Üretken Clop fidye yazılımı ailesinin yeni tespit edilen bir versiyonu, güvenlik ekipleri için hem iyi hem de kötü haberler içeriyor.
İyi haber şu ki, kötü amaçlı yazılım hatalı ve kurbanlar, önce bir şifre çözme anahtarı için fidye ödemek zorunda kalmadan, şifrelediği herhangi bir verinin şifresini nispeten kolayca çözebiliyor. Kötü haber şu ki, yeni kötü amaçlı yazılım aynı zamanda, operatörlerine yüz milyonlarca dolar kazandıran çok sayıda yüksek profilli saldırıyla ilişkili özellikle kötü bir fidye yazılımı türü olan Clop’un ilk Linux sürümü.
Hatalı Şifreleme
SentinelOne’ın SentinelLabs tehdit avcılığı ekibinden araştırmacılar, Kolombiya’daki bir üniversitede Linux sistemlerini hedef alan en son Clop değişkenini gözlemlediler. Şirketin analiz ettiği örnekler, Linux kodunun daha tehlikeli Windows akrabasıyla benzer bir mantığa sahip olduğunu, API çağrılarını ve farklı işletim sistemlerine özgü diğer özellikleri içeren küçük farklılıklar olduğunu gösterdi.
SentinelOne’ın analizi, Clop’un Linux sürümünün muhtemelen yalnızca ilk geliştirme aşamalarında olduğunu ve kötü amaçlı yazılımın Windows sürümlerinde bulunan birçok şaşırtma ve kaçma yeteneğinin eksik olduğunu gösterdi. Güvenlik satıcısı, bunun nedeninin Virus Total’deki 64 virüs algılama motorundan hiçbirinin şu anda Linux Clop varyantını algılayamaması gerçeğiyle ilgili olabileceğini değerlendirdi.
Anlamlı bir şekilde, SentinelOne araştırmacıları, Linux varyantındaki şifreleme mantığının kusurlu olduğunu buldular. SentinelOne’da tehdit istihbaratı araştırmacısı Antonis Terefos, “Sorun, Windows ve Linux varyantları arasındaki birkaç önemli farktan kaynaklanıyor” diyor.
Linux sürümü, çıkarıldığında şifre çözmeye izin veren sabit kodlanmış bir ana anahtar içerir, diyor. “Kusur, belirli bir örnek için RC4 ‘ana anahtarının’ ne olduğunun basit bir şekilde çıkarılmasına veya keşfedilmesine izin veriyor,” diyor ve SentinelOne’ın varyant için ücretsiz bir şifre çözücü yayınladığını ekliyor.
Öte yandan Windows sürümü, farklı bir anahtar oluşturma işleminin yanı sıra bir dizi doğrulama adımı içerir ve bu da ana anahtarın benzer şekilde alınmasını zorlaştırır. Özellikle, Windows sürümü güvenliği ihlal edilmiş bir sistemdeki her şifrelenmiş dosya için bir RC4 anahtarı oluşturur ve ardından şifreleme anahtarının kendisini şifreler ve sistemde depolar. Fidyeyi ödeyen kurbanlar, daha sonra gerçek verilerin şifresini çözmek için kullanılan RC4 anahtarının şifresini çözmek için bir şifre çözme anahtarı alırlar.
Windows ve Linux Clop Sürümleri Arasındaki Diğer Farklılıklar
SentinelOne, Clop’un Windows ve Linux varyantları arasındaki başka farkları da keşfetti. Örneğin, Windows varyantı, bir sistemdeki belirli dosyaları, klasörleri ve uzantıları şifrelemenin dışında tutan mantığı içerir. Terefos, Linux varyantında ise şifreleme için hedeflenen yollar kötü amaçlı yazılıma sabit olarak kodlanıyor, diyor Terefos: “Bu nedenle, istenmeyen konumları ‘dışlamaya’ gerek yok.”
Yeni Clop sürümü, Linux sistemlerini hedef alan ve sayısı giderek artan fidye yazılımı türevleri listesine yenilerini ekliyor; diğer örnekler arasında Hive, Smaug, Snake ve Quilin bulunur. Eğilimi takip eden Trend Micro araştırmacıları, 2022’nin ilk yarısında Linux sistemlerini hedef alan fidye yazılımı saldırılarında önceki yıla göre %75 artış bildirdi. Eylül ayındaki bir raporda, güvenlik tedarikçisi, bir tehdit aktörünün bir saldırı girişiminde Linux fidye yazılımı kullandığı 1.960 örnek gözlemlediğini bildirdi. Bu sayı, 2021’in aynı döneminde 1.121 idi.
Saldırganların Linux Zararlı Yazılımlarına İlgisi Artıyor
O zamandan beri, durum Linux sistemleri için daha da kötüleşti. Trend Micro tehdit istihbaratı başkan yardımcısı Jon Clay, 2022’nin tamamı boyunca Trend Micro’nun Linux kötü amaçlı yazılımlarını içeren yaklaşık 27.602 saldırı tespit ettiğini söylüyor. Bu, 2021’e göre %628’lik bir artışı temsil ediyor ve ekliyor: “Linux sistemlerini hedefleyen çok daha fazla fidye yazılımı grubu görüyoruz.”
Clay, saldırıların Linux ortamlarını hedef alan her türlü kötü amaçlı yazılımdaki daha geniş bir artışın parçası olduğunu söylüyor. Bir örnek olarak, 2021’den 2022’ye kadar Linux’u hedefleyen kripto madencilerinde %61’lik bir artışa işaret ediyor. VMware gibi diğerleri, Linux ana bilgisayarları aracılığıyla sanal makineleri ve kapsayıcıları hedefleyen farklı türde kötü amaçlı yazılım araçlarında bir artış kaydetti. Geçen yılki bir raporda şirket, saldırganların Cobalt Strike istismar sonrası araç setini bir Linux ana bilgisayarına dağıtmaya çalıştığı 14.000’den fazla örnek tespit ettiğini bildirdi.
Windows sistemlerini hedef alan saldırıların sayısı, Linux ortamlarına yönelik olanlardan büyüklük sırasına göre daha fazla olmaya devam ediyor. Yine de, saldırganların Linux’a yönelik artan ilgisi, işletmelerin görmezden gelemeyeceği bir şeydir.
Terefos, “Linux ve bulut cihazları, potansiyel kurbanlardan oluşan zengin bir havuz sunuyor” diyor. “Son yıllarda, birçok kuruluş bulut bilgi işlem ve sanallaştırılmış ortamlara yöneldi, bu da Linux ve bulut sistemlerini fidye yazılımı saldırıları için giderek daha çekici hedefler haline getirdi.”
Terefos, Rust ve Go gibi platformlar arası programlama dillerindeki artışın, kötü amaçlı yazılımları diğer platformlara taşıma engelini azalttığı için karışımdaki bir başka faktör olduğunu belirtiyor. “Bunu Hive, Royal, LockBit, Agenda vb. diğer gruplarda gördük. Bulut ortamlarını başarıyla hedeflemek, bu grupların gelecekteki başarısı için operasyonel bir gereklilik.”