Yeraltı fidye yazılımı çetesi, siber risklerde endişe verici bir artışla dünyanın dört bir yanındaki işletmelere yönelik tekrarlayan saldırıları koordine ediyor.
En son şifreleme tekniklerini odaklanmış penetrasyon önlemleriyle harmanlayan sofistike kötü amaçlı yazılım mühendisliği gösterdiler.
İlk olarak Temmuz 2023’te tespit edilen grup, Mayıs 2024’te yenilenmiş özel bir sızıntı bölgesi (DLS) ile yeniden ortaya çıktı ve burada fidye ödemeyi reddeden mağdurlardan pesfiltrasyonlu verileri ortaya çıkardı.
Operasyonları, ABD, Birleşik Arap Emirlikleri, Fransa, İspanya, Avustralya, Almanya, Slovakya, Tayvan, Singapur, Kanada ve Güney Kore gibi ülkelerdeki şirketleri etkileyen inşaat, üretim, BT ve iç tasarım dahil olmak üzere çeşitli sektörleri kapsamaktadır.
Mağdur örgütleri, yıllık gelirler 20 milyon dolar ile 650 milyon dolar arasında değişmekte olup, çetenin coğrafya, endüstri veya işletme büyüklüğüne bakılmaksızın hedeflemeye yönelik ayrım gözetmeyen yaklaşımının altını çizmektedir.
Bu geniş saldırı yüzeyi, tehdit aktörlerinin etki ve kaçmayı en üst düzeye çıkarmak için özelleştirilmiş yüklerden yararlandığı fidye yazılımı proliferasyonunda artan bir küresel eğilimi vurgulamaktadır.
Kötü amaçlı yazılım sofistike
Yeraltı fidye yazılımı, Rastgele Sayı Üretimi (RNG), AES simetrik şifreleme ve RSA asimetrik şifrelemesini, saldırganların müdahalesi olmadan dosyaları erişilemez hale getirmek için hibrit bir şifreleme şeması kullanır.
Her dosya, dosyanın sonuna eklenmiş, şifreleme sonrası komut ve kontrol (C2) iletişim ihtiyacını ortadan kaldıran benzersiz bir AES anahtarı kullanılarak şifrelenir.
Bu tasarım, RSA genel anahtarı kötü amaçlı yazılımlara sabitlendiğinden, tek başına yerel adli artefaktların şifre çözmeyi kolaylaştıramamasını sağlarken, ilgili özel anahtar saldırganların kontrolü altında kalır.
Dosyalar, küçük dosyalar tam şifrelemeye tabi tutulurken, düzenli ve büyük dosyalar, performansı optimize etmek ve sistem bozulmasını en aza indirmek için kafa, kuyruk ve aralıklı boşluklardaki seçici kısımları şifreleyen bir şeritleme yöntemi kullanır.
ASEC raporuna göre, bu seçici şifreleme, yüksek değerli veri segmentlerini hedefler ve maksimum operasyonel hasar verirken hesaplama yükünü azaltır.
Şifrelemeden önce, kötü amaçlı yazılım, ikiden fazla argüman sağlanırsa yürütmeyi durduran bir parametre kontrolü de dahil olmak üzere hazırlık rutinlerini yürütür, ardından eşzamanlı örnekleri önlemek için bir muteks oluşturulur (“8dc1f7b9d2f4ea58”).
Daha sonra VSSAdmin komutu aracılığıyla Volume Shadow kopyalarını silerek kurtarma seçeneklerini ortadan kaldırır ve kayıt defteri değişiklikleri yoluyla uzak masaüstü bağlantılarını kısıtlar.
MSSQLServer, SQLServerAgent ve MSSQLFDLauncher gibi şifrelemeye potansiyel olarak müdahale eden hizmetler zorla durdurulur.
Sistem istikrarsızlığından kaçınmak için şifreleme, % Systemroot % (C: \ Windows), % ProgramFiles % (C: Program Dosyaları) ve % Program Fileleri (C: \ Program Dosyaları (X86)) ve ayrıca SYS, EXE, DLL, BAT ve diğerleri dahil olmak üzere OS işlevselliği için gerekli olan uzantılardan çözülen kritik yolları hariç tutar.
Dosya seçimi, son altı ay içinde erişilen, değiştirilmiş veya oluşturulanlara öncelik verir, GetSystemTime () eksi yarım yıllık bir ofset aracılığıyla hesaplanır ve etkinliği artırmak için aktif kullanıcı verilerine odaklanarak şifrelemeyi odaklar.
Şifreleme işlemi, başlangıç 0x20 baytının AES anahtarını oluşturduğu ve kalan 0x10 baytın CBC modunda başlatma vektörü (IV) olarak işlev gören bcrypt.dll’den BCrypt API’lerini kullanarak 0x30 bayt rastgele bir değer üretme ile başlar.
Dosyalar Readfile () ile belleğe yüklenir, bcryptencrypt () ile şifrelenir ve AES Key Plus IV daha sonra RSA ile şifreli ve eklenir.
Toplam 0x18 bayt olan meta veriler, orijinal dosya boyutunu, şerit, kafa, kuyruk ve boşluk parametrelerini dikte eden bir bayrak seti, boyut tabanlı dallanma tetikleyicisi, sürüm göstergesi ve sihir değerini içerir.
Bu bayraklar, bitsel kaymalara ve 2’nin gücü hesaplamalarına tabi tutulan bu bayraklar, şifreleme birimlerini ve aralıklarını tanımlar, optimize edilmiş fidye yazılımı performansı için kategorilere dinamik olarak adapte olur.
Karakulma Sonrası Kaçma
Tamamlandıktan sonra, kötü amaçlı yazılım, tüm olay günlüklerini temizlemek için wevtutil.exe’den yararlanan ve olay tepkisini karmaşıklaştıran bir _eraser.bat komut dosyası oluşturarak ve çalıştırarak izleri siler.
IP adresleri ve çalıntı veri referansları gibi mağdurlara özgü ayrıntılarla gömülü fidye notu, sadece şifre çözme değil, aynı zamanda TOR tabanlı bir müzakere portalı aracılığıyla erişilebilen güvenlik açığı değerlendirmeleri ve güvenlik danışmanları gibi yardımcı hizmetler sunar.
Bu, saldırganların sistemlere sızdığı, istihbarat topladığı, hedefleri seçtiği ve özel fidye yazılımlarını dağıttığı, hassas grevler için kitle dağıtımından kaçınan yürütme öncesi keşifleri gösterir.
Bu tür tehditlere karşı koymak için kuruluşlar, üretim ağlarından izole edilmiş saha dışı yedeklemeler, depolara katı erişim kontrolleri ve rutin kurtarma tatbikatları da dahil olmak üzere sağlam savunmalar uygulamalıdır.
Temel veri korumasının ötesinde, uç nokta algılama ve yanıt (EDR) araçlarını entegre etmek ve olağandışı kayıt defteri değişiklikleri veya hizmet durakları gibi göstergelerin izlenmesi artmayı önleyebilir.
Yeraltı taktikleri geliştikçe, proaktif tehdit zekası ve kırılganlık puanlaması için CVSS gibi çerçevelere bağlılık bu yenilikçi fidye yazılımı kampanyalarını hafifletmede kritik olmaya devam etmektedir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!