DarkBit Ransomware Saldırısı: Genel Bakış
2023 yılında, siber güvenlik şirketi Profero, DarkBit fidye yazılım çetesiyle ilgili önemli bir başarı elde etti. Profero, çetenin şifreleme sistemini çözerek, bir müşteri mağdurunun dosyalarını ücretsiz olarak geri kurtarmayı başardı. Bu olay, Profero uzmanlarının, VMware ESXi sunucularını hedef alan bir fidye yazılımı saldırısını araştırdığı sırada gerçekleşti.
Saldırının zamanlaması, 2023 yılındaki İran drone saldırılarıyla bağlantılı olarak yorumlandı. Bu saldırılar, İran Savunma Bakanlığı’na ait bir mühimmat fabrikasını hedef alıyordu. DarkBit çetesi, pro-Iran hacktivistler olarak kendilerini tanıtmış ve İsrail’deki eğitim kurumlarını hedef almıştı. Fidye notlarında anti-İsrail ifadeleri öne çıktı ve 80 Bitcoin fidye talep edildi.
İsrail Ulusal Siber Komutası, DarkBit’in saldırılarını, üzerinde daha önce siber casusluk faaliyetleri yürütmüş olan MuddyWater isimli İran devlet destekli APT (Gelişmiş Kalıcı Tehdit) grubu ile ilişkilendirdi.
Profero’nun Çalışması
Profero, DarkBit fidye yazılımına karşı çözüm geliştirmek amacıyla derinlemesine bir analiz gerçekleştirerek, malware’in potansiyel zayıflıklarını araştırdı. O dönemde DarkBit için mevcut bir decryptor bulunmuyordu; bu nedenle, Profero araştırmacıları, şifreleme anahtarlarının ve Başlatma Vektörlerinin (IV) çalışma zamanında her dosya için özel olarak oluşturulduğunu keşfetti. DarkBit, RSA-2048 ile şifrelenmiş özel bir AES-128-CBC anahtarı kullanıyordu.
Profero’nun araştırmaları sırasında, DarkBit’in anahtar üretim metodunun düşük entropi içerdiğini fark etti. Bu durum, dosya değiştirme zamanlarından elde edilen şifreleme zaman damgalarıyla birleştiğinde, toplam anahtar alanını birkaç milyar seçenek ile sınırladı. Ayrıca, VMware Disk (VMDK) dosyalarının bilinen başlık baytlarına sahip olduğunu belirlediler; bu da yalnızca ilk 16 baytın brüt güce tabi tutulmasının yeterli olacağı anlamına geliyordu.
Yüksek Performanslı Bilgi İşlem Ortamı
Profero, tüm olası tohumları denemek, anahtar/IV çiftlerini oluşturmak ve VMDK başlıklarıyla karşılaştırma yapmak için özel bir araç geliştirdi. Bu işlemleri yüksek performanslı bilgi işlem ortamında gerçekleştirdiler ve geçerli şifre çözme anahtarlarını geri kazandılar. Araştırmanın paralelinde, VMDK dosya içeriğinin büyük bir kısmının DarkBit’in kesintili şifrelemesinden etkilenmediğini keşfettiler. Bu, birçok dosyanın boş alanlara düşmesi nedeniyle gerçekleşti.
Başarı Stratejisi
Profero’nun mühendislerinden biri, şifre çözme hızını artırma konusunda yenilikçi bir fikir geliştirdi. VMDK dosyalarının sparse yani seyrek olduğunu ve genellikle boş alanlar içerdiğini vurguladı. Bu nedenle, her dosya içindeki şifreli parçaların çoğu boştu. “İstatistiksel olarak, VMDK dosya sistemleri içindeki çoğu dosya şifrelenmemişti ve incelememiz için birçok dosya zaten önemli değildi,” açıklamasında bulundu.
Bu strateji, dosya sisteminde yürüyerek gerekli dosyaların geri kazanılmasını sağladı. Hayata geçirilen bu yöntemle, şifre çözme işlemi olmadan büyük miktarda değerli veri elde ettiler.
DarkBit’in Hedefleri ve Ransom Mektupları
Profero, DarkBit’in amaçlarının, bir fidye yazılımından ziyade bir veri silici ile daha iyi karşılanabileceğini öne sürdü. Ayrıca, saldırganların fidye ödeme müzakerelerine girmemesi, Profero’yu, şifrelemenin analizine yönlendirdi. Bu durum, saldırganların daha çok operasyonel kesinti yaratmaya yönelik bir amaca sahip olduğunu belirtmektedir.
Profero, DarkBit şifre çözücüsünü kamuya açıklamayacaklarını, fakat gelecekteki mağdurların yardım alabilmeleri için kendilerine ulaşım sağlayabileceklerini ifade etti.
DarkBit’in karmaşık yapısı ve stratejik hedefleri, özellikle siber güvenlik alanında araştırmalara katılan uzmanlar için önemli bir ders niteliği taşıyor. Bu tür saldırılara karşı sürekli bir hazırlık ve savunma mekanizmaları geliştirilmesi gerektiği bir kez daha kendini göstermektedir.
