Yeni ALPHV fidye yazılımı operasyonu, diğer adıyla BlackCat, geçen ay piyasaya sürüldü ve çok çeşitli kurumsal ortamlara saldırılara izin sağlayan son derece özelleştirilebilir bir özellik seti ile yılın en sofistike fidye yazılımı olabilir.
Fidye yazılımı yürütülebilir yazılımı, kötü amaçlı yazılım geliştiricileri için tipik olmayan ancak yüksek performansı ve bellek güvenliği nedeniyle popülaritesi yavaş yavaş artan Rust ile yazılmıştır.
MalwareHunterTeam yeni fidye yazılımını buldu ve BleepingComputer’a yeni operasyon için ilk ID Ransomware gönderiminin 21 Kasım’da olduğunu söyledi.
Çok ilginç bir yeni Rust kodlu fidye yazılımı (ilk ITW?), BlackCat var.
Bir diğeri şirketlerin ağlarını şifrelemek için kullanılırdı.
Geçen Kasım 2020’nin ikinci yarısından itibaren farklı ülkelerden bazı kurbanlar gördüm.
Ayrıca şu kullanıcı arabirimine de bak. 80’lere mi?
@demonslay335 @VK_Intel pic.twitter.com/YttzWWUD3c— MalwareHunterTeam (@malwrhunterteam) 8 Aralık 2021, Aralık 2021, Bu
Fidye yazılımı geliştiriciler tarafından ALPHV olarak adlandırılır ve Rusça konuşan hack forumlarında tanıtılıyor.
MalwareHunterTeam, her kurbanın Tor ödeme sitesinde kullanılan siyah bir kedinin aynı favicon’u nedeniyle fidye yazılımını BlackCat olarak adlandırırken, veri sızıntısı sitesi aşağıda gösterilen kanlı bir hançer kullanıyor.
Hizmet olarak fidye yazılımı (RaaS) tüm işlemleri gibi, ALPHV BlackCat operatörleri de kurumsal ihlaller gerçekleştirmek ve cihazları şifrelemek için bağlı kuruluşları işe alıyor.
Buna karşılık, bağlı kuruluşlar fidye ödemesinin boyutuna göre değişen gelir payları kazanacaktır. Örneğin, 1,5 milyon DOLARA kadar fidye ödemeleri için, bağlı kuruluş % 80, 3 milyon DOLARA kadar% 85 ve 3 milyon ABD doları üzerindeki ödemelerin% 90’ını kazanır.
Bir bağlı kuruluşun bu RaaS programlarından kazanabileceği paranın türünü göstermek için, CNA’nın 40 milyon dolar fidye ödediği bildirildi Rus hack grubu Evil Corp. ALPHV’nin gelir payına göre, bu, bağlı kuruluşa ödenen 36 milyon dolara eşit olacaktır.
ALPHV BlackCat fidye yazılımının özelliklerini keşfetme
ALPHV BlackCat fidye yazılımı, diğer fidye yazılımı operasyonlarından sıyrılmasına izin veren çok sayıda gelişmiş özellik içerir. Bu bölümde, fidye yazılımına ve nasıl çalıştığına bir göz atacağız ve BleepingComputer ile paylaşılan bir örnekten test şifrelemesi göstereceğiz.
Fidye yazılımı tamamen komut satırı odaklı, insan tarafından işletilen ve son derece yapılandırılabilir, farklı şifreleme rutinleri kullanma, bilgisayarlar arasında yayılma, sanal makineleri ve ESXi VM’leri öldürme ve kurtarmayı önlemek için ESXi anlık görüntülerini otomatik olarak silme yeteneğine sahiptir.
Bu yapılandırılabilir seçenekler, --help
komut satırı bağımsız değişkeni, aşağıda gösterilmiştir.
Her ALPHV fidye yazılımı yürütülebilir bir JSON yapılandırması uzantıların, fidye notlarının, verilerin nasıl şifreleneceğinin, hariç tutulan klasörlerin / dosyaların / uzantıların ve hizmetlerin ve işlemlerin otomatik olarak sonlandırılmasına izin verir.
Tehdit aktörüne göre, fidye yazılımı karanlık bir web hack forumundaki “işe alım” gönderilerinde açıklandığı gibi dört farklı şifreleme modu kullanacak şekilde yapılandırılabilir.
Yazılım, herhangi bir şablon veya diğer fidye yazılımlarının daha önce sızdırılan kaynak kodları kullanmadan sıfırdan yazılmıştır. Seçim sunulmaktadır:
4 şifreleme modu:
-Tam – tam dosya şifreleme. En güvenli ve en yavaşı.
-Hızlı – ilk N megabayt şifrelemesi. Kullanım için önerilmez, mümkün olan en güvenli olmayan çözüm, ancak en hızlısı.
-DotPattern – M adımı ile N megabayt şifrelemesi. Yanlış yapılandırılırsa, Fast hem hız hem de şifreleme gücünde daha kötü çalışabilir.
-Otomatik. Dosyanın türüne ve boyutuna bağlı olarak, dolap (hem pencerelerde hem de * nix / esxi’de) dosyaları işlemek için en uygun (hız / güvenlik açısından) stratejiyi seçer.
-SmartPattern – yüzde adımlarında N megabayt şifrelemesi. Varsayılan olarak, üstbilgiden başlayarak dosyanın her %10’unun 10 megabaytını şifreler. Hız / kriptografik mukavemet oranında en uygun mod.
2 şifreleme algoritması:
-ChaCha20
-AES
Otomatik modda, yazılım AES donanım desteğinin varlığını algılar (tüm modern işlemcilerde bulunur) ve kullanır. AES desteği yoksa, yazılım ChaCha20 dosyalarını şifreler.
ALPHV BlackCat, fidye yazılımını yaymak ve ağdaki diğer cihazları şifrelemek için kullanılabilecek alan adı kimlik bilgileriyle de yapılandırılabilir. Yürütülebilir dosya daha sonra PSExec’i %Temp% klasörüne ayıklayacak ve fidye yazılımını ağdaki diğer cihazlara kopyalamak ve uzak Windows makinesini şifrelemek için yürütmek için kullanacaktır.
Fidye yazılımını başlatırken, bağlı kuruluş saldırının ilerlemesini izlemelerini sağlayan konsol tabanlı bir kullanıcı arayüzü kullanabilir. Aşağıdaki resimde, BleepingComputer .bleepin uzantısını ekleyecek şekilde değiştirilmiş bir yürütülebilir dosya kullanarak bir test aygıtını şifrelerken görüntülenen bu arabirimi görebilirsiniz.
BleepingComputer tarafından test edilen örnekte, fidye yazılımı dosyaların şifrelenmesini önleyebilecek işlemleri ve Windows hizmetlerini sonlandıracaktır. Bu sonlandırılan işlemler arasında Veeam, yedekleme yazılımı, veritabanı sunucuları, Microsoft Exchange, Office uygulamaları, posta istemcileri ve steam işlemi oyuncuları dışarıda bırakmamak yer alıyor.
Bu “kurulum” işlemi sırasında gerçekleştirilen diğer eylemler arasında Geri Dönüşüm Kutusu’nun temizlenmesi, Gölge Birim Kopyalarının silinmeleri, diğer ağ aygıtlarının taranması ve varsa bir Microsoft kümesine bağlanma yer alır.
ALPHV BlackCat ayrıca Windows Yeniden Başlatma Yöneticisi İşlemleri kapatmak veya şifreleme sırasında bir dosyayı açık tutan Windows hizmetlerini kapatmak için API.
Genellikle, bir cihazı şifrelerken, fidye yazılımı tüm dosyalara eklenen ve fidye notunda bulunan rastgele bir isim uzantısı kullanır. Fidye notları ‘ biçiminde adlandırılmıştır.KURTARMA-[extension]-DOSYALAR.txt’, yukarıdaki örneğimizde RECOVER-bleepin-FILES.txt.
Fidye notları, saldırıyı gerçekleştiren bağlı kuruluş tarafından önceden yapılandırılır ve her kurban için farklıdır. Bazı fidye notları, çalınan veri türlerini ve kurbanların çalınan verileri önizleyebilecekleri bir Tor veri sızıntısı sitesine bağlantı içerir.
Her kurbanın ayrıca benzersiz bir Tor sitesi ve bazen benzersiz bir veri sızıntısı sitesi vardır ve bu da bağlı kuruluşun kendi görüşmelerini yürütmesine izin verir.
Son olarak, BlackCat birden fazla işletim sistemi desteği ile platformlar arası olduğunu iddia ediyor.
Platformlar arası yazılım, yani Windows disklerini Linux’a monte ederseniz veya tam tersi, şifre çözücü dosyaların şifresini çözebilir. – ALPHV operatörü.
Tehdit aktörlerinin fidye yazılımlarını test ettikleri iddia edilen işletim sistemleri aşağıda yer almaktadır:
- 7 ve üzeri tüm Windows hattı (7, 8.1, 10, 11; 2008r2, 2012, 2016, 2019, 2022’de test edildi); XP ve 2003, SMB üzerinden şifrelenebilir.
- ESXI (5.5, 6.5, 7.0.2u’da test edildi)
- Debian (7, 8, 9’da test edilmiştir);
- Ubuntu (18.04, 20.04 tarihinde test edildi)
- ReadyNAS, Synology
Fidye yazılımı uzmanı ve Kimliği Ransomware yaratıcısı Michael Gillespie, fidye yazılımı tarafından kullanılan şifreleme rutinini analiz etti ve ne yazık ki, ücretsiz şifre çözmeye izin verebilecek herhangi bir zayıflık bulamadı.
Bunun başka bir örneğini çok uzun zaman önce analiz etti, ancak müşteri gizliliği nedeniyle bu konuda konuşamadı… AES128-CTR ve RSA-2048 kullanır, güvenlidir. Dosya işaretleyici 19 47 B7 4D EOF’ta ve şifreli anahtardan önce, bazı ayarlarla JSON’ dur. Çok sofistike fidye yazılımı.
— Michael Gillespie (@demonslay335) 9 Aralık 2021, Aralık 2021, Bu
Erişim belirteci özelliği görüşmeleri gizli hale getirir
Hem kurbanları hem de fidye yazılımı operasyonlarını etkileyen uzun süredir devam eden bir sorun, örneklerin genellikle kötü amaçlı yazılım analiz siteleri aracılığıyla sızdırılması ve bir fidye yazılımı çetesi ile kurbanları arasındaki müzakere sohbetine tam erişim sağlamasıdır.
Bazı durumlarda, bu, ilgisiz tarafların sohbette yorum yapmasına ve müzakereleri sekteye uğratmasına yol açtı.
Bunun olmasını önlemek için, ALPHV BlackCat fidye yazılımı geliştiricileri bir --access-token=[access_token]
şifreyi başlatırken kullanılması gereken komut satırı bağımsız değişkeni.
Bu erişim belirteci, fidye yazılımı çetesinin Tor ödeme sitesinde bir müzakere sohbetine girmek için gereken erişim anahtarını oluşturmak için kullanılır. Bu belirteç kötü amaçlı yazılım örneğine dahil olmadığı için, bir kötü amaçlı yazılım analiz sitesine yüklense bile, araştırmacılar gerçek saldırıdan fidye notu olmadan bir müzakere sitesine erişmek için kullanmayacaktır.
Fidyeler 400 bin ila milyonlarca dolar arasında değişiyor
BleepingComputer, ABD, Avustralya ve Hindistan da dahil olmak üzere çok sayıda ülkeden Kasım ayından bu yana bu fidye yazılımı tarafından hedeflenen birden fazla kurbanın farkındadır.
Fidye talepleri Bitcoin veya Monero’da ödenecek 400.000 ila 3 milyon dolar arasında değişmektedir. Bununla birlikte, kurbanlar bitcoin ile ödeme yaparsa fidyeye ek% 15’lik bir ücret eklenir.
Ancak, Monero bir gizlilik parası olarak kabul edildiği ve ABD hükümeti tarafından kaşlarını çattığı için, kurbanlar için kolayca erişilebilir değildir.
Diğer fidye yazılımı operasyonlarının aksine müzakere firmaları işe alınırsa verileri silmek veya yayınlamakla tehdit etmek, ALPHV, özel görüşmeler yapmak için bir “Aracı” giriş sayfası ile fidye yazılımı müzakerecilerine hizmet vermektedir.
Diğer yeni fidye yazılımı çeteleri gibi ALPHV de cihazları şifrelemeden önce verileri çaldıkları ve fidye ödenmezse verileri yayınlamakla tehdit ettikleri üçlü bir gasp taktiği kullanır. BleepingComputer, verilerin ekran görüntülerinin yayınlandığı bu işlem için birden fazla veri sızıntısı sitesi gördü.
Ek bir gasp yöntemi olarak, tehdit aktörleri fidye ödeyene kadar DDoS kurbanlarını tehdit eder.
Genel olarak, bu, saldırıların tüm yönlerini açıkça göz önünde bulundurarak tehdit aktörleri ile son derece sofistike bir fidye yazılımıdır.
ile BlackMatter ve REvil fidye yazılımı operasyonları kolluk kuvvetlerinin baskısıyla kapatılıyor, başka bir tehdit aktörün dolmasını bekleyen büyük bir boşluk bıraktı.
ALPHV BlackCat’in doldurma şansı yüksek olan kişi olması çok muhtemeldir.