Yeni Nevada Ransomware, Windows ve VMware ESXi sistemlerini hedefliyor

   Şubat 1, 2023  Posted in Bleeping Computer


Güvenlik araştırmacıları, Windows ve VMware ESXi sistemlerini hedefleyen dolabın gelişmiş işlevselliğini fark ettikçe, Nevada olarak bilinen nispeten yeni bir fidye yazılımı operasyonu, yeteneklerini hızla artırıyor gibi görünüyor.

Nevada fidye yazılımı, 10 Aralık 2022’de RAMP darknet forumlarında tanıtılmaya başlandı ve Rusça ve Çince konuşan siber suçluları ödenen fidyelerden %85 kesinti için katılmaya davet etti.

Çok sayıda kurban getiren bağlı kuruluşlar için Nevada, gelir paylarını %90’a çıkaracaklarını söylüyor.

RAMP'ta Nevada fidye yazılımı promosyonu
RAMP’ta Nevada fidye yazılımı promosyonu (Yeniden güvenlik)

RAMP daha önce Rus ve Çinli bilgisayar korsanlarının siber suç operasyonlarını tanıttığı veya akranlarıyla iletişim kurduğu bir alan olarak bildirilmişti.

Nevada fidye yazılımı, Rust tabanlı bir dolap, gerçek zamanlı müzakere sohbet portalı, bağlı kuruluşlar ve kurbanlar için Tor ağında ayrı etki alanları içerir.

Nevada iştirakleri kontrol paneli
Nevada iştirakleri kontrol paneli (Yeniden güvenlik)

Yeniden güvenlik araştırmacıları yeni kötü amaçlı yazılımı analiz ettiler ve bulguları hakkında bir rapor yayınladılar. Nevada fidye yazılımının İngilizce konuşan bağlı kuruluşları hariç tutma konusunda açık olmasına rağmen, operatörlerin her yerden incelenmiş erişim aracılarıyla iş yapmaya açık olduğunu söylüyorlar.

Windows ana makinelerini hedefleme

Windows makinelerine odaklanan Nevada fidye yazılımı türevi, konsol aracılığıyla yürütülür ve operatörlerine şifreleme üzerinde bir miktar kontrol sağlayan bir dizi işareti destekler:

  • -file > seçilen dosyayı şifrele
  • -dir > seçilen dizini şifrele
  • -sd > her şey bittikten sonra kendi kendini sil
  • -sc > gölge kopyaları sil
  • -lhd > gizli sürücüleri yükle
  • -nd > ağ paylaşımlarını bul ve şifrele
  • -sm > güvenli mod şifrelemesi

Nevada fidye yazılımının ilginç bir özelliği, şifreleme sürecinden ayırdığı sistem yerel ayarları kümesidir. Tipik olarak fidye yazılımı çeteleri, Rusya ve BDT (Bağımsız Devletler Topluluğu) ülkelerindeki kurbanları dışlar. Bu kötü amaçlı yazılımla birlikte liste Arnavutluk, Macaristan, Vietnam, Malezya, Tayland, Türkiye ve İran’a kadar uzanıyor.

Yük, ağ kaynakları hakkında bilgi toplamak için MPR.dll’yi kullanır ve şifreleme kuyruğuna paylaşılan dizinler ekler. Gizli olanlar da dahil olmak üzere her sürücüye bir harf atanır ve içindeki tüm dosyalar da kuyruğa eklenir.

Bu aşamadan sonra, şifreleyici bir hizmet olarak yüklenir ve ardından ihlal edilen sistem, etkin bir ağ bağlantısı ile Windows güvenli modda yeniden başlatılır.

Dolap, daha hızlı şifreleme için 512 KB’den büyük dosyalarda aralıklı şifreleme gerçekleştirmek için Salsa20 algoritmasını kullanır.

Windows sistem klasörlerindeki ve kullanıcının Program Dosyalarındaki yürütülebilir dosyalar, DLL’ler, LNK’ler, SCR’ler, URL’ler ve INI dosyaları, kurban ana bilgisayarın önyüklenemez hale gelmesini önlemek için şifrelemenin dışında tutulur.

Şifrelenmiş dosyalar ve fidye notu
Şifrelenmiş dosyalar ve fidye notu (Yeniden güvenlik)

Şifreli dosyalara “.NEVADA” dosya uzantısı eklenir ve her klasör, kurbanlara tehdit aktörünün taleplerini karşılamaları için beş gün tanıyan bir fidye notu içerir, aksi takdirde çalınan verileri Nevada’nın veri sızıntısı web sitesinde yayınlanır.

Fidye notu
Nevada fidye notu (Yeniden güvenlik)

VMware ESXi sistemlerini hedefleme

Nevada fidye yazılımının Linux/VMware ESXi sürümü, Windows değişkeniyle aynı şifreleme algoritmasını (Salsa20) kullanır. Daha önce Petya fidye yazılımında görülen bir yaklaşım olan sabit bir değişkene dayanır.

Linux şifreleyici aynı aralıklı şifreleme sistemini takip eder. yalnızca 512 KB’den küçük dosyaları tamamen şifreler.

Araştırmacı, muhtemelen Linux sürümündeki bir hata nedeniyle, Nevada fidye yazılımının 512KB ile 1.25MB arasındaki tüm dosyaları atlayacağını keşfetti.

Linux dolabı aşağıdaki bağımsız değişkenleri destekler:

  • -yardım > yardım
  • -daemon > bir ‘nevada’ hizmetinin oluşturulması ve başlatılması
  • -file > belirli bir dosyayı şifrele
  • -dir > belirli bir klasörü şifrele
  • -esxi > tüm sanal makineleri devre dışı bırak

Linux sistemlerinde, ortak anahtar, ek 38 bayt biçiminde şifrelenmiş dosyanın sonunda depolanır.

Resecurity, Petya fidye yazılımı ile paylaşılan benzerliklerin, fidye ödemeden verilerin kurtarılmasına izin verecek şekilde özel anahtarın da alınmasını mümkün kılabilecek şifreleme uygulama hatalarına kadar uzandığını söylüyor.

“Nevada Ransomware tarafından şifrelenen verileri kurtarmak için, Salsa20 için nonce dosyanın sonuna eklenen “B” özel anahtarını ve “A” genel anahtarını ve dosyanın boyutunu ve algoritmasını bilmemiz gerekir. şifrelemek için ‘çizgileri’ seçmek için kullanılır (potansiyel olarak ölçülebilir veya tahmin edilebilir). – Güvenlik
Bir şifre çözücünün sahte prototipi
Bir şifre çözücünün sahte prototipi (Yeniden güvenlik)

Nevada fidye yazılımı, becerikli bilgisayar korsanları aramak için bağlı kuruluşlar ve ilk erişim aracıları ağını oluşturmaya devam ediyor.

Resecurity, Nevada fidye yazılımı operatörlerinin güvenliği ihlal edilmiş uç noktalara erişim satın aldığını ve izinsiz girişi gerçekleştirmek için özel bir sömürü sonrası ekibiyle bağlantı kurduğunu gözlemledi.

Araştırmacılar, bu tehdidin büyümesini sürdürdüğünü ve yakından izlenmesi gerektiğini belirtiyor.



Source link