Cl0p (Clop) fidye yazılımının Linux (ELF) varyantında kullanılan kusurlu şifreleme mantığı, SentinelOne araştırmacılarının ücretsiz bir şifre çözücü oluşturmasına ve yayınlamasına izin verdi.
“ [Cl0p] Windows varyantı, asimetrik algoritma RSA ve bir genel anahtar kullanarak dosya şifrelemeden sorumlu oluşturulan RC4 anahtarını şifreler. Linux varyantında, üretilen RC4 anahtarı bir RC4 ile şifrelenir. [hardcoded] ‘ana anahtar’,” diye açıkladı araştırmacılar.
Windows ve Linux varyantları arasındaki farklar
Linux Cl0p değişkeni nispeten yenidir ve araştırmacılar tarafından ilk olarak Aralık 2022’nin sonlarında tespit edilmiştir.
“Windows sürümlerinde bulunan bazı işlevler şu anda bu yeni Linux sürümünde bulunmadığından, ilk geliştirme aşamalarında görünüyor” dediler.
“Bunun bir nedeni, şu anda VirusTotal’daki 64 güvenlik motorunun tümü tarafından algılanmadığı gerçeği nedeniyle, tehdit aktörünün şaşırtmayı veya kaçmayı iyileştirmek için zaman ve kaynak ayırması gerekmemiş olması olabilir.”
Windows ve Linux varyantı arasındaki farklar çoktur. Örneğin, ilki belirli klasörleri, dosyaları ve belirli uzantılara sahip dosyaları şifrelemekten kaçınır ve ikincisi bunu yapmaz. İlki, hangi sürücülerin şifreleme için hedefleneceğine rehberlik etmek için farklı parametrelerle çalıştırılabilirken, ikincisi yalnızca belirtilen sabit kodlu klasörleri şifrelemeye odaklanır. İlki, şifrelenen şifreli bir fidye notu taşır, ancak birincisi notu düz metin olarak saklar.
Ancak kurbanların bakış açısından en önemli fark, şifre çözücünün yaratılmasını mümkün kılan kusurdur.
Araştırmacılar, “Yaklaşık son on iki ayda, bireysel fidye yazılımı operatörleri veya varyantları tarafından birden çok platformun artan şekilde hedeflendiğini gözlemlemeye devam ettik.”
“Cl0p’nin Linux aromalı varyasyonu şu anda emekleme aşamasında olsa da, geliştirilmesi ve Linux’un sunucularda ve bulut iş yüklerinde neredeyse her yerde kullanılması, savunucuların gelecekte daha fazla Linux hedefli fidye yazılımı kampanyası görmeyi beklemeleri gerektiğini gösteriyor.”
Cl0p ransomware geliştiricilerinin güvenlik açığını yakında düzeltmesi bekleniyor. Bu arada, kurbanlar şifre çözme aracını kullanabilir ve sistemlerini genel olarak fidye yazılımı saldırılarına karşı daha iyi korumaya çalışabilirler.