Siber Muhbir

Bulgular geçen hafta Kookmin Üniversitesi ve Kore İnternet ve Güvenlik Ajansı'ndan (KISA) bir grup araştırmacı tarafından yayınlandı.

Araştırmacılar, "Rhysida Ransomware'in kapsamlı bir analizi sayesinde, kötü amaçlı yazılım tarafından kullanılan şifreleme anahtarını yeniden oluşturmamızı sağlayan bir uygulama güvenlik açığı belirledik" dedi.

Gelişme, ilk olarak Mayıs 2023'te ortaya çıkan fidye yazılımı türünün ilk başarılı şifre çözme işlemini işaret ediyor. KISA aracılığıyla bir kurtarma aracı dağıtılıyor.

Çalışma aynı zamanda Magniber v2, Ragnar Locker, Avadon ve Hive'dan sonra fidye yazılımlarındaki uygulama güvenlik açıklarından yararlanarak veri şifresinin çözülmesini sağlayan en son çalışmadır.

Vice Society adlı başka bir fidye yazılımı ekibiyle örtüştüğü bilinen Rhysida, çalınan verilerini yayınlamakla tehdit ederek kurbanlara ödeme yapmaları için baskı uygulamak için çifte gasp olarak bilinen bir taktikten yararlanıyor.

ABD hükümeti tarafından Kasım 2023'te yayınlanan bir danışma belgesi, tehdit aktörlerini eğitim, üretim, bilgi teknolojisi ve devlet sektörlerini hedef alan fırsatçı saldırılar düzenlemekle suçladı.

Fidye yazılımının iç işleyişinin kapsamlı bir incelemesi, süreci hızlandırmak için paralel işlemenin yanı sıra şifreleme için LibTomCrypt kullandığını ortaya çıkardı. Ayrıca, güvenlik çözümleri tarafından tespit edilmekten kaçınmak için aralıklı şifreleme (diğer adıyla kısmi şifreleme) uyguladığı da bulunmuştur.

Araştırmacılar, "Rhysida fidye yazılımı, şifreleme anahtarını oluşturmak için kriptografik olarak güvenli bir sözde rastgele sayı üreteci (CSPRNG) kullanıyor" dedi. "Bu jeneratör, rastgele sayılar üretmek için kriptografik olarak güvenli bir algoritma kullanıyor."

Özellikle, CSPRNG, LibTomCrypt kütüphanesi tarafından sağlanan ChaCha20 algoritmasına dayanmaktadır ve üretilen rastgele sayı, Rhysida fidye yazılımının çalıştığı zamanla da ilişkilidir.

Rastgele sayının öngörülebilirliğine rağmen, Rhysida fidye yazılımının ana süreci, şifrelenecek dosyaların bir listesini derler, daha sonra dosyaları aynı anda belirli bir sırayla şifrelemek için oluşturulan çeşitli iş parçacıkları tarafından başvurulur.

Araştırmacılar, "Rhysida fidye yazılımının şifreleme sürecinde, şifreleme iş parçacığı tek bir dosyayı şifrelerken 80 bayt rastgele sayı üretiyor" dedi. "Bunlardan ilk 48 bayt şifreleme anahtarı ve [başlatma vektörü] olarak kullanılır."

Araştırmacılar, bu gözlemleri referans noktaları olarak kullanarak, fidye yazılımının şifresini çözmek için ilk tohumu alabildiklerini, dosyaların şifrelendiği "rastgele" sırayı belirleyebildiklerini ve nihayetinde fidye ödemek zorunda kalmadan verileri kurtarabildiklerini söylediler.

"Bu çalışmaların sınırlı bir kapsamı olmasına rağmen, belirli fidye yazılımlarının [...] başarılı bir şekilde şifresi çözülebilir, "diye bitirdi araştırmacılar.

Güncelleştirmek

Hikayenin yayınlanmasının ardından, güvenlik araştırmacısı Fabian Wosar, zayıflıkların "yayın aramak ve Rhysida'yı sorunları hakkında uyarmak yerine özel olarak dağıtmayı seçen en az üç taraf" tarafından bulunduğunu söyledi.

Wosar, "Avast bunu geçen yıl Ekim ayında buldu, Fransız CERT Haziran ayında bu konuda özel bir makale yazdı ve yayınladı ve güvenlik açığını geçen yıl Mayıs ayında buldum" dedi. "Avast ve CERT verilerini bilmiyorum ama o zamandan beri yüzlerce sistemin şifresini çözdük."

"Ayrıca, bir uyarı: Kağıt yalnızca Rhysida fidye yazılımının Windows PE sürümü için geçerlidir. ESXi veya PowerShell yükü için geçerli değildir."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.