Görünüşte yeni bir fidye yazılımı olan Zola, Mart 2023’te ortaya çıkan Proton ailesinin en yeni versiyonudur.
Bu yeniden markalaşma, fidye yazılımlarının evrimindeki kesintisiz eğilimi vurguluyor.
Acronis’teki siber güvenlik araştırmacıları, Windows Defender’ı devre dışı bırakmak için birden fazla araç kullanan yeni Zola fidye yazılımını tespit etti ve uyardı.
Zola Fidye Yazılımı
Siber saldırı soruşturması sırasında güvenlik analistleri, birbirine bağlı birçok bilgisayarda güncel saldırı araçlarının kullanıldığını fark etti.
Bunlar ayrıcalık yükseltme, ağ keşfi ve kimlik bilgisi hırsızlığı gibi çeşitli amaçlar için kullanıldı. En son Proton çeşidi ana yük olan Zola fidye yazılımıydı.
İkincisi, aynı kategorideki diğerlerinden onu ayıran bazı özelliklere sahipti, örneğin:
- Eş zamanlı yürütmeyi engellemek için tek bir mutex.
- Yönetimsel hakların doğrulanması.
- Kökenini işaret edebilecek Farsça dil tabanlı kill switch.
Mağdur kimlikleri ve şifreleme anahtarları oluşturmak kötü amaçlı yazılımın hazırlık aşamasının bir parçasıydı. Ayrıca kayıt defteri değerlerini değiştirdi, sistem duvar kağıtlarını değiştirdi, kurtarma seçeneklerini devre dışı bıraktı ve önyükleme yapılandırmalarını değiştirdi.
Zola, herhangi bir veriyi şifrelemeden önce, güvenlik programlarını kaldırmayı ve dosya kilitleme uygulamalarını kapatmayı amaçlayan 137 işlemi ve 79 hizmeti sonlandırdı.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide
Bu kapsamlı yaklaşım, fidye yazılımlarının başlangıcından bu yana ne kadar evrimleştiğini gösterirken, çok katmanlı siber güvenlik savunmalarının önemini de vurguluyor.
Zola fidye yazılımı, tüm ön işlemlerini tamamladıktan sonra çok katmanlı bir saldırı başlatacak.
Hem yerel hem de yazma izinlerine sahip ağa bağlı sürücülerdeki dosyaları şifreleyerek dosya şifrelemesi için birden fazla iş parçacığı başlatır.
Eylül 2023’te daha önce kullanılan AES-GCM yerine şifreleme için ChaCha20 algoritmasını kullanmaya başladı ve kriptografik işlevleri uygulamak için Crypto++ kütüphanesinden yararlandı.
Aynı zamanda, her klasöre fidye notları bırakmaktan sorumlu başka bir iş parçacığı vardır. Ancak, bu notlar yanlış bir şekilde AES ve ECC’nin kullanılan şifreleme türleri olduğunu iddia eder.
Zola, görsel yaklaşımının bir parçası olarak özel bir BMP resmi oluşturuyor ve bunu masaüstü duvar kağıdı olarak ayarlıyor.
Nisan 2024’te tanıtılan önemli bir anti-adli bilişim önlemi, C:\ sürücüsünde geçici bir dosya oluşturulmasını, tüm diskin 500 kB’lık başlatılmamış veri parçalarıyla doldurulmasını ve ardından bu dosyanın silinmesini içeriyor.
Bu yaklaşımın amacı muhtemelen boş alanı üzerine yazmak, veri kurtarmayı daha zor, hatta imkansız hale getirmek ve araştırmacıların adli inceleme çabalarını engellemektir.
Böylesine kapsamlı bir yaklaşım, Proton fidye yazılımı ailesinin nasıl evrimleştiğini, güçlü şifreleme teknikleri ile kurtarma ve soruşturma süreçlerini kısıtlayan yöntemler arasındaki entegrasyonu göstermektedir.
Bu fidye yazılımının hem x86 hem de x64 sürümleri mevcut ve öncelikli olarak çok çeşitli sistemleri hedef alıyor.
Bunun dışında yeni Zola fidye yazılımı, Proton’un temel işlevlerinin çoğunu koruyor.
Gelecekteki varyantların da bu yeniden markalama modelini, önemli değişiklikler olmadan, takip etmesi bekleniyor.
IOC
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access