ALPHV BlackCat Fidye Yazılımı

blackcat

Fidye yazılımı olarak da bilinen ALPHV BlackCat operasyonu, geçen ay piyasaya sürüldü ve çok çeşitli kurumsal ortamlara saldırılara izin veren son derece özelleştirilebilir bir özellik seti ile yılın en karmaşık fidye yazılımı olabilir.

Yürütülebilir fidye yazılımı, kötü amaçlı yazılım geliştiricileri için tipik olmayan ancak yüksek performansı ve bellek güvenliği nedeniyle popülaritesi yavaş yavaş artan Rust’ta yazılmıştır.

MalwareHunterTeam yeni fidye yazılımını buldu ve yeni operasyon için ilk ID Fidye Yazılımı gönderiminin 21 Kasım’da olduğunu söyledi.

blackcat

Fidye yazılımı geliştiriciler tarafından ALPHV olarak adlandırılıyor ve Rusça konuşulan bilgisayar korsanlığı forumlarında tanıtılıyor.

blackcat
ALPHV RaaS, Rusça konuşan bilgisayar korsanlığı forumunda tanıtıldı

MalwareHunterTeam, her kurbanın Tor ödeme sitesinde kullanılan aynı siyah kedi favicon’u nedeniyle fidye yazılımına BlackCat adını verirken, veri sızıntısı sitesi aşağıda gösterilen kanlı bir hançer kullanıyor.

blackcat
Tor ödeme ve veri sızıntısı sitelerinde kullanılan favori simgeler

Tüm hizmet olarak fidye yazılımı (RaaS) operasyonları gibi, ALPHV BlackCat operatörleri de kurumsal ihlalleri gerçekleştirmek ve cihazları şifrelemek için bağlı kuruluşları işe alır.

Buna karşılık, bağlı kuruluşlar, bir fidye ödemesinin boyutuna göre değişen gelir payları kazanacaktır. Örneğin, 1,5 milyon dolara kadar fidye ödemeleri için, bağlı kuruluş %80, 3 milyon dolara kadar %85 ve 3 milyon doların üzerindeki ödemelerin %90’ını kazanır.

Bir iştirakin bu RaaS programlarından ne kadar para kazanabileceğini göstermek için, CNA’nın Rus bilgisayar korsanlığı grubu Evil Corp’a 40 milyon dolarlık bir fidye ödediği bildirildi. ALPHV’nin gelir payına göre bu, iştirake ödenen 36 milyon dolara eşit olacaktır.

ALPHV BlackCat fidye yazılımının özelliklerini keşfetme

ALPHV BlackCat fidye yazılımı, diğer fidye yazılımı operasyonlarından sıyrılmasını sağlayan çok sayıda gelişmiş özellik içerir. Bu bölümde, fidye yazılımına ve nasıl çalıştığına bir göz atacağız ve bir örnekten bir test şifrelemesi göstereceğiz.

Fidye yazılımı, farklı şifreleme rutinleri kullanma, bilgisayarlar arasında yayılma, sanal makineleri ve ESXi VM’leri öldürme ve kurtarmayı önlemek için ESXi anlık görüntülerini otomatik olarak silme özelliğine sahip, tamamen komut satırıyla insan tarafından çalıştırılır ve yüksek düzeyde yapılandırılabilir.

Bu yapılandırılabilir seçenekler, aşağıda gösterilen –help komut satırı bağımsız değişkeni kullanılarak bulunabilir.

ALPHV BlackCat Fidye Yazılımı
ALPHV BlackCat fidye yazılımı komut satırı bağımsız değişkenleri

Yürütülebilir her ALPHV fidye yazılımı, uzantıların, fidye notlarının, verilerin nasıl şifreleneceğinin, hariç tutulan klasörlerin/dosyaların/uzantıların ve hizmetlerin ve işlemlerin otomatik olarak sonlandırılmasına izin veren bir JSON yapılandırması içerir.

Tehdit aktörüne göre, fidye yazılımı, bir dark web hack forumunda “işe alım” gönderilerinde açıklandığı gibi dört farklı şifreleme modunu kullanacak şekilde yapılandırılabilir.

Yazılım, herhangi bir şablon veya başka fidye yazılımlarının önceden sızdırılmış kaynak kodları kullanılmadan sıfırdan yazılmıştır. Seçim sunulur:
4 şifreleme modu:
-Tam - tam dosya şifreleme. En güvenli ve en yavaş.
-Hızlı - ilk N megabaytın şifrelenmesi. Kullanılması önerilmez, mümkün olan en güvensiz çözümdür, ancak en hızlısıdır.
-DotPattern - M adımı boyunca N megabaytın şifrelenmesi. Yanlış yapılandırılırsa Hızlı, hem hız hem de şifreleme gücü açısından daha kötü çalışabilir.
-Oto. Dosyanın türüne ve boyutuna bağlı olarak, dolap (hem pencerelerde hem de * nix / esxi'de) dosyaları işlemek için en uygun (hız / güvenlik açısından) stratejiyi seçer.

-SmartPattern - N megabaytın yüzdelik adımlarla şifrelenmesi. Varsayılan olarak, başlıktan başlayarak dosyanın her %10'unda bir 10 megabayt şifreler. Hız / kriptografik güç oranında en uygun mod.
2 şifreleme algoritması:
-ChaCha20
-AES
Otomatik modda, yazılım AES donanım desteğinin varlığını algılar (tüm modern işlemcilerde bulunur) ve bunu kullanır. AES desteği yoksa, yazılım ChaCha20 dosyalarını şifreler.

ALPHV BlackCat, fidye yazılımını yaymak ve ağdaki diğer cihazları şifrelemek için kullanılabilecek etki alanı kimlik bilgileriyle de yapılandırılabilir. Yürütülebilir dosya daha sonra PSExec’i %Temp% klasörüne çıkarır ve fidye yazılımını ağdaki diğer cihazlara kopyalamak için kullanır ve uzak Windows makinesini şifrelemek için onu yürütür.

Bağlı kuruluş, fidye yazılımını başlatırken, saldırının ilerlemesini izlemelerine olanak tanıyan konsol tabanlı bir kullanıcı arabirimi kullanabilir. Aşağıdaki resimde, .bleepin uzantısını eklemek için değiştirilmiş bir yürütülebilir dosya kullanarak bir test cihazını şifrelerken bu arayüzün görüntülendiğini görebilirsiniz.

Test bilgisayarını şifreleme

Test edilen örnekte, fidye yazılımı, dosyaların şifrelenmesini engelleyebilecek işlemleri ve Windows hizmetlerini sonlandıracaktır. Bu sonlandırılan süreçler arasında Veeam, yedekleme yazılımları, veritabanı sunucuları, Microsoft Exchange, Office uygulamaları, posta istemcileri ve oyuncuları dışarıda bırakmayan Steam süreci yer alıyor.

Bu “kurulum” işlemi sırasında gerçekleştirilen diğer eylemler arasında Geri Dönüşüm Kutusu’nun temizlenmesi, Gölge Birim Kopyalarının silinmesi, diğer ağ aygıtlarının taranması ve varsa bir Microsoft kümesine bağlanma yer alır.

ALPHV BlackCat, şifreleme sırasında bir dosyayı açık tutarak işlemleri kapatmak veya Windows hizmetlerini kapatmak için Windows Yeniden Başlatma Yöneticisi API’sini de kullanır.

Genellikle, bir cihazı şifrelerken, fidye yazılımı, tüm dosyalara eklenen ve fidye notuna dahil edilen rastgele bir ad uzantısı kullanır. Fidye notları, yukarıdaki örneğimizde RECOVER-bleepin-FILES.txt olan ‘RECOVER-[extension]-FILES.txt’ biçiminde adlandırılır.

ALPHA BlackCat fidye notu

Fidye notları, saldırıyı gerçekleştiren bağlı kuruluş tarafından önceden yapılandırılmıştır ve her kurban için farklıdır. Bazı fidye notları, çalınan veri türlerini ve kurbanların çalınan verileri önizleyebileceği bir Tor veri sızıntısı sitesine bağlantı içerir.

Her kurbanın ayrıca benzersiz bir Tor sitesi ve bazen de bağlı kuruluşun kendi müzakerelerini yürütmesine izin veren benzersiz bir veri sızıntısı sitesi vardır.

Son olarak, BlackCat, çoklu işletim sistemlerini destekleyen çapraz platform olduğunu iddia ediyor.

Tehdit aktörlerinin fidye yazılımlarını test ettiği iddia edilen işletim sistemleri aşağıda yer almaktadır:

  • 7 ve üzeri tüm Windows serileri (7, 8.1, 10, 11; 2008r2, 2012, 2016, 2019, 2022’de test edilmiştir); XP ve 2003, SMB üzerinden şifrelenebilir.
  • ESXI (5.5, 6.5, 7.0.2u üzerinde test edilmiştir)
  • Debian (7, 8, 9’da test edilmiştir)
  • Ubuntu (18.04, 20.04’te test edilmiştir)
  • ReadyNAS ve Synology

Fidye yazılımı uzmanı ve kimliği Fidye yazılımı yaratıcısı Michael Gillespie, fidye yazılımı tarafından kullanılan şifreleme rutinini analiz etti ve ne yazık ki, ücretsiz şifre çözmeye izin verebilecek herhangi bir zayıflık bulamadı.

Erişim belirteci özelliği, müzakereleri gizli hale getirir

Hem kurbanları hem de fidye yazılımı operasyonlarını etkileyen uzun süredir devam eden bir sorun, örneklerin kötü amaçlı yazılım analiz siteleri aracılığıyla yaygın olarak sızdırılması ve bir fidye yazılımı çetesi ile kurbanları arasındaki müzakere sohbetine tam erişime izin vermesidir.

Bazı durumlarda bu, alakasız tarafların sohbette yorum yapmasına ve müzakereleri kesintiye uğratmasına neden oldu.

Bunun olmasını önlemek için ALPHV BlackCat fidye yazılımı geliştiricileri, şifreleyici başlatılırken kullanılması gereken bir –access-token=[access_token] komut satırı argümanı sundu.

Bu erişim belirteci, fidye yazılımı çetesinin Tor ödeme sitesinde bir pazarlık sohbetine girmek için gereken erişim anahtarını oluşturmak için kullanılır. Bu belirteç kötü amaçlı yazılım örneğine dahil edilmediğinden, bir kötü amaçlı yazılım analiz sitesine yüklense bile, araştırmacılar onu gerçek saldırının fidye notu olmadan bir müzakere sitesine erişmek için kullanmayacaktır.

Fidyeler 400 bin dolardan milyonlarca dolara kadar değişiyor

Kasım ayından bu yana ABD, Avustralya ve Hindistan dahil olmak üzere çok sayıda ülkeden bu fidye yazılımı tarafından hedef alınan birden fazla kurbanın farkında.

Fidye talepleri, Bitcoin veya Monero olarak ödenecek 400.000 ila 3 milyon dolar arasında değişiyor. Ancak kurbanlar bitcoin ile ödeme yaparsa, fidyeye %15 ek ücret eklenir.

ALPHV Tor Ödeme Sitesi

Bununla birlikte, Monero bir gizlilik madeni parası olarak kabul edildiğinden ve ABD hükümeti tarafından hoş karşılanmadığından, kurbanlar için o kadar kolay erişilebilir değildir.

Müzakere firmaları işe alınırsa verileri silmek veya yayınlamakla tehdit eden diğer fidye yazılımı operasyonlarının aksine, ALPHV, özel müzakereleri yürütmek için bir “Aracı” giriş sayfası ile fidye yazılımı müzakerecilerine hizmet vermektedir.

Fidye yazılımı anlaşması giriş sayfası

Diğer yeni fidye yazılımı çeteleri gibi, ALPHV da cihazları şifrelemeden önce verileri çaldıkları ve bir fidye ödenmezse verileri yayınlamakla tehdit ettikleri üçlü bir gasp taktiği kullanıyor. Verilerin ekran görüntülerinin yayınlandığı bu işlem için birden fazla veri sızıntısı sitesi görülmüştür.

Ek bir gasp yöntemi olarak, tehdit aktörleri bir fidye ödeyene kadar DDoS kurbanlarını tehdit ediyor.

Genel olarak, bu, tehdit aktörlerinin saldırıların tüm yönlerini açıkça dikkate aldığı oldukça karmaşık bir fidye yazılımıdır.

BlackMatter ve REvil fidye yazılımı operasyonlarının kolluk kuvvetlerinin baskısı altında kapanmasıyla, başka bir tehdit aktörünün doldurmasını bekleyen büyük bir boşluk bıraktı.

ALPHV BlackCat’in doldurma şansı çok yüksek.

Eğer sizde şüpheli bir durumla karşılaşırsanız ve bu durumu bildirmek isterseniz sizleri bu makalemize göz atmaya davet ediyoruz: https://www.ozztech.net/siber-guvenlik/siber-tehdit-istihbarati-nedir/

İlginizi Çekebilecek Makaleler​

LLM (Large Language Models) Nedir?

Günümüzde yapay zeka ve makine öğrenmesi, teknolojinin birçok alanında devrim niteliğinde ilerlemeler kaydetmiştir. Bu ilerlemelerin merkezinde yer alan büyük dil modelleri (LLM – Large Language

Devamı »
Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »