Siber Muhbir

Yeni varyant, siber güvenlik firması Halcyon tarafından Qilin.B takma adı altında izleniyor.

Halcyon Araştırma Ekibi, paylaşılan bir raporda, "Özellikle, Qilin.B artık AESNI yeteneklerine sahip sistemler için AES-256-CTR şifrelemesini desteklerken, bu desteğe sahip olmayan sistemler için Chacha20'yi hala koruyor" dedi.

"Ek olarak, OAEP dolgulu RSA-4096, şifreleme anahtarlarını korumak için kullanılır ve saldırganın özel anahtarı veya yakalanan tohum değerleri olmadan dosya şifresinin çözülmesini imkansız hale getirir."

Agenda olarak da bilinen Qilin, siber güvenlik topluluğunun dikkatini ilk olarak Temmuz/Ağustos 2022'de çekti ve ilk sürümleri Rust'a geçmeden önce Golang'da yazılmıştı.

Group-IB'nin Mayıs 2023 tarihli bir raporu, hizmet olarak fidye yazılımı (RaaS) planının, bağlı kuruluşlarının, gruba sızdıktan ve bir Qilin işe alım görevlisiyle görüşmeyi başardıktan sonra her fidye ödemesinin %80 ila %85'i arasında herhangi bir yere sahip olmasına izin verdiğini ortaya koydu.

Fidye yazılımı operasyonuyla bağlantılı son saldırılar, Google Chrome tarayıcılarında güvenliği ihlal edilmiş küçük bir uç nokta kümesinde depolanan kimlik bilgilerini çaldı ve bu da tipik çifte gasp saldırılarından bir tür ayrılmaya işaret ediyor.

Halcyon tarafından analiz edilen Qilin.B örnekleri, ek şifreleme yetenekleri ve geliştirilmiş operasyonel taktikler ile eski yinelemeler üzerine inşa edildiğini gösteriyor.

Bu, şifreleme için AES-256-CTR veya Chacha20'nin kullanılmasının yanı sıra, güvenlik araçlarıyla ilişkili hizmetleri sonlandırarak, Windows Olay Günlüklerini sürekli olarak temizleyerek ve kendini silerek analiz ve algılamaya direnmek için adımlar atmayı içerir.

Ayrıca Veeam, SQL ve SAP gibi yedekleme ve sanallaştırma hizmetlerine bağlı işlemleri sonlandırmak ve birim gölge kopyalarını silmek için özellikler içerir, böylece kurtarma çabalarını karmaşıklaştırır.

Halcyon, "Qilin.B'nin gelişmiş şifreleme mekanizmaları, etkili savunmadan kaçınma taktikleri ve yedekleme sistemlerinin sürekli olarak kesintiye uğraması, onu özellikle tehlikeli bir fidye yazılımı varyantı olarak işaret ediyor" dedi.

Fidye yazılımlarının oluşturduğu tehdidin zararlı ve kalıcı doğası, fidye yazılımı grupları tarafından gösterilen devam eden evrimsel taktiklerde kanıtlanmıştır.

Bu, yeni ortaya çıkan Ambargo fidye yazılımını teslim etmek için kullanılan yeni bir Rust tabanlı araç setinin keşfedilmesiyle örneklenmiştir, ancak Kendi Güvenlik Açığı Sürücünüzü Getirin (BYOVD) tekniği kullanılarak ana bilgisayara yüklenen uç nokta algılama ve yanıt (EDR) çözümlerini sonlandırmadan önce değil.

Hem açık kaynaklı s4killer aracına benzerlikleri nedeniyle ESET tarafından MS4Killer kod adı verilen EDR katili hem de fidye yazılımı, MDeployer olarak adlandırılan kötü amaçlı bir yükleyici aracılığıyla yürütülür.

Araştırmacılar Jan Holman ve Tomáš Zvara, "MDeployer, Embargo'nun güvenliği ihlal edilmiş ağdaki makinelere dağıtmaya çalıştığı ana kötü amaçlı yükleyicidir - saldırının geri kalanını kolaylaştırır, fidye yazılımı yürütme ve dosya şifreleme ile sonuçlanır" dedi. "MS4Killer'ın süresiz olarak çalışması bekleniyor."

"Hem MDeployer hem de MS4Killer Rust ile yazılmıştır. Aynısı fidye yazılımı yükü için de geçerli, bu da Rust'ın grubun geliştiricileri için başvurulacak dil olduğunu gösteriyor."

Microsoft tarafından paylaşılan verilere göre, bu mali yılda 389 ABD sağlık kurumu fidye yazılımı saldırılarına maruz kaldı ve kesinti süresi nedeniyle günde 900.000 dolara kadar mal oldu. Hastanelere saldırmasıyla tanınan fidye yazılımı çetelerinden bazıları arasında Lace Tempest, Sangria Tempest, Cadenza Tempest ve Vanilla Tempest yer alıyor.

Teknoloji devi, "Fidyeyi ödediğini kabul eden ve ödenen fidyeyi açıklayan 99 sağlık kuruluşundan medyan ödeme 1,5 milyon dolar ve ortalama ödeme 4,4 milyon dolardı" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.