Sözde fidye yazılımı bulaşmış şirketlerin artık fidye ödeme seçeneği olmayabilir.
Yeni bir kötü amaçlı program, tam olarak kripto fidye yazılımı gibi davranır – dosyaların üzerine yazar ve yeniden adlandırır, ardından fidye notu ve ödeme için bir Bitcoin adresi içeren bir metin dosyasını bırakır – ancak program bunun yerine kurbanın dosyalarının içeriğini siler. Programı analiz eden siber güvenlik firması Kaspersky’ye göre, CryWiper adlı program şu anda Rus kuruluşlarını hedefliyor, ancak diğer ülkelerdeki şirketlere ve kuruluşlara karşı kolayca kullanılabilir.
Şirketin araştırmacıları analizde, kamufle edilmiş silecek programının, kasıtlı veya kasıtsız olarak bir silecek olarak kullanılan fidye yazılımlarındaki eğilimi sürdürdüğünü belirtti.
“Geçmişte, şifreleme algoritmalarını yetersiz uygulayan yaratıcılarının hataları nedeniyle kazara silinen bazı kötü amaçlı yazılım türleri gördük.” araştırmacılar yazdı “Ancak bu sefer durum böyle değil: uzmanlarımız, saldırganların asıl amacının finansal kazanç değil, verileri yok etmek olduğundan emin. “
Wiper olarak adlandırılan kritik verileri silen kötü amaçlı yazılımlar, hem özel sektör hem de kamu sektörü için önemli bir tehdit haline geldi. Silecekler, ülkenin kritik hizmetlerini ve savunma koordinasyonunu bozmak amacıyla Ukrayna ile olan ihtilafta Rus ajansları tarafından kullanıldı. On yıl önce İran, rakip ülke Suudi Arabistan’ın devlete ait petrol holdingi Saudi Aramco’da 30.000’den fazla sabit diski şifrelemek ve işe yaramaz hale getirmek için Shamoon silecek programını kullandı.
Kaspersky araştırmacıları analizlerinde son saldırının bir Rus kuruluşunu hedef aldığını belirterek, bunun Ukrayna güçleri veya partizan bilgisayar korsanları tarafından misilleme olabileceğini öne sürdü.
Siber güvenlik firması Trellix’te bir kötü amaçlı yazılım araştırmacısı olan Max Kersten, “Fidye yazılımı gibi davranan kullanılan örtü örtüsü ve basit bir silici yazmanın sınırlı süresi göz önüne alındığında, bu saldırının arkasında herhangi biri olabilir gibi görünüyor.” “Kaspersky, kurbanların Rus olduğunu, yani Rus karşıtı aktivistlerin, Ukrayna yanlısı aktivistlerin, devlet olarak Ukrayna’nın veya Ukrayna’yı destekleyen devletlerin arkasında olabileceğini belirtiyor, anladığım kadarıyla.”
Sahte Fidye Yazılımı mı yoksa Tembel Suçlular mı?
CryWiper, fidye yazılımı gibi görünen ancak aslında bunun yerine bir silici görevi gören en son saldırı programıdır. Geçmişteki örnekler genellikle bir geliştirici hatası nedeniyle verileri silerken, CryWiper’ın yaratıcısına göre işlevselliğini amaçlıyordu. Kaspersky’nin Rusça analizinin çevirisi.
Kaspersky, “Bir kötü amaçlı yazılım örneğini inceledikten sonra, bu Truva atının fidye yazılımı kılığına girmesine ve verilerin ‘şifresini çözmek’ için kurbandan zorla para almasına rağmen, aslında şifrelemediğini, etkilenen sistemdeki verileri kasıtlı olarak yok ettiğini öğrendik.” . “Üstelik, Truva Atı’nın program kodunun analizi, bunun bir geliştiricinin hatası olmadığını, asıl niyetinin olduğunu gösterdi.”
CryWiper, şifre çözmeye izin vermeden verilerin üzerine yazan ilk fidye yazılımı programı değil. Yakın zamanda keşfedilen başka bir program olan W32/Filecoder.KY!tr de dosyaların üzerine yazar, ancak bu durumda, kötü programlama nedeniyle veriler kurtarılamaz.
Fortinet araştırmacısı Gergely Revey, “Fidye yazılımı kasıtlı olarak bir siliciye dönüştürülmedi. Bunun yerine, kalite güvencesinin olmaması bir örneğin düzgün çalışmamasına yol açtı.” bir analizde belirtilmiş. “Bu kusurla ilgili sorun, fidye yazılımının tasarım basitliği nedeniyle, program çökerse – veya hatta kapanırsa – şifrelenmiş dosyaları kurtarmanın bir yolu olmamasıdır.”
Önceki Ransomware ile benzerlikler
CryWiper orijinal bir kötü amaçlı yazılım parçası gibi görünüyor, ancak yıkıcı kötü amaçlı yazılım, Ukrayna’daki kamu sektörü kuruluşlarına saldırmak için kullanılan bir program olan IsaacWiper ile aynı sözde rastgele sayı üreteci (PRNG) algoritmasını kullanıyor. Rusya Federasyonu, Kaspersky Rus analizini belirtti.
Xorist fidye yazılımı ailesinin ve Trojan-Ransom.MSIL.Agent ailesinin çeşitli varyantları, verilerin bozulmasının ardından CryWiper’ın geride bıraktığı notta aynı e-posta adresini kullandı, ancak Trellix’ten Kersten, bunun kafa karışıklığına yol açmış olabileceğine inanıyor.
“Fidye notundaki e-posta adresinin farklı örneklerde yeniden kullanılması, noktaları birleştirmek isteyen analistleri uzaklaştırmak için yapılabilir veya bu gerçek bir hata olabilir” diyor. “Kötü amaçlı yazılımın kodu, kapsamlı bir şekilde test edilmediğini gösteren bazı hatalar içerdiğinden, bence ikincisi daha az olasıdır, bu da bana yaratıcısını düşündürüyor. [or creators] zamanın baskısı altındaydı.”
Geçmişte, fidye yazılımıyla hedeflenen şirketler, bir kripto-fidye yazılımı olayından kurtarmak için yedekleri ve çevrimdışı kopyaları kullanmaları için fidye yazılımı gruplarına ödeme yapıp yapmama kararı konusunda ıstırap çekiyordu.
“CryWiper kendisini bir fidye yazılımı programı olarak konumlandırıyor, yani kurbanın dosyalarının şifrelendiğini ve fidye ödenirse geri yüklenebileceğini iddia ediyor. Ancak bu bir aldatmaca: aslında veriler yok ediliyor ve geri alınamıyor. geri döndü,” dedi Kaspersky. “CryWiper’ın etkinliği bir kez daha gösteriyor ki fidye ödemesi dosyaların kurtarılmasını garanti etmiyor.”
