Giriş
Prinz Eugen isimli yeni bir fidye yazılımı, son değiştirilen dosyaları şifrelemekte öncelik veriyor ve sistemde fidye notu bırakmamaktadır. Bu durum, siber saldırılarda daha etkili bir yöntem olarak kullanıldığı için dikkatle izlenmelidir.
Saldırı Nasıl Çalışıyor?
Prinz Eugen’ın saldırı yöntemi, uzaktan masaüstü (RDP) kimlik bilgilerini çalarak başlıyor. Saldırganlar, ardından ana yük olan servertool.exe‘yi manuel olarak indirip çalıştırıyorlar. Saldırganlar, meşru uzaktan izleme ve yönetim yazılımlarını kullanarak saldırılarını gerçekleştiriyorlar. Örneğin, araştırmalar sırasında kullanılan RemotePC RMM aracı ve kalıcı erişim sağlamak için bir arka kapı yönetici hesabı tespit edilmiştir.
Prinz Eugen, mevcut fidye yazılımı-as-a-service (RaaS) modeline bağlı kalmıyor; geliştirici ekip şu anda bağlı ortaklar aramıyor. Saldırganlar, veri şifreleme ve sızıntı yöntemleri uygulayarak yalnızca üç kurbanı listelemekte, ancak daha fazla kuruluşun da etkilendiği bilinmektedir.
Etkilenen Sistemler
Prinz Eugen fidye yazılımı, sistemlerdeki dosyaların büyük bir kısmını etkileyebilmektedir. Analiz edilen saldırılarda, yazılım .prinzeugen uzantılı dosyaların dışındaki tüm dosyaları şifrelemektedir. Dosyalar, geleneksel olarak en son değiştirilmiş olanlardan başlayarak alfabetik sırayla işleniyor. Bu durum, kurbanlar üzerinde daha fazla baskı oluşturma amacı taşımaktadır.
Şifreleme Stratejisi
Prinz Eugen, Go tabanlı bir zararlı yazılım olarak, ChaCha20-Poly1305 şifreleme algoritması kullanmaktadır. Şifreleme süreci, 32 baytlık bir anahtar, her dosya için rastgele bir başlangıç vektörü ve Argon2id, SHA-256 ve HKDF-SHA256 tabanlı bir anahtar türetme fonksiyonu ile gerçekleştirilir. Dosyaların bütünlüğü SHA-256 hash fonksiyonu ile kontrol edilmektedir.
Yazılım, şifreleme tamamlandıktan sonra orijinal dosyayı silmek için –delete bayrağını kullanıyor. Ancak, orijinal dosya silinmeden önce tekrar şifrelenebilirlik kontrolü yapılıyor. Bu işlem, şifreleme anahtarının kurtarılmasını önlemek amacıyla sıfırlarla üzerinin kaplanması ve bellekten silinmesi ile sona eriyor.
Çözüm ve Korunma
Siber güvenlik uzmanları, fidye yazılımı saldırılarına karşı önlem almak için aşağıdaki önerileri dikkate almalıdır:
- Güçlü RDP kimlik bilgileri kullanın ve bunları düzenli olarak güncelleyin.
- Güvenlik yazılımlarının güncel olduğundan emin olun.
- Veri yedeklemeleri yapın ve bunları düzenli olarak test edin.
- Dosya erişim izinlerini sıkı bir şekilde yönetin.
- Olası saldırı göstergeleri konusunda farkındalığı artırın.
Sonuç olarak, bilgisayarınıza fidye yazılımı bulaşma riskini azaltmak için sistemlerinizi düzenli bir şekilde güncellemeli ve gerekli önlemleri almalısınız. Gereksiz portları kapatmak ve güvenlik çözümlerini sürekli aktif halde tutmak da büyük önem taşımaktadır.
