Siber güvenlik araştırmacıları, daha önce belgelenmemiş bir fidye yazılımı türünün örtüsünü kaldırdı. Rorschach bu hem gelişmiş hem de hızlı.
Check Point Research, “Rorschach’ı diğer fidye yazılımı türlerinden ayıran şey, yüksek düzeyde özelleştirme ve teknik olarak daha önce fidye yazılımında görülmemiş benzersiz özellikleridir.” söz konusu yeni bir raporda. “Aslında Rorschach, en hızlı fidye yazılımı türleri şifreleme hızı açısından hiç gözlemlenmemiş.”
Siber güvenlik firması, fidye yazılımının adı açıklanmayan ABD merkezli bir şirkete karşı konuşlandırıldığını gözlemlediğini ve onu daha önce bilinen herhangi bir fidye yazılımı aktörüne bağlayan hiçbir markalama veya çakışma olmadığını da sözlerine ekledi.
Ancak, Rorschach’ın kaynak kodunun daha ayrıntılı analizi, Eylül 2021’de sızıntı yaşayan Babuk fidye yazılımı ve LockBit 2.0 ile benzerlikler ortaya koyuyor. Bunun da ötesinde, kurbanlara gönderilen fidye notlarının Yanluowang ve DarkSide’dan ilham aldığı görülüyor.
İzinsiz girişin en önemli yönü, adı verilen bir tekniğin kullanılmasıdır. DLL yandan yükleme fidye yazılımı yükünü yüklemek için bu tür saldırılarda gözlemlenmeyen bir yöntem. Gelişme, finansal olarak motive olmuş grupların tespitten kaçınmak için benimsediği yaklaşımlarda yeni bir karmaşıklığa işaret ediyor.
Spesifik olarak, fidye yazılımının, “winutils.dll” adlı bir kitaplığı yandan yüklemek için Palo Alto Network’ün Cortex XDR Dump Service Tool’u (cy.exe) kötüye kullanarak konuşlandırıldığı söyleniyor.
Bir başka benzersiz özelliği de, son derece özelleştirilebilir doğası ve dosyaları manipüle etmek ve savunma mekanizmalarını atlamak için doğrudan sistem çağrılarının kullanılmasıdır.
Rorschach fidye yazılımı ayrıca önceden tanımlanmış bir hizmet listesini sonlandırmak, gölge birimleri ve yedekleri silmek, adli izi silmek için Windows olay günlüklerini temizlemek, Windows güvenlik duvarını devre dışı bırakmak ve hatta eylemlerini tamamladıktan sonra kendisini silmekle görevlidir.
Dahili yayılma, etki alanı denetleyicisinden ödün verilerek ve bir Grup ilkesiCheck Point ve Güney Koreli siber güvenlik şirketi AhnLab’a göre, yanlışlıkla atfedilen bu Şubat ayı başlarında DarkSide’a enfeksiyon zinciri.
Fidye yazılımı, vahşi ortamda gözlemlenen diğer kötü amaçlı yazılım türleri gibi, makineleri atlar sistem dilini kontrol ederek Bağımsız Devletler Topluluğu (BDT) ülkelerinde bulunan.
Bir Olay Müdahale Uzmanı Olun!
Kurşun geçirmez olay müdahalesinin sırlarını ortaya çıkarın – Cynet’in IR Lideri Asaf Perlman ile 6 Aşamalı süreçte ustalaşın!
Araştırmacılar Jiri Vinopal, Dennis Yarizadeh ve Gil Gekker, “Rorschach fidye yazılımı, şifreleme amaçları için eğri25519 ve eSTREAM cipher hc-128 algoritmalarını harmanlayan oldukça etkili ve hızlı bir hibrit şifreleme şeması kullanıyor.”
Bu işlem, tüm dosya yerine orijinal dosya içeriğinin yalnızca belirli bir bölümünü şifrelemek için tasarlanmıştır ve onu bir “hız iblisi” yapan ek derleyici optimizasyon yöntemleri kullanır.
Check Point tarafından kontrollü bir ortamda gerçekleştirilen beş ayrı testte, 220.000 dosya Rorschach kullanılarak ortalama dört dakika 30 saniyede şifrelendi. LockBit 3.0 ise yaklaşık yedi dakika sürdü.
Araştırmacılar, “Geliştiricileri, tespit edilmekten kaçınmak ve güvenlik yazılımı ile araştırmacıların etkilerini analiz etmesini ve azaltmasını zorlaştırmak için yeni anti-analiz ve savunma kaçırma teknikleri uyguladı” dedi.
“Ayrıca Rorschach, çevrimiçi sızdırılan önde gelen fidye yazılımlarından bazılarının ‘en iyi’ özelliklerini almış ve hepsini bir araya getirmiş görünüyor. Rorschach’ın kendi kendini yayma yeteneklerine ek olarak, bu, fidye saldırıları için çıtayı yükseltiyor.”
Bulgular Fortinet FortiGuard Labs olarak geliyor detaylı Python tabanlı bir dosya kilitleme kötü amaçlı yazılımı olan PayMe100USD ve Nim programlama dilinde yazılmış Dark Power adlı iki gelişmekte olan fidye yazılımı ailesi.