Araştırmacılar, geçmişi 2019’a kadar uzanan ve bireyleri ve küçük işletmeleri hedef alan, tipik fidye yazılımı aktörlerinin istediği genellikle milyon dolarlık meblağlar yerine her müşteriden küçük fidyeler talep eden yeni bir fidye yazılımı türü tespit etti.
Güvenlik ve operasyon analitiği firması Netenrich’ten araştırmacılar, bu hafta yayınlanan bir blog yazısında TZW’nin, ilk olarak Ocak 2020’de ortaya çıkan ancak bir yıl önce zaten aktif olan Adhubllka fidye yazılımı ailesinin en son türü olduğunu ortaya çıkardı.
Türün keşfedilmesinden daha da önemli olan, araştırmacıların onu doğru şekilde tanımlamak için üstlendiği süreçtir. Netenrich’in kıdemli tehdit analisti Rakesh Krishnan, yıllar geçtikçe Adhubllka örneklerinin birçoğunun yanlış sınıflandırıldığını ve/veya başka bir fidye yazılımı ailesi olarak etiketlendiğini söylüyor.
“Bu, olay raporu hazırlarken tehdit avcılarının/güvenlik araştırmacılarının kafasını karıştırır” diyor. Aslında araştırmacılar, birden fazla motorun daha önce TZW tespit ettiğini ancak örnekte CryptoLocker gibi diğer kötü amaçlı yazılımların izlerini bulduğunu bildirdi.
Dahası, aynı parçaya ReadMe, MMM, MME, GlobeImposter2.0 gibi başka isimler de verilmişti ve bunların hepsi aslında Adhubllka fidye yazılımı ailesine aitti. Krishnan, tüm bu kafa karışıklığının, fidye yazılımı türünün doğru atıfla tanımlanması için soyağacının daha fazla araştırılmasını gerektirdiğini söylüyor.
“Bu araştırma aynı zamanda bir fidye yazılımı ailesinin kökenine kadar izini sürmeye de ışık tutuyor. [threat actors’] İletişim e-postaları, fidye notları ve yürütme yöntemi de dahil olmak üzere, analizde hayati bir rol oynayan iletişim kanalları ve diğer araçlar” diye ekliyor.
Raf Adhubllka
Önce adhubllka daha fazla ilgi gördü Araştırmacılar, Ocak 2020’de, ancak önceki yıl “oldukça aktif” olduğunu belirtti. Tehdit grubu TA547, 2020 yılında Avustralya’nın çeşitli sektörlerini hedef alan kampanyalarında Adhubllka varyantlarını kullandı.
Araştırmacıların TZW’yi Adhubllka’nın bir yan ürünü olarak tanımlamasının bu kadar zor olmasının temel nedeni, grubun genellikle yaptığı küçük fidye talepleridir (800 ila 1.600 dolar). Bu düşük seviyede, Kurbanlar sıklıkla saldırganlara para ödüyor ve Saldırganlar radarın altından uçmaya devam ediyor.
Krishnan, “Diğerleri gibi bu fidye yazılımı da kimlik avı kampanyaları yoluyla yayılıyor, ancak benzersizliği, yalnızca bireyleri ve küçük ölçekli şirketleri hedef almaları ve dolayısıyla medya kanalında büyük bir haber yapmayacak olmalarıdır” diyor. “Ancak bu şu anlama gelmiyor [Adhubllka] Altyapılarında zaten gerekli güncellemeleri yaptıkları için önümüzdeki dönemde daha da büyümeyecekler.”
Aslında araştırmacılar gelecekte bu fidye yazılımının başka isimlerle yeniden markalanabileceğini öngörüyor; diğer gruplar da bunu kendi fidye yazılımı kampanyalarını başlatmak için kullanabilir.
Krishnan, “Ancak tehdit aktörü iletişim şeklini değiştirmediği sürece bu tür vakaların tamamını Adhubllka ailesine kadar takip edebileceğiz” diyor.
Tanımlamanın Anahtarları
Gerçekten de araştırmacıların en son kampanyayı Adhubllka’ya bağlamak için kullandıkları anahtar, aktör tarafından kullanılan önceden bağlantılı Tor alanlarını takip etmekti; ekip, kurbanlara bırakılan fidye notunun içindeki ipuçlarını ortaya çıkararak notun kaynağına kadar izini sürdü.
Notta, tehdit aktörü kurbanlardan, fidye ödemesinin ardından şifre çözme anahtarlarını almak için Tor tabanlı bir kurban portalı aracılığıyla iletişim kurmalarını istiyor. Notta, gönderiye göre “Tor topluluğunun v2 Onion alanlarını kullanımdan kaldırması nedeniyle” grubun iletişim kanalını v2 Tor Onion URL’lerinden v3 Tor URL’sine değiştirdiği belirtildi.
Ayrıca notta yer alan ek cümle – “şifre çözücünüzün bulunduğu sunucu kapalı bir Tor ağındadır” – araştırmacılara göre yalnızca iki yeni Adhubllka varyantında görüldü: TZW ve U2K, bu da atıfları daha da daralttı.
Adhubllka’nın en son versiyonuna açıkça işaret eden diğer ipuçları, kampanyanın e-posta adresini kullanmasıydı. [email protected]Fidye yazılımı grubuna ait olduğu geniş çapta rapor edilen bu saldırının, Adhubllka’nın MD5 varyant örneğiyle bağlantısı 2019’da tespit edildi.
Krishnan, araştırmanın genel olarak, tehdit avcılarını siber suçluların izinden uzaklaştırmak için fidye yazılımının nasıl dikkatle tasarlandığını gösterdiğini ve bir uç nokta güvenlik çözümü kurarak saldırılara karşı savunmanın önemini güçlendirdiğini söylüyor.
“Ancak, bir fidye yazılımı yeni oluşturulduğunda/kodlandığında, yalnızca e-posta yoluyla gönderilen kötü amaçlı bağlantılara tıklamamak gibi temel güvenlik eğitimi ile engellenebilir” diyor.
Krishnan, aslında kuruluşlar için en önemli korumanın, ilk etapta fidye yazılımının bir ortama girmesini önlemekte yattığını, bunun da “davranış anormalliklerinin araştırılması, ayrıcalık artışı ve şüpheli çıkarılabilir medyanın bir ortama sokulması anlamına geldiğini” ekliyor.