Yeni ve gelişmiş bir fidye yazılımı ailesi KilitBit Değilgelişmiş yetenekleri ve platformlar arası işlevselliğiyle siber güvenlik dünyasında dalga yaratıyor. Ünlü LockBit fidye yazılımının tekniklerini taklit ederek, KilitBit Değil özel saldırı stratejileriyle hem macOS hem de Windows işletim sistemlerini hedef alan, zorlu yeni bir tehdit olduğu kanıtlandı.
Go programlama dilinde yazılmış bir x86_64 ikili dosyası olarak dağıtılır, KilitBit Değil verimliliğini ve yıkıcılığını artıran gelişmiş özelliklerle doludur. Temel işlevler şunları içerir:
- Hedefli Dosya Şifreleme: Fidye yazılımı, hassas verileri şifrelemek için AES ve RSA gibi güçlü şifreleme protokolleri kullanır ve bu verileri, saldırganın özel şifre çözme anahtarı olmadan erişilemez hale getirir.
- Veri Sızıntısı: Çalınan veriler, Amazon S3 klasörleri gibi saldırganların kontrol ettiği depolara aktarılarak çifte gasp yapılmasına olanak sağlanır ve hem veri kaybı hem de verilerin açığa çıkması tehlikesi ortaya çıkar.
- Kendini Silme Mekanizmaları: Kurtarma seçeneklerini ortadan kaldırmak için, KilitBit Değil Gölge kopyalar ve yürütme ikili dosyaları da dahil olmak üzere kendi izlerini siler.
Qualys’teki siber güvenlik araştırmacıları belirlendi KilitBit Değil gelişmiş ve son derece uyarlanabilir bir fidye yazılımı türü olarak. Araştırmacılar, “Bu yeni varyant, etkisini en üst düzeye çıkarmak için şifrelemeyi, veri hırsızlığını ve kendi kendini temizlemeyi birleştirerek önemli bir karmaşıklık sergiliyor” dedi.
Teknik Arıza: NotLockBit Nasıl Çalışır?
İnfaz edildiğinde, KilitBit Değil özellikle macOS ortamları için optimize edilmiş ayrıntılı bir keşif aşamasını başlatır. kullanarak go-sysinfo fidye yazılımı aşağıdakiler de dahil olmak üzere kapsamlı sistem bilgilerini toplar:
- Donanım özellikleri
- İşletim sistemi sürümü
- Ağ yapılandırmaları
- Benzersiz tanımlayıcılar (UUID’ler)
Fidye yazılımı çok adımlı bir şifreleme stratejisi kullanıyor:
- Bir PEM dosyasından katıştırılmış bir RSA ortak anahtarının kodunu çözer.
- Çıkarılan RSA genel anahtarı kullanılarak şifrelenen rastgele bir ana şifreleme anahtarı oluşturur.
- gibi kritik sistem dizinlerini atlatarak kullanıcı dosyalarını şifreler.
/proc/,/sys/Ve/dev/.
Şifrelenmiş dosyalar orijinal konumlarını korur ancak benzersiz bir tanımlayıcı ve ardından bir .abcd eklenti. Orijinal dosyalar silinir, bu da özel şifre çözme anahtarı olmadan dosya kurtarmayı neredeyse imkansız hale getirir.
KilitBit Değil Hasarı en üst düzeye çıkarmak için aşağıdakiler dahil çok çeşitli dosya türlerine öncelik verir:
- Kişisel belgeler:
.doc,.pdf,.txt - Profesyonel dosyalar:
.csv,.xls,.ppt - Multimedya:
.jpg,.png,.mpg - Sanal makine verileri:
.vmdk,.vmsd,.vbox
Bu kasıtlı seçim, fidye yazılımının yüksek değerli verilere odaklandığını vurguluyor.
Şifrelemenin yanı sıra KilitBit Değil öncelikli olarak Amazon S3 paketlerinden yararlanarak hassas dosyaları saldırganın kontrolündeki bulut depolama alanına sızdırır. Bu, saldırganların mağdurları çalınan verileri kamuya açıklamak veya satmakla tehdit etmelerine olanak tanıyarak fidyeyi ödeme baskısını artırıyor.
MacOS kullanıcıları için, KilitBit Değil istihdam eder osascript masaüstü arka planını programlı olarak değiştirme ve onu bir fidye notuyla değiştirme komutu. Bu, saldırının sonucunun görsel bir işareti olarak hizmet eder.
Fidye yazılımı, kendi kendini silme mekanizmasını çalıştırarak saldırısını tamamlar:
- İkilisini virüs bulaşmış sistemden kaldırıyorum.
- Kurtarma çabalarını engellemek için gölge kopyaların silinmesi.
KilitBit Değil tespit ve analizi engellemek için çeşitli düzeylerde gizleme kullanır. Bazı örnekler görünür fonksiyon adları sergilerken diğerleri tamamen gizlenmiş veya çıkarılmış durumda, bu da tersine mühendislik çalışmalarını karmaşık hale getiriyor. Bazı değişkenler, veri sızdırmayı tamamen göz ardı ederek, belirli saldırı senaryoları için sürekli geliştirme veya özelleştirme yapılmasını önerir.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin
Tespit ve Azaltma Stratejileri
Gelişmişliği göz önüne alındığında KilitBit Değilsağlam tespit ve azaltıcı önlemler esastır. Qualys, EDR ve EPP çözümlerinin indirme sonrasında fidye yazılımını tespit etme ve karantinaya alma yeteneğini doğruladı.
gibi fidye yazılımı tehditleriyle mücadele etmek için KilitBit Değilkuruluşlara aşağıdaki en iyi uygulamaları uygulamaları tavsiye edilir:
- Düzenli Yedeklemeler: Kurtarma seçeneklerinden emin olmak için kritik verilerin çevrimdışı yedeklerini koruyun.
- Uç Nokta Koruması: Kötü amaçlı davranışları erken tespit etmek için gelişmiş algılama çözümlerini dağıtın.
- Ağ Güvenliği: Güvenlik duvarları, izinsiz giriş tespit sistemleri (IDS) ve sıkı erişim kontrolleri kullanın.
- Çalışan Eğitimi: Kullanıcıları kimlik avı ve diğer sosyal mühendislik taktiklerini tanıma konusunda eğitin.
Platformlar arası bir fidye yazılımı ailesinin ortaya çıkışı KilitBit Değil fidye yazılımı dünyasında endişe verici bir evrime işaret ediyor. Gelişmiş gizleme, veri hırsızlığı ve kendi kendini silme mekanizmasıyla birlikte hem macOS hem de Windows sistemlerini hedefleme yeteneği, modern siber saldırıların artan karmaşıklığının altını çiziyor.
NotLockBit ve diğer ortaya çıkan tehditler fidye yazılımının yeteneklerini genişletmeye devam ederken, güvenlik profesyonellerinin dikkatli olmaları gerekiyor. Kapsamlı savunmalar, proaktif izleme ve sürekli eğitim, bu gelişmiş tehditlerin etkisinin azaltılmasında kritik öneme sahip olacaktır.
KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin