Bir Çaylak Fidye Yazılımı Babuk’un Özelliklerini Yansıtıyor
Şirket ağlarını hedef alan ve cihazları şifreleyen Rook adlı yeni bir fidye yazılımı keşfedildi. Uzmanlar, Rook ve Babuk fidye yazılımı kodlarında çakışmalar fark ettiler.
Ne oldu?
Kasım ayında, Rook fidye yazılımı VirusTotal'da tespit edildi ve arkasındaki operatörlerin kendilerini tanıtma biçimlerine dikkat çekti.
- Rook fidye yazılımı yükleri, kimlik avı e-postaları ve sahte torrent indirmeleri yoluyla yayılıyor.
- CobaltStrike dahil olmak üzere üçüncü taraf araçlarından yararlanır ve yükler, algılanmayı önlemek için UPX veya diğer şifreleyiciler kullanılarak paketlenir.
- Şu anda, veri sızıntısı sitesinde iki kurban, bir banka ve bir Hintli havacılık ve uzay uzmanı görülüyor.
Nasıl çalışır?
- Fidye yazılımı her çalıştırıldığında, Process Hacker'ın kph[.]sys sürücüsünü veya diğer araçları kullanarak şifreleme işlemini engelleyebilecek işlemleri sonlandırmaya çalışır.
- Bilgisayar korsanları, belirli olaylarda belirli yerel güvenlik çözümlerini devre dışı bırakmak için kph[.]sys sürücüsünü kullanır. Dosyaları şifreler, '.Rook' uzantısını ekler ve kendini siler.
- Fidye yazılımı, gölge birimlerin şifrelenmiş dosyaları geri yüklemek için kullanılmasını durdurmak için fidye yazılımı grupları tarafından kullanılan temel bir taktik olan birim gölge kopyalarını silmek için vssadmin[.]exe'yi kullanır.
Babuk ile bağlantı
SentinelLabs'tan araştırmacılar, Haziran ayında Rusça konuşulan bir forumda tam kaynak kodunun sızdırıldığı RaaS olan Babuk fidye yazılımı ile çok sayıda kod benzerliği keşfettiler.
- Rook, çalışan hizmetlerin adını/durumunu ve bunları sonlandıracak işlevleri elde etmek için benzer API çağrılarını kullanır.
- Ayrıca, her iki fidye yazılımı da durdurulan aynı işlemler ve Windows hizmetleri listesine sahiptir.
- Diğer benzerlikler arasında, şifreleyicinin gölge birimleri silme biçimi, yerel sürücülerin numaralandırılması ve Windows Yeniden Başlatma Yöneticisi API'sinin kullanımı yer alır.
- Bu nedenle araştırmacılar, Rook'un Babuk'a dayandığından şüpheleniyorlar.
Çözüm
Uzmanların popüler görüşüne göre Rook, Babuk fidye yazılımının sızdırılmış kaynak koduna dayanıyor. Gelecekte ciddi bir tehdit olma belirtileri gösteriyor. Bu nedenle kuruluşlar güvenilir siber savunma ve yedeklerle her zaman hazır olmalıdır.
Kaynak: https://cyware.com/news/a-rookie-ransomware-reflects-the-characteristics-of-babuk-16715c68
E-posta listesine katılın
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.