2020’nin ortalarında öne çıkan bir hizmet olarak fidye yazılımı (RaaS) operasyonu olan SunCrypt’in, operatörleri yeni yetenekler kazandırmak için çalışmaya devam ettiği için zar zor da olsa hala aktif olduğu bildiriliyor.
SunCrypt, dosya şifreleme, çalınan verileri yayınlama tehdidi ve ödeme yapmayan kurbanlara yönelik DDoS (dağıtılmış hizmet reddi) saldırıları dahil olmak üzere üçlü gaspın ilk öncülerinden biriydi.
Buna rağmen ve etik fikirli hedefleme kısıtlamalarının olmaması Bağlı kuruluş programı içinde, SunCrypt, kapalı bir bağlı kuruluş çevresinin küçük bir özel RaaS’sinden daha fazla büyümeyi başaramadı.
tarafından hazırlanan bir rapora göre Minerva Laboratuvarlarıbu durgunluk, kötü amaçlı yazılım yazarlarının, analistlerin neyin değiştiğini belirlemek için analiz ettiği, türlerinin yeni ve daha iyi bir sürümü üzerinde çalışmasını engellemedi.
Yeni SunCrypt özellikleri
2022 SunCrypt varyantının yeni yetenekleri arasında işlem sonlandırma, hizmetleri durdurma ve fidye yazılımı yürütmek için makineyi temizleme yer alıyor.
Bu özellikler uzun süredir diğer fidye yazılımı türlerinde mevcuttur, ancak SunCrypt için bunlar çok yeni eklemelerdir. Minerva’nın yorumlarına göre, bu hala erken bir geliştirme aşamasında gibi görünüyor.
İşlem sonlandırması, WordPad (belgeler), SQLWriter (veritabanları) ve Outlook (e-postalar) gibi açık veri dosyalarının şifrelenmesini engelleyebilecek kaynak ağırlıklı işlemleri içerir.
Temizleme özelliği, tüm günlükleri silmek için iki API çağrısı kullanılarak şifreleme rutininin sonunda etkinleştirilir. Bir tane yeterli olsa da, yazar muhtemelen fazlalık için iki tane kullanmıştır. Tüm günlükler silindikten sonra, fidye yazılımı cmd.exe’yi kullanarak kendisini diskten siler.
önemli biri eski özellikler en yeni sürümde tutulan, süreç işleme yoluyla daha hızlı şifreleme için G/Ç tamamlama bağlantı noktalarının kullanılmasıdır.
Ayrıca SunCrypt, hem yerel birimleri hem de ağ paylaşımlarını şifrelemeye devam eder ve Windows dizini, boot.ini, dll dosyaları, geri dönüşüm kutusu ve şifrelenmişlerse bir bilgisayarı çalışamaz hale getiren diğer öğeler için izin verilenler listesini korumaya devam eder.
Etkinlik ve görünüm
Fidye yazılımı zorlama etkinliği hakkında iyi bir fikir sağlayan ID Ransomware’e yapılan gönderimlerden elde edilen istatistiklere göre, SunCrypt hala kurbanları şifreliyor ancak sınırlı etkinliğe sahip görünüyor.
Grup, yüksek değerli kuruluşları hedef alıyor ve fidye ödeme müzakerelerini gizli tutuyor, kolluk kuvvetlerinin dikkatini ve medyada yer almıyor olabilir.
Minerva, 100.000’den fazla çalışanı olan İsviçre’nin en büyük süpermarket zinciri olan SunCrypt’in son kurbanlarından biri olarak Migros’tan bahsediyor.
Özetle, SunCrypt şüphesiz henüz kırılmamış gerçek bir tehdittir, ancak RaaS’ın daha önemli bir şeye dönüşüp büyümeyeceği henüz görülmemektedir.