Microsoft, dört farklı fidye yazılımı ailesine ışık tuttu – KeRangerApple macOS sistemlerini etkilediği bilinen FileCoder, MacRansom ve EvilQuest.
Teknoloji devinin Güvenlik Tehdit İstihbaratı ekibi, “Bu kötü amaçlı yazılım aileleri eski olsa da, platformda olası yetenekler ve kötü niyetli davranışların bir örneğini oluşturuyorlar.” dedim Perşembe raporunda.
Bu fidye yazılımı aileleri için ilk vektör, Windows üreticisinin “kullanıcı destekli yöntemler” dediği, kurbanın truva atı içeren uygulamaları indirip yüklediği yöntemi içerir.
Alternatif olarak, virüslü ana bilgisayarda zaten var olan bir kötü amaçlı yazılım tarafından bırakılan ikinci aşama bir yük olarak veya bir tedarik zinciri saldırısının parçası olarak da gelebilir.
Kullanılan yöntemden bağımsız olarak, saldırılar, tehdit aktörlerinin meşru işletim sistemi özelliklerine güvenerek ve güvenlik açıklarını kullanarak sistemlere girip ilgili dosyaları şifreleyerek benzer şekilde ilerler.
Bu, dosyaları numaralandırmak için Unix bulma yardımcı programının yanı sıra opendir, readdir ve closedir gibi kitaplık işlevlerinin kullanımını içerir. Microsoft tarafından işaret edilen ancak fidye yazılımı türleri tarafından benimsenmeyen başka bir yöntem, NSFileManager Objective-C arayüzü.
KeRanger, MacRansom ve EvilQuest’in, analiz ve hata ayıklama girişimlerine direnmek amacıyla kötü amaçlı yazılımın sanal bir ortamda çalışıp çalışmadığını belirlemek için donanım ve yazılım tabanlı kontrollerin bir kombinasyonunu kullandığı da gözlemlendi.
Özellikle KeRanger, tespit edilmekten kaçmak için gecikmeli yürütme olarak bilinen bir teknik kullanır. Bunu, kötü niyetli işlevlerini başlatmadan önce piyasaya sürüldükten sonra üç gün uyuyarak başarır.
Kötü amaçlı yazılımın sistem yeniden başlatıldıktan sonra bile çalışmasını sağlamak için gerekli olan kalıcılık, fırlatma ajanları ve çekirdek kuyruklarıMicrosoft işaret etti.
FileCoder, dosyaları şifrelemek için ZIP yardımcı programını kullanırken, KeRanger AES şifrelemesi şifre blok zincirinde (CBC) hedeflerine ulaşmak için mod. Öte yandan, hem MacRansom hem de EvilQuest, simetrik şifreleme algoritma.
İlk olarak Temmuz 2020’de ortaya çıkan EvilQuest, keylogging, rasgele kod enjekte ederek Mach-O dosyalarını tehlikeye atmak ve güvenlik yazılımını devre dışı bırakmak gibi diğer truva atı benzeri özellikleri dahil etmek için tipik fidye yazılımının ötesine geçiyor.
Ayrıca, herhangi bir dosyayı doğrudan bellekten yürütmek için yetenekler içerir ve etkin bir şekilde diskte yükten hiçbir iz bırakmaz.
Microsoft, “Saldırganların sürekli olarak tekniklerini geliştirmesi ve ticari becerilerini daha geniş bir potansiyel hedef ağı oluşturmak için genişletmesiyle, fidye yazılımı kuruluşları etkileyen en yaygın ve etkili tehditlerden biri olmaya devam ediyor” dedi.