Yaklaşık bir yıl önce yeraltındaki karanlıktan bir silecek olarak yükselen Chaos kötü amaçlı yazılım oluşturucu, tam teşekküllü fidye yazılımı yeteneklerini içeren Yashma adlı yeniden markalı bir ikili dosya ile şekil değiştirdi.
Bu, Kaos’un her büyüklükteki işletme için önemli bir tehdit olma yolunda olduğunu söyleyen BlackBerry araştırmacılarına göre.
Kaos, geçen Haziran ayında, Ryuk fidye yazılımının .NET sürümünün yapıcısı olduğunu iddia ederek hayata başladı; bu, operatörlerinin kullanıcı arayüzünde Ryuk markasını kullanmasına rağmen çok sıkı bir şekilde eğildiği bir oyundu. Ancak, o sırada bir Trend Micro analizi, bu ilk sürümle oluşturulan ikili dosyaların, iyi bilinen fidye yazılımı baddie ile çok az mirası paylaştığını gösterdi. Firma, bunun yerine, örneğin “geleneksel fidye yazılımlarından çok yıkıcı bir truva atına benziyor” olduğunu belirtti – esas olarak dosyaların üzerine yazıp onları kurtarılamaz hale getirdi.
BlackBerry araştırmacıları da aynı şeyi kaydetti. BlackBerry’ye göre, Ryuk’un AES/RSA-256 şifreleme sürecini kullanmak yerine, “Kaos’un ilk sürümü hedeflenen dosyanın üzerine rastgele bir Base64 dizisi yazar”. yeni rapor. “Bu işlem sırasında dosyaların orijinal içerikleri kaybolduğu için kurtarma mümkün değil, bu nedenle Chaos gerçek bir fidye yazılımı yerine bir silecek haline geliyor.”
İnşaatçıyı yer altı forumlarına koyduktan ve Dark Web sakinlerinin Ryuk markasını ele geçirdiği için çok sayıda snack ve lapa yakaladıktan sonra, grup sonuç olarak kendisine Kaos adını verdi. Kötü amaçlı yazılım ayrıca, her biri kendisine giderek daha fazla gerçek fidye yazılımı yeteneği kazandıran artımlı değişikliklere sahip birkaç farklı sürüm arasında hızla geçiş yaptı. Ancak, silecek işlevi dördüncü sürümde devam etti.
BlackBerry’nin Siber Güvenlik İş Birimi’nde tehdit araştırma ve istihbarat başkan yardımcısı Ismael Valenzuela, Dark Reading’e “Forumlara dayanarak, orijinal fidye yazılımının tek bir yazar tarafından geliştirildiğine inanılıyor” dedi. “Bu yazar, geri bildirim, hata raporları ve özellik istekleri istedikleri için fidye yazılımı sahnesinde yeni görünüyor ve ilk sürümlerde, diğer fidye yazılımlarında yaygın olan çoklu iş parçacığı oluşturma gibi temel özellikler eksikti.”
Kaosun İçinde
Chaos, şifreleme için 100’den fazla varsayılan dosya uzantısını hedefler ve ayrıca, muhtemelen sistem dosyalarını kilitleyerek kurbanın cihazının çökmesini önlemek için .DLL, .EXE, .LNK ve .INI dahil olmak üzere hedeflemekten kaçındığı dosyaların bir listesine sahiptir.
Kötü amaçlı yazılımdan etkilenen her klasörde fidye notu “read_it.txt” olarak düşer.
BlackBerry’nin analizine göre, “Bu seçenek, oluşturucunun tüm yinelemelerinde son derece özelleştirilebilir ve kötü amaçlı yazılım operatörlerine fidye notu olarak istedikleri herhangi bir metni dahil etme yeteneği verir”. “Chaos Ransomware Builder’ın tüm sürümlerinde, varsayılan not nispeten değişmeden kalır ve bu tehdidin görünürdeki yaratıcısının Bitcoin cüzdanına referanslar içerir.”
Zamanla, kötü amaçlı yazılım, aşağıdakiler gibi daha karmaşık yetenekler ekledi:
- Gölge kopyaları sil
- Yedekleme kataloglarını silin
- Windows kurtarma modunu devre dışı bırakın
- Kurbanın masaüstü duvar kağıdını değiştirin
- Özelleştirilebilir dosya uzantısı listeleri
- Daha iyi şifreleme uyumluluğu
- Başlangıçta çalıştır
- Kötü amaçlı yazılımı farklı bir işlem olarak bırakın
- Yürütmeden önce uyku
- Kurtarma sistemlerini boz
- Kötü amaçlı yazılımı ağ bağlantıları üzerinden yaymak
- Özel bir şifreleme dosya uzantısı seçin
- Windows Görev Yöneticisini devre dışı bırakın
Gerçek şifreleme yetenekleri (AES-256 kullanılarak) yalnızca kötü amaçlı yazılımın üçüncü sürümünden beri dahil edilmiştir; o zaman bile, oluşturucu yalnızca 1MB’den küçük dosyaları şifreleyebilir. Hala büyük dosyalar (fotoğraflar veya videolar gibi) için bir yıkıcı görevi görüyordu.
Valenzuela, “Kod, silecek işlevi kesinlikle tesadüfi olmayacak şekilde yazılmıştır. Yazarların neden bu seçimi yaptıkları belli değil” diyor. “Karar, kötü amaçlı yazılım yazarlarının performans nedenleriyle vermiş olması olasıdır. Kötü amaçlı yazılım, çok GB’lık videolardan veya veritabanı dosyalarından oluşan bir dizinde yavaş çalışıyorsa, kullanıcının fark edip cihazı kapatabilmesi için küçük bir şans vardır.”
Kaos, Sürüm Dört: ‘Onyx’ Fidye Yazılımı, Hala Silecekli
Chaos oluşturucunun dördüncü sürümü geçen yılın sonlarında piyasaya sürülmesine rağmen, Onyx adlı bir tehdit grubu geçen ay onunla kendi fidye yazılımını yarattığında hız kazandı. Firmaya göre, bu sürüm hızla bugün vahşi doğada doğrudan gözlemlenen en yaygın Kaos sürümü haline geldi. Özellikle, fidye yazılımı biraz daha büyük dosyaları – 2,1 MB’a kadar – şifreleyebilmek için geliştirilirken, daha büyük dosyaların üzerine hala yazılıyor ve yok ediliyor.
BlackBerry’ye göre en son saldırılar, acil servisler, tıp, finans, inşaat ve tarım dahil olmak üzere ABD merkezli hizmetlere ve sektörlere yönelikti.
“Bu özel tehdit grubu [infiltrates] kurban bir organizasyonun ağı, [steals] bulduğu herhangi bir değerli veri, daha sonra Chaos Builder v4.0’a dayanan kendi markalı yaratımları olan ‘Onyx fidye yazılımını’ serbest bırakacaktı” dedi araştırmacılar – araştırmacıların bir test örneğiyle %98 kod eşleşmesi gösteren örnek testlerle doğrulayabildikleri bir şey. Chaos v4.0 aracılığıyla oluşturuldu. Tek değişiklik, özelleştirilmiş bir fidye notu ve iyileştirilmiş bir dosya uzantıları listesiydi.
Onyx ayrıca, Tor ağında barındırılan, kurbanları ve herkesin görebileceği çalıntı veriler hakkında bilgiler içeren “Onyx News” adlı bir sızıntı sitesi de hayata geçirdi. Site aynı zamanda kurbanlara verilerini nasıl kurtaracakları konusunda daha fazla bilgi vermek için de kullanılıyor.
“Şirketlere sunabileceğimiz en iyi tavsiye [targeted with the Onyx wiper] Valenzuela, ayrı ayrı depolanan düzenli yedeklemeleri sürdürmek ve dosyalarının çoğu tasarım nedeniyle kurtarılamadığından fidye ödememek” diyor. ”
Kaos Silecek Yashma ile Dizginlendi
2022’nin başlarında, Chaos, oluşturucusunun beşinci bir sürümünü yayınladı ve sonunda büyük dosyaları geri dönüşü olmayan bir şekilde bozmadan şifreleyebilen fidye yazılımı ikili dosyaları oluşturdu.
“Kötü amaçlı cihazdaki kötü amaçlı görevlerini yalnızca dosyaları yok ettiğinden daha yavaş tamamlamasına rağmen, kötü amaçlı yazılım nihayet beklendiği gibi çalışıyor, her boyuttaki dosyalar kötü amaçlı yazılım tarafından düzgün bir şekilde şifreleniyor ve eski şifrelenmemiş durumlarına geri yüklenme potansiyelini koruyor. “, araştırmacılar kaydetti.
Hemen hemen aynı altıncı yineleme, 2022’nin ortalarında, Yashma olarak yeniden adlandırıldı.
“Hizmet olarak kötü amaçlı yazılım [MaaS] bu aralar popüler bir model; bununla birlikte, Kaos için benzersiz bir satış noktası, Yashma’nın yeniden markalaşmasına kadar tüm sürümlerin ücretsiz olması,” diye belirtiyor Valenzuela, “Bununla birlikte, Yashma sürümlerinin hala yalnızca 17 dolar olması, fidye yazılımını geniş çapta erişilebilir kılıyor.”
Yashma, beşinci sürüme göre iki gelişme içeriyor: kurban cihazda ayarlanan dile bağlı olarak fidye yazılımının çalışmasını engelleme yeteneği ve çeşitli hizmetleri durdurma yeteneği.
İkincisi ile ilgili olarak, Yashma aşağıdakileri sona erdirir:
- Antivirüs (AV) çözümleri
- Kasa hizmetleri
- Yedekleme hizmetleri
- Depolama hizmetleri
- Uzak Masaüstü hizmetleri
Bu sürümlerin her ikisi de bugüne kadar vahşi ortamda çok az eylem gördü – bu, Kaos fidye yazılımı saldırılarının çoğu zaman yıkıcı bir silecek boyutu içereceği anlamına geliyor. Ancak, oluşturucunun tüm yinelemelerine dayanan ikili dosyaların zamanla daha yaygın hale gelmesi muhtemeldir.
Araştırmacılar raporda, “Kaos/Yashma’yı ileriye doğru tehlikeli yapan şey, esnekliği ve yaygın kullanılabilirliğidir” dedi. “Kötü amaçlı yazılım başlangıçta bir kötü amaçlı yazılım oluşturucu olarak satıldığından ve dağıtıldığından, kötü amaçlı yazılımı satın alan herhangi bir tehdit aktörü, Onyx’in arkasındaki tehdit grubunun eylemlerini çoğaltabilir, kendi fidye yazılımı türlerini geliştirebilir ve seçilen kurbanları hedefleyebilir.”
Her İşletme Bir Hedeftir
Valenzuela, Kaos ile, onu kullanmak için gereken teknik uzmanlık seviyesinin nispeten düşük olduğuna, oluşturucunun ücretsiz olduğuna ve kişinin kendi ikili dosyasını oluşturmak için gereken adımların basit olduğuna dikkat çekiyor.
“Hiçbir kuruluş veya sektör bu riskten muaf değildir” dedi. “Her işletmenin iyi bir savunma stratejisine sahip olması gerekir – önleme, görünürlük ve tespit kapsamı sağlayan teknolojilerin bir kombinasyonu ile test edilmiş bir savunulabilir mimarinin yanı sıra güncel tehdit istihbaratıyla zenginleştirilmiş sürekli izleme dahil – erken müdahale için. saldırı zinciri.”
Valenzuela, “Fidye yazılımı yüklerinin patlamasından günler veya haftalar önce kaç işletmenin güvenliğinin ihlal edildiğini gördük, bu nedenle tehditlere hızlı bir şekilde yanıt verebilmek bu saldırıların etkisini azaltmak için çok önemli.”