Siber güvenlik araştırmacıları, daha önce belgelenmemiş bir fidye yazılımı türünün örtüsünü kaldırdı. Rorschach bu hem gelişmiş hem de hızlı.
Check Point Research yeni bir raporda, “Rorschach’ı diğer fidye yazılımı türlerinden ayıran şey, yüksek düzeyde özelleştirme ve teknik olarak daha önce fidye yazılımında görülmemiş benzersiz özellikleridir.” Dedi. “Aslında Rorschach, şifreleme hızı açısından şimdiye kadar gözlemlenen en hızlı fidye yazılımı türlerinden biridir.”
Siber güvenlik firması, fidye yazılımının adı açıklanmayan ABD merkezli bir şirkete karşı konuşlandırıldığını gözlemlediğini ve onu daha önce bilinen herhangi bir fidye yazılımı aktörüne bağlayan hiçbir markalama veya çakışma olmadığını da sözlerine ekledi.
Ancak, Rorschach’ın kaynak kodunun daha ayrıntılı analizi, Eylül 2021’de sızıntı yaşayan Babuk fidye yazılımı ve LockBit 2.0 ile benzerlikler ortaya koyuyor. Bunun da ötesinde, kurbanlara gönderilen fidye notlarının Yanluowang ve DarkSide’dan ilham aldığı görülüyor.
Saldırının en önemli yönü, bu tür saldırılarda gözlemlenmeyen bir yöntem olan fidye yazılımı yükünü yüklemek için DLL yandan yükleme adı verilen bir tekniğin kullanılmasıdır. Gelişme, finansal olarak motive olmuş grupların tespitten kaçınmak için benimsediği yaklaşımlarda yeni bir karmaşıklığa işaret ediyor.
Spesifik olarak, fidye yazılımının, “winutils.dll” adlı bir kitaplığı yandan yüklemek için Palo Alto Network’ün Cortex XDR Dump Service Tool’u (cy.exe) kötüye kullanarak konuşlandırıldığı söyleniyor.
Bir başka benzersiz özelliği de, son derece özelleştirilebilir doğası ve dosyaları manipüle etmek ve savunma mekanizmalarını atlamak için doğrudan sistem çağrılarının kullanılmasıdır.
Rorschach fidye yazılımı ayrıca önceden tanımlanmış bir hizmet listesini sonlandırmak, gölge birimleri ve yedekleri silmek, adli izi silmek için Windows olay günlüklerini temizlemek, Windows güvenlik duvarını devre dışı bırakmak ve hatta eylemlerini tamamladıktan sonra kendisini silmekle görevlidir.
Check Point ve Güney Koreli siber güvenlik şirketi AhnLab’a göre, bu Şubat ayı başlarında yanlışlıkla bulaşma zincirini DarkSide’a bağlayan dahili yayılma, etki alanı denetleyicisinden ödün verilerek ve bir grup ilkesi oluşturularak elde ediliyor.
Fidye yazılımı, vahşi ortamda gözlemlenen diğer kötü amaçlı yazılım türleri gibi, sistem dilini kontrol ederek Bağımsız Devletler Topluluğu (BDT) ülkelerinde bulunan makineleri atlar.
Bir Olay Müdahale Uzmanı Olun!
Kurşun geçirmez olay müdahalesinin sırlarını ortaya çıkarın – Cynet’in IR Lideri Asaf Perlman ile 6 Aşamalı süreçte ustalaşın!
Fırsatı Kaçırmayın – Koltuğunuzu Kaydedin!
Araştırmacılar Jiri Vinopal, Dennis Yarizadeh ve Gil Gekker, “Rorschach fidye yazılımı, şifreleme amaçları için eğri25519 ve eSTREAM cipher hc-128 algoritmalarını harmanlayan oldukça etkili ve hızlı bir hibrit şifreleme şeması kullanıyor.”
Bu işlem, tüm dosya yerine orijinal dosya içeriğinin yalnızca belirli bir bölümünü şifrelemek için tasarlanmıştır ve onu bir “hız iblisi” yapan ek derleyici optimizasyon yöntemleri kullanır.
Check Point tarafından kontrollü bir ortamda gerçekleştirilen beş ayrı testte, 220.000 dosya Rorschach kullanılarak ortalama dört dakika 30 saniyede şifrelendi. LockBit 3.0 ise yaklaşık yedi dakika sürdü.
Araştırmacılar, “Geliştiricileri, tespit edilmekten kaçınmak ve güvenlik yazılımı ile araştırmacıların etkilerini analiz etmesini ve azaltmasını zorlaştırmak için yeni anti-analiz ve savunma kaçırma teknikleri uyguladı” dedi.
“Ayrıca Rorschach, çevrimiçi sızdırılan önde gelen fidye yazılımlarından bazılarının ‘en iyi’ özelliklerini almış ve hepsini bir araya getirmiş görünüyor. Rorschach’ın kendi kendini yayma yeteneklerine ek olarak, bu, fidye saldırıları için çıtayı yükseltiyor.”
Bulgular, Fortinet FortiGuard Labs’ın Python tabanlı bir dosya kilitleme kötü amaçlı yazılımı olan PayMe100USD ve Nim programlama dilinde yazılmış Dark Power adlı yeni ortaya çıkan iki fidye yazılımı ailesini ayrıntılı olarak açıklamasıyla geldi.