Araştırmacılar, “Obsidian ORB fidye yazılımı” olarak adlandırılan yeni ve farklı bir fidye yazılımı türünü tespit ettiler. Daha fazla araştırma, Obsidian ORB fidye yazılımı ile kötü şöhretli Chaos fidye yazılımının altında yatan kaynak kodu arasında güçlü bir bağlantı olduğunu ortaya çıkardı.
Cyble Araştırma ve İstihbarat Laboratuarlarındaki (CRIL) araştırmacılara göre, Obsidian ORB fidye yazılımı, kurbanların verilerini etkili bir şekilde kilitlemek için gelişmiş şifreleme algoritmaları kullanan, temel stratejisi olarak dosya şifrelemeye odaklanıyor.
Obsidian ORB fidye yazılımı grubunu diğerlerinden ayıran şey, kurbanlardan zorla ödeme alma konusundaki alışılmadık yaklaşımıdır.
CRIL raporu, “Tipik olarak kripto para birimi ödemeleri talep eden geleneksel fidye yazılımı aktörlerinin aksine, Obsidian ORB ile ilişkili TA’lar alternatif bir yöntem benimsedi” dedi.
“Artık Roblox, Paysafe, Payday, Steam vb. popüler platformlar da dahil olmak üzere hediye kartları aracılığıyla ödeme talep ediyorlar.”
Stratejideki bu değişiklik, şantaj amaçları için sürekli olarak yeni yollar keşfeden fidye yazılımı saldırganlarının uyarlanabilirliğini vurgulamaktadır.
Obsidian ORB fidye yazılımı: Teknik Analiz
CRIL araştırmacıları, .NET kullanılarak derlenmiş bir 32-bitlik PE ikili dosyasını şu hash ile analiz ettiler: 290072a9e1cf3872487cf586a592be534abc894d20ffd1121fe8338f1b52b451.
“Yürütmenin ardından, fidye yazılımı önce kendi mevcut örneklerinin varlığını kontrol eder. Başka bir örnek bulunursa, fidye yazılımı yürütmesini sonlandırır” dedi.
“Obsidian, fidye yazılımının daha önce bulunmadığından emin olduktan sonra, %appdata% dizininde “svchost.exe” dosya adıyla kendisinin bir kopyasını oluşturur ve yeni oluşturulan işlemi yürütür.”
Ayrıca, Windows Başlangıç klasörüne bir kısayol dosyası ekleyerek sonraki sistem yeniden başlatmaları sırasında otomatik yürütme sağlar.
Fidye yazılımı, kullanılabilir sürücüleri belirlemek için kurbanın makinesini tarar ve “C:” sürücüsünün kökü hariç her sürücüdeki dosyaları şifrelemeye devam eder. Belirli dizinler de şifreleme için hedeflenir.
2 MB’ın altındaki dosyalar için, Obsidian ORB fidye yazılımı, şifreleme için “Microsoft Enhanced RSA ve AES Cryptographic Provider” kitaplıklarını kullanır. Ancak, 2 MB’tan büyük dosyaların üzerine rastgele veriler yazılır ve bu dosyalar kalıcı olarak erişilemez hale gelir.
Şifrelemeden sonra, her dizinde TA ile kurban arasında bir iletişim kanalı görevi gören “read_it.txt” adlı bir fidye notu oluşturulur.
Fidye yazılımı, kurtarmayı engellemek için cmd.exe aracılığıyla komutlar yürütür, yedekleri siler ve virüslü sistemdeki kurtarma modunu devre dışı bırakır.
Obsidian ORB fidye yazılımı, sistem içindeki diğer sürücülere yayılmak için bir mekanizma içerir ve kendisini hedef sürücülere kopyalayarak yükünü yayar.
Raporda, “Sistematik olarak mevcut sürücüleri inceler ve mevcut sürücünün “C:” sürücüsü olmadığını ve yeni tanımlanan sürücüde “surprise.exe” adlı bir dosyanın mevcut olup olmadığını doğrular” dedi.
“Her iki koşul da karşılanırsa, fidye yazılımı File.Copy() yöntemini kullanarak kendisini hedef sürücüye kopyalamaya devam ederek kötü amaçlı yükünü diğer sürücülere yayarak sistem genelinde erişimini genişletiyor.”
Son olarak, fidye yazılımı güvenliği ihlal edilmiş sistemdeki masaüstü arka plan görüntüsünü değiştirerek sistemin varlığını gösterir.
Obsidian ORB fidye yazılımı ve Kaos bağlantısı
Cyble daha önce, yeni fidye yazılımı aileleri oluşturmak için önceden var olan fidye yazılımı kodlarından yararlanmayı avantajlı bulan tehdit aktörleri arasında bir eğilim gözlemledi.
Obsidian ORB fidye yazılımı, Chaos fidye yazılımı kaynak kodundan kaynaklanan, büyüyen bir akran suşları listesine katılıyor. Önceki örnekler, şifreleme teknikleri ve davranışlarında benzerlikler paylaşan Blacksnake ve Onyx’i içerir.
Cyble raporu, “Onyx ve Yashma fidye yazılımı aileleri zaten Chaos fidye yazılımı ailesiyle bağlantılıydı ve BlackSnake fidye yazılımı artık bu türle ilişkili başka bir ailedir” dedi.
“The Threat Actor, Chaos fidye yazılımı kaynak kodunda ince ayar yaptı ve doğrudan dosyaya bir kesme modülü ekledi; bu, kesme aracı için ayrı bir dosyaya sahip olmanın olağan yaklaşımından farklı.”
Eylül 2022’de, yeni bir değişkenle siber güvenlik haberlerinde Chaos ortaya çıktı. Go kullanılarak geliştirilen ve birden çok platformda çalışacak şekilde tasarlanan bu son sürüm, önceki sürümüyle hiçbir benzerlik taşımıyor.
Ek modülleri barındıran bir hazırlama sunucusuyla ilişkili bir IP adresinin analizi sırasında ilginç bir keşif yapıldı.
Lumen Technologies’in tehdit istihbaratı bölümü Black Lotus Labs tarafından hazırlanan bir tehdit değerlendirme raporunda ayrıntılı olarak açıklandığı gibi, IP adresi, kuruluş adını “Kaos” olarak görüntüleyen anormal bir kendinden imzalı sertifika sergiliyordu.
Obsidian ORB fidye yazılımının ortaya çıkışı, siber tehditlerin sürekli gelişen doğasını vurgulamaktadır. Hediye kartlarının bir ödeme şekli olarak kullanılması, bu tür saldırıları azaltmak için sürekli tetikte olma ve güncellenmiş güvenlik önlemlerine duyulan ihtiyacın altını çiziyor.