Siber güvenlik araştırmacıları yakın zamanda, en hızlı olduğunu iddia ettikleri yeni bir fidye yazılımı türü ortaya çıkardılar.
Check Point uzmanları, bir ABD şirketindeki bir siber olayı araştırdıktan sonra, daha kapsamlı bir analizden sonra Rorshach olarak adlandırılan bilinmeyen bir fidye yazılımı varyantıyla karşılaştı.
Araştırmacılar, dosyaları şifrelemenin ne kadar süreceğini görmek için 6 çekirdekli bir CPU makinesinde 220.000 dosya vererek kodu test ederek, Rorshach’ın şifreleme söz konusu olduğunda en hızlı fidye yazılımı türü olduğu sonucuna vardı. Rorshach görevi dört buçuk dakikada tamamladı. Perspektif açısından, LockBit 3.0 daha önce aynı iş için yedi dakikada rekoru elinde tutuyordu.
Araştırmacıları şaşırtmak
Fidye yazılımının operatörleri hala bilinmemekle birlikte, araştırmacıların bunun arkasında kimin olabileceğine dair birkaç fikri var. Fidye notunun Yanlowang fidye yazılımı tarafından kullanılana benzer bir format kullandığını söylüyorlar. Ayrıca, kötü amaçlı yazılımın önceki sürümlerinin, DarkSide’ın kullandığına benzer bir fidye notu kullandığını ve bunun da diğer araştırmacıları Rorshach’ın aslında DarkSide olduğuna inanmaları için kandırdığını söylediler.
Fidye yazılımının teknik özelliklerine gelince, araştırmacılar Rorshach’ın işlevselliğini artırabilen komut satırı argümanlarını desteklediğini gördü. Ancak seçenekler gizlidir ve kötü amaçlı yazılımın tersine mühendisliği yapılmadan bu seçeneklere erişilemez. Ayrıca, şifreleyicinin yalnızca hedef makinenin Bağımsız Devletler Topluluğu (CIS) dışındaki bir dille yapılandırıldığını tespit etmesi durumunda çalışacağını da buldular.
Şifreleme şemasına gelince, bu, curve25519 ve eSTREAM cipher hc-12 algoritmalarının bir karışımıdır. Kötü amaçlı yazılım, dosyanın yalnızca bölümlerini şifreler; bu, diğer fidye yazılımı geliştiricilerinin de şifreleme sürecini hızlandırmak için uyguladıkları bir uygulamadır.
Araştırmacılar, Rorschach’ın şifreleme yordamının “G/Ç tamamlama bağlantı noktaları aracılığıyla iş parçacığı planlamasının oldukça etkili bir şekilde uygulanmasını” önerdiği sonucuna vardı.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)