Obscura Ransomware: Derinlemesine Analiz
Giriş
29 Ağustos 2025’te Huntress analistleri, daha önce görülmemiş “Obscura” adlı bir ransomware varyantı ile karşılaştı. İlk olarak bir kurban organizasyonun çok sayıda bilgisayarında çalıştırılan bu yazılım, şifreleme işlemlerini gerçekleştirdi ve ağdaki etkilenen makinelerde geniş çapta yayıldı.
Ransomware’ın İlk İzlenimleri
Obscura, tanıtım notu olan README_Obscura.txt dosyasıyla adını duyurdu. Analistler, bu ransomware varyantı hakkında herhangi bir halka açık kaynak bulamadılar ve bu, saldırının ne kadar iyi bir şekilde gizlendiğini gösteriyor.
Ransomware Yürütülmesi
Ransomware, kurbanın ağında birkaç makineyi etkileyerek çalıştırıldı. Ancak, Huntress ajanının sınırlı dağıtımı, açığa çıkartma ve yanıt verme kabiliyetlerini zayıflattı. İlk erişim vektörünü incelemek zorlaştı.
Ancak görülenler arasında, ransomware yürütülebilir dosyasının C:WINDOWSsysvolsysvol[domain].localscripts yolunda yer aldığı belirtildi. Bu konumdaki dosya, bulunduğu alanın adını alarak, sanki burada yer alıyormuş gibi görünüyor.
Ransom Note
Ransomware’ın içeriklerinin başlangıcı, kullanıcıları korkutmanın yanı sıra dikkat çekmek amacını taşımaktadır. Ransom notunun bazı bölümleri şu şekildedir:
“İyi günler! Şirketiniz basit bir penetrasyon testini geçemedi.”
Ransom notunda, ağın tamamen şifrelenmiş olduğu belirtilmiş ve hackerlar, elde edilen verilerin geri alınmasının zor olduğunu vurgulamıştır. Verilerin çalındığı, öncelikle çalışan bilgilerinin ve finansal belgelerin de dahil olduğu ifade edilmektedir. Kullanıcılara 240 saat içinde yanıt verme süresi verilmiştir.
Ransom İstekleri
Ödenmesi gereken fidye, elde edilen bilgilerin korunması ve yeniden yapılandırılması için talep edilmektedir. Ransom notundaki öneriler, istemcileri korkutmak ve onları pazarlık yapmaya zorlamak amacı taşımaktadır.
Teknik Analiz
Ransomware’ın Çalışma Mekanizması
Ransomware çalıştırıldığında, bir ortam değişkeninin (DAEMON) değerini kontrol eder. Eğer değer 1 ise, fidye notu bırakılır ve şifreleme işlemi gerçekleştirilir. Aksi takdirde, şifreleme için hazırlık işlemleri başlatılır.
Ana işlevlerden biri olan main_run(), bu işlemlerin yönetimini sağlar. Bu fonksiyon, bir 32 baytlık açık anahtar elde eder ve sistemdeki depolama aygıtlarını tarar.
Güvenlik Önlemleri ve Yönetim Hakları
Ransomware, kullanıcıların yönetici haklarına sahip olup olmadığını kontrol eder. Yönetici hakları yoksa, uygulama çalışmayı durdurur ve dikkat çekici bir bilgi mesajı verir.
Bu süreçler, ransomware’ın etkili bir şekilde şifrelemesi ve sistem üzerinde kontrol sağlaması için kritik öneme sahiptir.
Şifreleme Stratejileri
Ransomware’da, dosyaların boyutuna bağlı olarak şifreleme stratejileri belirlenir. 1 GB’dan küçük dosyalar tam olarak şifrelenirken, daha büyük dosyalar yalnızca ilk 25%’i şifrelenir. Bu dikkatle tasarlanmış sistem, kullanıcı verilerine maksimum zarar vermeyi amaçlamaktadır.
Obscura ve Diğer Ransomware Varyantları
Huntress, son zamanlarda Crux ve Cephalus gibi yeni ransomware varyantları da gözlemlendi. Ransomware ekosistemindeki değişiklikler, saldırganların yeni taktikler geliştirmesi, yeniden markalamı ve yeni varyantları piyasaya sürmelerini sağlıyor.
Kuruluşlar, alan denetleyicilerini dikkatlice izlemeli ve yeni dosya eklemesi ya da mevcut dosyaların değiştirilmesi durumlarda tetikte olmalıdır. Ayrıca, sistemdeki anormal erişim girişimleri de izlenmelidir.
Sonuç
Obscura ransomware, günümüzdeki siber tehdit ortamının ne kadar dinamik olduğunu gözler önüne seriyor. Kuruluşların bu tür tehditlere karşı hazırlıklı olmaları, sürekli eğitim ve durum farkındalığı ile sağlanabilir. Ransomware’ların sürekli evrimi, siber güvenlik uzmanları için daima güncel bilgi ve stratejiler gerektirmektedir.
Kayıt Olun
Tradecraft Tuesday, entelektüel analizlerin yanı sıra güvenlik uzmanları için trendler ve tehditlerle ilgili taktiklerin sunulduğu bir platformdur. Bu tür eğitimler, kurumların savunma mekanizmalarını güçlendirecek ve siber saldırılara karşı daha dirençli olmalarını sağlayacaktır.
