Fidye yazılımı dünyasında her zaman bir rekabet olmuştur, saldırganlar kampanya yürütme hızını artırmaya çalışır ve kuruluşlar bu saldırıların önüne geçmek için sürekli yenilik yapar. Hız o kadar belirleyicidir ki, hizmet olarak fidye yazılımı (RaaS) platformları, olası fidye yazılımı ortakları için yürütme hızının reklamını bile yapar. En başarılı fidye yazılımı gruplarından biri olan LockBit, avantajını göstermek için şifreleme hızını rakiplerinin hızına göre halka açık bir şekilde listeledi. Kısacası hız, fidye yazılımı savaşının her iki tarafında da kritik öneme sahiptir.
En yeni fidye yazılımı varyantlarından biri olan Rorschach, LockBit 3.0’dan resmi olarak “şifreleme hızı kralı” unvanını aldı. Rorschach değişkeni ilk olarak Nisan 2023’te tespit edildi ve Babuk fidye yazılımı kodunun özelleştirilmiş bir türü. Rorschach, hızı ön plana çıkarıyor ve fidye yazılımı yaratıcılarının kurbanlarının ortamının çeşitli boyutlarında hızı nasıl artırdığına daha yakından bakmayı garanti ediyor.
Kötü Amaçlı Yazılım Yayılma Hızı
Önemli bir hız bileşeni, kötü amaçlı yazılımları olabildiğince hızlı bir şekilde yayma yeteneğidir. Geçmişte, fidye yazılımı grupları, tedarik zinciri saldırıları ve kötü amaçlı yazılımlarını yaymak için mevcut BT ve güvenlik araçlarını kullanma dahil olmak üzere hızlı yayılım için birçok teknikten yararlandı.
Ancak Rorschach, Active Directory (AD) Etki Alanı Grup İlkesi Nesnelerinden (GPO) yararlanan ilginç bir kendi kendine yayılan ve otonom yetenek oluşturmuş ve göstermiştir. Bu, kötü amaçlı yazılımın ağ genelinde hızla yayılmasını ve fidye yazılımını her uç noktada inanılmaz hızlarda yürütmesini sağlar. Bu nedenle Rorschach varyantı, kendi kendini çoğaltmaya yönelik bu ilginç yeniliklerle iğneyi her zamankinden daha fazla zorladı.
Bu yeniliğe karşı koymak için kuruluşlar, fidye yazılımlarıyla gerçek zamanlı olarak ilgilenen ve saldırganları mümkün olan en kısa sürede tespit eden aktif savunma teknolojisi gibi kendi kendine yayılmayla mücadele eden araçları benimsemelidir.
Gasp için Veri Şifreleme Hızı
Rorschach’ın yaratıcıları, Windows uç noktalarında, büyük dosya verisi akışlarını etkileyici bir performansla şifreleyen bir akış şifresi olan HC-128’i kullanmayı dikkatle seçti. Rorschach fidye yazılımı, Curve25519’u temel alan asimetrik anahtar değişim yöntemini kullanır. Aynı anda güçlü güvenliği korurken, hem hesaplama performansında hem de bellek tüketiminde verimlidir.
LockBit ve Babuk da dahil olmak üzere diğer birçok fidye yazılımı türü gibi, Rorschach da dosyanın tüm içeriği yerine yalnızca bazı kısımlarını şifreler. Bu taktik, verimliliği ve hızı nedeniyle son birkaç yılda popüler hale gelen aralıklı şifreleme olarak bilinir. Dosyanın yalnızca bölümlerini şifrelemek, veri şifrelemeyi tamamlamak için gereken süreyi önemli ölçüde azaltır. Fidye yazılımı operatörleri, bir saldırının şifreleme aşamasını kısaltarak, güvenlik araçlarına onları algılamak için daha az fırsat verir. Veri şifreleme, bir saldırının görünen kısmıdır ve saldırganlar, savunuculara karşı yarışta şanslarını artırmak için bu pencereyi kısaltırlar.
LockBit ve diğer iyi bilinen fidye yazılımları gibi, Rorschach da yüksek performanslı hızlı şifreleme için paralellik ve çoklu kullanımdan yararlanır. Rorschach fidye yazılımı uygulaması her işletim sistemi türü için özelleştirildiğinden, verimli çok iş parçacıklı şifreleme için G/Ç tamamlama bağlantı noktaları olarak bilinen belirli Windows yeteneklerinden yararlanır. Bu teknik LockBit 3.0, REvil, Hive, BlackMatter ve DarkSide’dan ödünç alınmıştır.
Fidye yazılımı çeteleri arasındaki veri şifreleme hızı sıralaması ilginç olsa da, hemen hemen tüm modern fidye yazılımı varyantlarının halihazırda veri şifrelemeyi çok hızlı gerçekleştirdiğini not etmek önemlidir. Ne yazık ki hepsi, çoğu güvenlik ekibinin veya aracının başa çıkmak için donanımlı olduğundan çok daha hızlı.
Bununla birlikte, Rorschach bazı alanlarda hız açısından rakiplerini geride bıraksa da, şu anda çifte gasp için veri sızdırıyor gibi görünmüyor. Bu, ilk önce kurumsal verileri sızdıran LockBit dahil olmak üzere diğer fidye yazılımı çeteleriyle karşılaştırılır. Veri şifreleme, bir fidye yazılımı saldırısının görünen kısmı olsa da, veri hırsızlığı, savunuculara karşı görünmez bir yarıştır. Fidye yazılımı aktörleri, veri şifrelemeye başlamadan önce genellikle çifte gasp için büyük miktarda veriyi sızdırır.
Savunucuların Radarı Altında Kalmak
Rorschach’ın özellikle yenilikçi hareketlerinden biri, saldırganlar ve savunucular için yararlı olan iki ucu keskin bir kılıç olan aldatma teknolojisini kullanarak radarın altında kalma yeteneğidir. Rorschach’ın gelişmiş güvenlikten kaçınma yetenekleri, fidye yazılımının gerçek yeteneklerini gizlemek için şaşırtma teknikleri, geçerli etki alanı kullanıcı ve hizmet hesapları ve tartışma yanıltma teknikleri dahil olmak üzere kötü amaçlı amaçlar için aldatma teknikleri ve kavramlarından yararlanır.
Bu tür bir savunma kaçırma, fidye yazılımı tehditleri için yenidir, ancak siber güvenlik dünyasında yeni değildir. Rorschach’ın AD GPO’ları ve yüksek hızlı kampanyaları kullanarak kendi kendine yayılma tekniğiyle mücadele etmek için savunucuların gerçek zamanlı, yeni ve otonom fidye yazılımı yeteneklerini tespit edip bunlara yanıt verebilecek çözümlere ihtiyacı var.
Rorschach fidye yazılımı, LockBit, Babuk ve REvil gibi daha önce başarılı olan fidye yazılımı gruplarından yenilikler ödünç aldı ve ışık hızında yenilikler ekleyerek başarılarının üzerine inşa etti. Rorschach varyantı, sürekli savunma oyuncusu yeniliğinin önemini ve aynı zamanda gerçek zamanlı olarak hücum hareketine karşı koyma ihtiyacını gösterir.