Kendini şifreleyerek tespit edilmekten kurtulabilen yeni bir fidye yazılımı varyantı tespit edildi.
Risk ve finansal danışmanlık çözümleri firması Kroll’dan siber güvenlik araştırmacıları kısa süre önce fidye yazılımının Cactus olarak bilinen bir çeşidini keşfettiler.
Olağan işlemin (dosyaları şifreleme ve fidye notu bırakma) yanı sıra, kötü amaçlı yazılımın ayrıca antivirüs programları ve uç nokta güvenlik çözümleri tarafından algılanmaktan kaçınmanın benzersiz bir yolu vardır.
fark etmesi zor
tarafından bildirildiği gibi BleepingBilgisayar, fidye yazılımının biri şifreleme olmak üzere üç ana yürütme modu vardır. Yük dağıtıldıktan sonra, saldırganlar kötü amaçlı yazılıma yalnızca kendilerinin bildiği benzersiz bir AES anahtarı sağlar. Bu anahtar, fidye yazılımının yapılandırma dosyasının ve hedef uç noktadaki diğer her şeyi şifrelemek için ihtiyaç duydukları genel RSA anahtarının şifresini çözmek için kullanılır. Anahtar, şifreleyicinin ikili dosyasına sabit kodlanmış bir HEX dizisi olarak gelir.
Saldırganlar, HEX dizesinin kodunu çözerek, AES anahtarına sahiplerse okuyabilecekleri şifrelenmiş veriler elde eder.
Kroll’da Siber Riskten Sorumlu Genel Müdür Yardımcısı Laurie Iacono, Bleeping Computer’a “CACTUS esasen kendi kendini şifreleyerek tespit edilmesini zorlaştırıyor ve antivirüs ve ağ izleme araçlarından kurtulmasına yardımcı oluyor” dedi.
Cactus’ü ilginç kılan bir başka şey de, hızlı mod da dahil olmak üzere birden fazla şifreleme moduna sahip olmasıdır. Operatörler her iki modu arka arkaya çalıştırmaya karar verirse, dosyalar iki kez şifrelenir ve iki dosya uzantısı alır.
Cactus fidye yazılımı operasyonu hakkında çok az şey biliniyor. Şu anda herhangi bir işletmenin saldırıya uğrayıp uğramadığını veya bir ödeme için pazarlık yapıp yapmadığını bilmiyoruz. Doğrulanmamış olmasına rağmen, bazı raporlar grubun ödeme talep ederken “milyonlar” istediğini iddia ediyor. Ayrıca grubun geçmişte ne kadar başarılı olduğunu da bilmiyoruz.
Her zaman olduğu gibi, fidye yazılımlarına karşı korunmanın en iyi yolu hem yazılıma hem de donanıma düzenli olarak yama uygulamak, siber güvenlik çözümleri kurmak ve iş gücünüzü kimlik avı ve sosyal mühendislik saldırılarının tehlikeleri konusunda eğitmektir.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)