misiniz? – ANY.RUN Sandbox’ta Ücretsiz Olarak Dosyaları ve Bağlantıları Sınırsız Bir Şekilde Analiz Edin!
Lockbit Fidye Yazılımı
Lockbit fidye yazılımı, 2019’daki ortaya çıkışından bu yana önemli bir siber güvenlik tehdidi olmuştur. Yazılımını daha sonra saldırılar gerçekleştiren iştirakçilere sağlayan bir Fidye Yazılımı Hizmeti (RaaS) olarak faaliyet göstermektedir. En önemli hedeflerinden biri, saldırganların 80 milyon dolarlık benzeri görülmemiş bir fidye ücreti talep ettiği Royal Mail’di.
Lockbit fidye yazılımı dosyaları Gelişmiş Şifreleme Standardı (AES) kullanarak şifreler ve ardından AES anahtarını RSA algoritmasıyla şifreler. Bu çift şifreleme, kurbanların şifre çözme anahtarı olmadan verilerini kurtarmasını son derece zorlaştırır.
Ancak şifrelemeden önce kötü amaçlı yazılım, enfekte olmuş makinelerdeki tüm verileri çıkararak ekstra bir gasp katmanı ekliyor.
Lockbit grubu, şirketlere fidye ödemeleri için baskı uygulayarak kurbanlarını listeleyen bir web sitesi bulunduruyor. Kurbanlar uymayı reddederse, çalınan verileri kamuya açıklanıyor.
Lockbit fidye yazılımı sürekli olarak gelişti ve en son sürümü Lockbit v3, diğer adıyla Lockbit Black’tir.
Kolluk kuvvetlerinin bir koalisyonu 2024’ün başlarında altyapısını kaldırmasına rağmen Lockbit artık faaliyetlerine devam ediyor.
Son kampanyalardan biri şunları içeriyordu: kimlik avı e-postalarının dağıtımı Phorpiex botnet’inin yardımıyla. Kötü amaçlı yazılım bu e-postalara eklenen arşivler içinde yayıldı.
Sandbox’ta LockBit Black Fidye Yazılımını Algılama ve Analiz Etme
LockBit bulaşmasını önlemek için, e-posta ekleri de dahil olmak üzere tüm şüpheli dosyaları bir sanal alanda proaktif olarak analiz edebiliriz.
Bir parçası olarak analizgözlemleyebiliriz:
- Fidye yazılımının sisteme daha üst düzeyde erişim elde etmesine olanak tanıyan ayrıcalık yükseltme işlemini gerçekleştiren CMSTMLUA işlemi.
- Masaüstü duvar kağıdını değiştirmek, fidye yazılımı operatörlerinin sistemleri tehlikeye atılan kurbanları bilgilendirmek için kullandıkları yaygın bir taktiktir.
- Saldırganlarla iletişim kurmak için talimatlar ve Tor URL’leri içeren bir fidye notu dosyası.
Kum havuzu, analiz edilen dosyayı kötü amaçlı etkinlik sergileyen bir dosya olarak sınıflandırarak kesin bir karar verir.
Canavar Fidye Yazılımı
Beast fidye yazılımı Delphi programlama dili üzerine kurulmuştur. İlk olarak Mart 2022’de ortaya çıktı ve ilk olarak Monster fidye yazılımı olarak biliniyordu. Yalnızca Windows sistemlerini hedef alan birçok fidye yazılımı çeşidinin aksine, Beast fidye yazılımı Linux makinelerine de saldırabilir.
Kötü amaçlı yazılım, CIS ülkelerinde bulunan kullanıcıları muaf tutmak için tasarlanmıştır ve bu da yaratıcılarının bu bölgede bulunabileceğini düşündürmektedir. Beast ransomware, her şifrelenmiş dosyayı arşivleme gibi ek modüller içeren gelişmiş bir şifreleme yöntemi kullanır.
Kötü amaçlı yazılım, öncelikle e-posta ekleri ve bağlantıları aracılığıyla dağıtılır ve kimlik avı saldırılarına karşı insan zaafiyetinden yararlanır. Ortaya çıkan bir fidye yazılımı olmasına rağmen, Beast’in LockBit’e benzer şekilde ciddi ve yaygın bir tehdit olma potansiyeli vardır.
Bir Sandbox’ta Canavar Fidye Yazılımını Algılama ve Analiz Etme
Şüpheli dosyaları ve URL’leri bir sanal alanda çalıştırarak Beast’i ve diğer kötü amaçlı yazılımları kolayca açığa çıkarabiliriz.
Dikkate almak Bu analiz oturumunda.
Servis tarafından tespit edilen Beast aktivitelerinden bazıları şunlardır:
- Beast zararlı yazılımının bir mutex özelliğinin kurulumu.
- Sunucunun IP adresini almaya çalışın.
- Harici bir SMB sunucusuna bağlantı.
ANY.RUN’da Şüpheli Dosyaları ve URL’leri Analiz Edin
ANY.RUN sandbox, kötü amaçlı yazılım analizine etkileşimli bir yaklaşım sunar. Güvenli bir sanal ortamda dosyalar ve bağlantılarla etkileşime girebilir ve her bir tehdidin gerçek kapsamını araştırmak için gerekli tüm eylemleri gerçekleştirebilirsiniz.
Servis, ağ trafiği, kayıt defteri, dosya sistemi ve süreçler genelindeki tüm etkinlikleri otomatik olarak algılar, listeler ve tehlikeye ilişkin göstergeleri çıkarır.
Explore all features of ANY.RUN, including the private mode and extra VM settings, by requesting a 14-day Free Trial!