Getty Resimleri
Geçen yıl boyunca, en az dokuz aileden gelen, yıkıcı bir silici kötü amaçlı yazılım sağanağı ortaya çıktı. Geçen hafta araştırmacılar, her ikisi de maksimum hasar vermek için tasarlanmış gelişmiş kod tabanları sergileyen en az iki tane daha katalogladı.
Pazartesi günü, Check Point Research’ten araştırmacılar, şirketin “etkili, hızlı ve maalesef kurtarılamaz bir veri sileceği” olarak tanımladığı, daha önce görülmemiş bir kötü amaçlı yazılım parçası olan Azov’un ayrıntılarını yayınladı. Dosyalar 666 baytlık bloklar halinde üzerlerine rasgele veriler yazılarak silinir, aynı boyutta bir blok bozulmadan bırakılır ve bu böyle devam eder. Kötü amaçlı yazılım, başlatılmamış yerel değişkeni kullanır char buffer[666].
Komut dosyası çocuklarının başvurması gerekmez
Etkilenen makinelerdeki verileri kalıcı olarak yok ettikten sonra Azov, fidye yazılımı duyurusu tarzında yazılmış bir not görüntüler. Not, Kremlin’in nükleer saldırı tehdidi de dahil olmak üzere Rusya’nın Ukrayna’ya karşı savaşına ilişkin konuşmalarını yansıtıyor. Check Point’in kurtardığı iki örnekten birinin notu, yanlış bir şekilde, kelimeleri Polonya’dan tanınmış bir kötü amaçlı yazılım analistine atfediyor.
Küçük geliştiriciler tarafından bir girişimin ilk görünümüne rağmen, Azov hiçbir şekilde basit değildir. Orijinal tanımıyla bir bilgisayar virüsüdür, yani dosyaları değiştirir (bu durumda, arka kapı 64-bit yürütülebilir dosyalarına polimorfik kod ekleyerek), virüslü sisteme saldırır. Ayrıca, kullanımı son derece zahmetli olan ancak aynı zamanda kötü amaçlı yazılımın arka kapı açma sürecinde daha etkili olmasını sağlayan düşük seviyeli bir dil olan, tamamen montajda yazılmıştır. Azov, polimorfik kodun yanı sıra araştırmacıların tespit ve analizini zorlaştırmak için başka teknikler de kullanıyor.
“Azak örneği ilk karşılaşıldığında (muhtemelen garip bir şekilde oluşturulmuş fidye notu nedeniyle) küçük yazılım olarak kabul edilse de, daha fazla araştırıldığında çok gelişmiş teknikler bulunur – manuel olarak hazırlanmış birleştirme, yürütülebilir dosyaların arka kapılarını açmak için yükleri enjekte etme ve birkaç anti-analiz. hileler genellikle güvenlik ders kitapları veya yüksek profilli marka siber suç araçları için ayrılmıştır, ”diye yazdı Check Point araştırmacısı Jiri Vinopal. “Azov fidye yazılımı kesinlikle tipik tersine mühendise ortalama kötü amaçlı yazılımdan daha fazla zorluk çıkarmalıdır.”
Kodda yerleşik bir mantık bombası, Azove’nin önceden belirlenmiş bir zamanda patlamasına neden olur. Bir kez tetiklendiğinde, mantık bombası tüm dosya dizinlerini yineler ve belirli kodlanmış sistem yolları ve dosya uzantıları dışında her birinde silme yordamını yürütür. Geçen ay itibariyle, VirusTotal’a 17.000’den fazla arka kapılı yürütülebilir dosya gönderildi, bu da kötü amaçlı yazılımın geniş çapta yayıldığını gösteriyor.
Geçen Çarşamba, güvenlik firması ESET’ten araştırmacılar, Fantasy adını verdikleri daha önce görülmemiş başka bir silecek ve Sandalet adlı bir yanal hareket ve uygulama aracını ortaya çıkardılar. Kötü amaçlı yazılım, elmas endüstrisinde kullanılmak üzere yazılım geliştiren bir İsrail firmasının altyapısını kötüye kullanan bir tedarik zinciri saldırısı kullanılarak yayıldı. 150 dakikalık bir süre içinde Fantasy and Sandalet, yazılım üreticisinin insan kaynakları, BT destek hizmetleri ve elmas toptancılığı ile uğraşan müşterilerine yayıldı. Hedefler Güney Afrika, İsrail ve Hong Kong’da bulunuyordu.
Fantasy, kendisini bir silici olarak göstermeden önce başlangıçta fidye yazılımı kılığına giren kötü amaçlı yazılım olan Apostle’dan yoğun bir şekilde kod alır. Apostle, Orta Doğu’da faaliyet gösteren İranlı bir tehdit aktörü olan Agrius ile bağlantılı. Kodun yeniden kullanımı, ESET’in Fantasy ve Sandalet’i aynı gruba atfetmesine yol açtı.
