Fidye yazılımı hizmeti (RaaS), karmaşık kurumsal benzeri bir modele dönüştü. 2022’den 2023’e, karanlık web’de reklamı yapılan fidye yazılımı programları yarı yarıya arttı ve 27 reklam belirlendi.
RAMP forumu fidye yazılımı için işe alımların ana merkezi haline getirildi. Belirli sızıntı sitelerinde yayınlanan saldırılar %74 oranında artarak 2023’te 4.583’e ulaştı.
Bu, fidye yazılımı dağıtımında uzmanlaşmış tehdit aktörlerinden oluşan, gelişen ve yapılandırılmış bir ekosistemi akla getiriyor.
Group-IB’deki siber güvenlik araştırmacıları yakın zamanda yeni Eldorado fidye yazılımının Windows ve Linux sistemlerine saldırdığını tespit etti.
Ücretsiz web seminerimize katılarak şu konularda bilgi edinin: yavaş DDoS saldırılarıyla mücadelebugün büyük bir tehdit.
Eldorado Fidye Yazılımı-hizmet-olarak
Mart 2024’te RAMP forumunda Eldorado adında yeni bir fidye yazılımı iştirak programı ortaya çıktı.
Rusça konuşan aktörler tarafından geliştirilen bu yazılım, Golang, Chacha20 ve RSA-OAEP şifrelemesini kullanarak Windows ve Linux için özel olarak üretilmiş kötü amaçlı yazılımları kullanıyor.
Haziran 2024’e kadar Eldorado, esas olarak ABD’de (81,25%) 16 şirkete saldırdı ve en çok hedef alınan sektör Emlak oldu (18,75%). Grup, operasyonlar için bir karanlık web sohbet platformu ve bir sızıntı sitesi kullanıyor.
Farklı işletim sistemlerinde çalışabilen Golang programlama diliyle yazılmış olması sebebiyle hem Microsoft hem de Linux kullanıcılarını etkileyebiliyor.
Şifrelediği tüm dosyaların adlarına “.00000001” ekliyor ve ayrıca kişiselleştirilmiş fidye notları kullanıyor.
Yük, komut satırı parametrelerine, gzip ile sıkıştırılmış bir yapılandırmaya, web soketleri üzerinden belirli bir IP’ye günlük kaydına ve doğru bir şekilde kullanıcı adı/şifre kombinasyonu sağlandığında, SMB protokolünü kullanarak bir kuruluş içindeki paylaşılan ağ dosyalarını şifrelemeye sahiptir.
Eldorado fidye yazılımı dosya şifrelemesi için Chacha20’yi ve anahtar şifrelemesi için RSA-OAEP’yi kullanır. Bunun yanı sıra, her dosya için benzersiz anahtarlar da üretir.
Şifreleme sonrası, aksi belirtilmediği sürece rastgele baytlarla üzerine yazarak ve kendini silerek kendini imha eder. Hatta Windows gölge birim kopyalarını da kaldırır.
Linux versiyonu daha basittir, sadece belirtilen dizinleri tekrarlı olarak şifreler.
Fidye yazılımları giderek daha popüler hale gelse de tehdit aktörleri stratejilerini sürekli değiştiriyor.
Bu eğilimin en iyi örneği, karmaşık çapraz platform fidye yazılımlarıyla hızla önemli bir risk haline gelen Eldorado grubudur.
Fidye yazılımı tehdidinin dinamik yapısı, başarıları ve sürekli olarak yeni kötü amaçlı yazılım türleri ve bağlı programların oluşturulmasıyla ortaya çıkıyor.
Bu tehdit devam ettiği için kuruluşların dikkatli olmaları ve siber güvenlik yaklaşımlarını değiştirmeleri gerekiyor.
Öneriler
Aşağıda tüm önerilerimizi belirttik:
- Çok faktörlü kimlik doğrulamayı (MFA) uygulayın
- Tehditlerin erken tespiti için Uç Nokta Algılama ve Müdahale (EDR) özelliğini kullanın.
- Düzenli veri yedeklemeleri yapın
- Gelişmiş kötü amaçlı yazılım patlatma çözümlerini dağıtın
- Zamanında güvenlik yamalarını önceliklendirin
- Çalışanlara siber güvenlik eğitimi verin
- Düzenli olarak güvenlik açığı değerlendirmeleri gerçekleştirin
- Fidye ödemekten kaçının
IoC’ler
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo