Siber tehdit manzarasında “Lyrix” olarak adlandırılan sofistike yeni fidye yazılımı suşu, dünya çapında güvenlik araştırmacılarının dikkatini çeken ileri kaçırma tekniklerinin bir cephaneliğine sahip Windows sistemlerini hedefleyen ortaya çıktı.
Kötü amaçlı yazılım, fidye yazılımı gelişiminde önemli bir evrimi temsil eder ve makine öğrenimi tabanlı algılama önleme ve geleneksel güvenlik yaklaşımlarına meydan okuyan yeni kalıcılık mekanizmalarını içerir.
İlk raporlar, fidye yazılımlarının zaten Kuzey Amerika ve Avrupa’daki birkaç kurumsal ağdan ödün verdiğini ve saldırganların hedef kuruluşun büyüklüğüne ve algılanan ödeme yeteneğine bağlı olarak 50.000 ila 2 milyon dolar arasında değişen fidye ödemeleri talep ettiğini gösteriyor.
.png
)
Saldırı kampanyası, çok vantiyeli bir yaklaşımdan yararlanıyor gibi görünüyor, tehdit aktörleri öncelikle halka açık uygulamalarda, özellikle de Microsoft Exchange Server ve VMware vCenter’ın modası geçmiş sürümlerini çalıştıranlardan yararlanmamış güvenlik açıklarından yararlanıyor.
İkincil enfeksiyon vektörleri, güvenlik yamaları veya yazılım güncellemeleri olarak gizlenmiş silahlı ataşmanlara sahip sistem yöneticilerini hedefleyen mızrak aktı kampanyalarını içerir.
Fidye yazılımı operatörleri, son derece ikna edici kimlik avı mesajları hazırlamak için LinkedIn ve kurumsal web siteleri aracılığıyla hedef kuruluşlara ön keşif yapan sofistike sosyal mühendislik yetenekleri gösterdiler.
Cyfirma araştırmacıları, son saldırı modellerini analizleri sırasında kötü amaçlı yazılımların benzersiz özelliklerini belirlediler ve Lyrix’in “davranışsal bukalemun modu” adı verilen daha önce görünmeyen bir teknik kullandığını belirtti.
.webp)
Bu, fidye yazılımının, hedef ortamda tespit edilen güvenlik araçlarına göre yürütme modellerini değiştirmesini sağlar.
Kötü amaçlı yazılımın etkisi, birincil şifreleme rutinini başlatmadan önce yedekleme sistemlerini, gölge kopyalarını ve kurtarma bölümlerini sistematik olarak hedeflediği için tipik dosya şifrelemesinin ötesine uzanır.
Lyrix’ten etkilenen kuruluşlar tam sistem felci bildirmiştir, geri kazanım süreleri yedeklemeler mevcut olsa bile iki haftadan fazla uzanmıştır.
Fidye yazılımı operatörleri, fidye talepleri 72 saat içinde karşılanmazsa, çalınan verileri yayınlamakla tehdit ettikleri birden fazla Tor tabanlı sızıntı sitesi aracılığıyla karanlık bir web varlığı oluşturdular.
İstihbarat, Lyrix’in arkasındaki grubun, paylaşılan kod imzaları ve benzer iletişim protokolleri tarafından kanıtlandığı gibi, diğer önde gelen fidye yazılımı aileleriyle bağlantıları olabileceğini öne sürüyor.
.webp)
Bu tehdidin ortaya çıkışı, kurumsal siber güvenlik savunmalarını iyileştirmek için daha sofistike kaçak taktiklerini benimseyen fidye yazılımı gruplarının daha geniş bir eğilimi ile örtüşmektedir.
Gelişmiş kalıcılık ve tespit kaçınma mekanizmaları
Lyrix, kalıcılık mekanizmalarında dikkate değer bir karmaşıklık sergiliyor ve araştırmacıların “kayıt defteri zaman bombası” olarak adlandırdığı bir teknik kullanarak.
Kötü amaçlı yazılım, önceden belirlenmiş aralıklarla hareketsiz kod yürüten meşru kayıt defteri girişleri oluşturur ve tespiti geleneksel antivirüs çözümleri için önemli ölçüde daha zorlaştırır.
Fidye yazılımı, birincil yükünü explorer.exe ve svchost.exe gibi meşru pencere işlemleri aracılığıyla enjekte eden çok aşamalı bir yükleyici kullanır.
Bu işlem enjeksiyon tekniği aşağıdaki yaklaşımı kullanır:-
HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, targetPID);
LPVOID pRemoteCode = VirtualAllocEx(hProcess, NULL, payloadSize,
MEM_COMMIT, PAGE_EXECUTE_READWRITE);
WriteProcessMemory(hProcess, pRemoteCode, payload, payloadSize, NULL);
CreateRemoteThread(hProcess, NULL, 0, pRemoteCode, NULL, 0, NULL);Kötü amaçlı yazılımların kaçınma özellikleri, her 24 saatte bir şifreleme anahtarlarını değiştiren özel şifreleme algoritmalarına sahip çalışma zamanı paketlemesini içerir ve imza tabanlı algılama sistemleri için etkili bir şekilde hareketli bir hedef oluşturur.
Ek olarak, Lyrix, belirli kayıt defteri anahtarlarını, dosya yollarını ve güvenlik araştırma araçlarıyla yaygın olarak ilişkili çalışma süreçlerini kontrol ederek analiz ortamları için monitörler, algılanırsa hemen yürütmeyi sonlandırır.
9 yılını kutlayın. Run! Tam gücünün kilidini açmak TI Arama Planı (100/300/600/1.000+ arama istekleri) ve istek kotanız iki katına çıkacaktır.