Kasseika Fidye Yazılımı, Güvenlik Ön Şifrelemesini Devre Dışı Bırakmak için BYOVD Hile Kullanıyor

Trend Micro'nun Salı günü yaptığı bir analizde, taktiğin "tehdit aktörlerinin fidye yazılımlarının dağıtımı için antivirüs süreçlerini ve hizmetlerini sonlandırmasına" izin verdiği belirtildi.

Siber güvenlik firması tarafından ilk olarak Aralık 2023'ün ortalarında keşfedilen Kasseika, DarkSide'ın kapatılmasının ardından ortaya çıkan, şu anda feshedilmiş olan BlackMatter ile örtüşüyor.

Fidye yazılımı türünün, BlackMatter'ın kaynak kodunun Kasım 2021'deki ölümünden sonra hiçbir zaman kamuya sızdırılmadığı göz önüne alındığında, BlackMatter'a erişim elde eden veya satın alan deneyimli bir tehdit aktörünün eseri olabileceğini gösteren kanıtlar var.

Siber güvenlik firması tarafından ilk olarak Aralık 2023'ün ortalarında keşfedilen Kasseika, DarkSide'ın kapatılmasının ardından ortaya çıkan, şu anda feshedilmiş olan BlackMatter ile örtüşüyor.

Fidye yazılımı türünün, BlackMatter'ın kaynak kodunun Kasım 2021'deki ölümünden sonra hiçbir zaman kamuya sızdırılmadığı göz önüne alındığında, BlackMatter'a erişim elde eden veya satın alan deneyimli bir tehdit aktörünün eseri olabileceğini gösteren kanıtlar var.

Kasseika'nın dahil olduğu saldırı zincirleri, ilk erişim için bir kimlik avı e-postasıyla başlar, ardından ayrıcalıklı erişim elde etmek ve hedef ağ içinde yanal olarak hareket etmek için uzaktan yönetim araçlarını (RAT'ler) bırakır.

Tehdit aktörlerinin, "Martini.exe" adlı bir işlemin varlığını kontrol eden ve bulunursa, makineyi çalıştıran işlemin yalnızca bir örneği olduğundan emin olmak için onu sonlandıran kötü amaçlı bir toplu komut dosyası yürütmek için Microsoft'un Sysinternals PsExec komut satırı yardımcı programını kullandığı gözlemlendi.

Yürütülebilir dosyanın ana sorumluluğu, 991 güvenlik araçlarını devre dışı bırakmak için "Martini.sys" sürücüsünü uzak bir sunucudan indirip çalıştırmaktır. "Martini.sys"nin, Microsoft'un savunmasız sürücü engelleme listesine eklenen "viragt64.sys" adlı meşru bir imzalı sürücü olduğunu belirtmekte fayda var.

Araştırmacılar, "Martini.sys yoksa, kötü amaçlı yazılım kendini sonlandıracak ve amaçlanan rutinine devam etmeyecektir" dedi ve sürücünün savunmadan kaçınmada oynadığı önemli rolü belirtti.

Bu adımın ardından, "Martini.exe", ChaCha20 ve RSA algoritmalarını kullanarak şifreleme işlemiyle ilgilenen, ancak Windows Yeniden Başlatma Yöneticisi'ne erişen tüm işlemleri ve hizmetleri öldürmeden önce olmayan fidye yazılımı yükünü ("smartscreen_protected.exe") başlatır.

Daha sonra şifrelediği her dizine bir fidye notu bırakılır ve bilgisayarın duvar kağıdı, 72 saat içinde bir cüzdan adresine 50 bitcoin ödemesi talep eden bir not gösterecek şekilde değiştirilir veya son tarih geçtikten sonra her 24 saatte bir fazladan 500.000 dolar ödeme riski alınır.

Bunun da ötesinde, kurbanların bir şifre çözücü almak için aktör kontrolündeki bir Telegram grubuna başarılı ödemenin ekran görüntüsünü göndermeleri bekleniyor.

Kasseika fidye yazılımının, wevtutil.exe ikili dosyasını kullanarak sistemin olay günlüklerini temizleyerek etkinliğin izlerini silmeyi içeren başka hileleri de var.

Araştırmacılar, "Komut wevutil.exe, Windows sistemindeki Uygulama, Güvenlik ve Sistem olay günlüklerini verimli bir şekilde temizliyor" dedi. "Bu teknik, gizli bir şekilde çalışmak için kullanılıyor ve güvenlik araçlarının kötü niyetli faaliyetleri tanımlamasını ve bunlara yanıt vermesini zorlaştırıyor."

Gelişme, Palo Alto Networks Unit 42'nin, 2023'ün başlarında ücretsiz bir şifre çözücünün piyasaya sürülmesinin ardından BianLian fidye yazılımı grubunun çifte gasp planından şifrelemesiz gasp saldırılarına geçişini detaylandırmasıyla geldi.

BianLian, Eylül 2022'den bu yana aktif ve yaygın bir tehdit grubu olmuştur ve ağırlıklı olarak ABD, Birleşik Krallık, Kanada, Hindistan, Avustralya, Brezilya, Mısır, Fransa, Almanya ve İspanya'daki sağlık, üretim, profesyonel ve yasal hizmetler sektörlerini seçmektedir.

Çalınan Uzak Masaüstü Protokolü (RDP) kimlik bilgileri, bilinen güvenlik açıkları (ör. ProxyShell) ve web kabukları, BianLian operatörleri tarafından kurumsal ağlara sızmak için benimsenen en yaygın saldırı yolları olarak hareket eder.

Dahası, siber suç ekibi bir özel . Makop olarak izlenen başka bir fidye yazılımı grubuna sahip NET tabanlı araç, ikisi arasında potansiyel bağlantılar olduğunu gösteriyor.

Güvenlik araştırmacısı Daniel Frank, BianLian'a yeni bir genel bakışta, "Bu .NET aracı, dosya numaralandırma, kayıt defteri ve pano verilerini almaktan sorumludur" dedi.

"Bu araç, birden dörde kadar sayılar gibi Rusça dilinde bazı kelimeler içeriyor. Böyle bir aracın kullanılması, iki grubun geçmişte bir araç setini paylaşmış veya aynı geliştiricilerin hizmetlerini kullanmış olabileceğini gösteriyor."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

 

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği