Araştırmacılar, 2019 yılına dayanan ve bireyleri ve küçük işletmeleri hedef alan, tipik fidye yazılımı aktörlerinin istediği genellikle milyon dolarlık meblağlar yerine her müşteriden küçük fidyeler talep eden yeni bir fidye yazılımı türü tespit etti.
Güvenlik ve operasyon analitiği firması Netenrich’ten araştırmacıların bu hafta yayınladıkları bir blog yazısında ortaya koydukları üzere TZW, ilk olarak Ocak 2020’de ortaya çıkan ancak bir önceki yıl da aktif olan Adhubllka fidye yazılımı ailesinin en son türü.
Türün keşfinden daha da önemlisi, araştırmacıların onu doğru bir şekilde tanımlamak için üstlendikleri süreçtir. Netenrich’te kıdemli tehdit analisti olan Rakesh Krishnan, yıllar boyunca Adhubllka örneklerinin çoğunun yanlış sınıflandırıldığını ve/veya başka bir fidye yazılımı ailesine dahil edildiğini söylüyor.
“Bu durum, bir olay raporu hazırlarken tehdit avcılarının/güvenlik araştırmacılarının kafasını karıştırabilir” diyor. Gerçekten de araştırmacılar, birden fazla motorun daha önce TZW’yi tespit ettiğini ancak örnekte CryptoLocker gibi diğer kötü amaçlı yazılımların izlerini bulduğunu bildiriyor.
Dahası, aynı parçaya ReadMe, MMM, MME, GlobeImposter2.0 gibi başka isimler de verilmişti ve bunların hepsi aslında Adhubllka fidye yazılımı ailesine aitti. Krishnan, tüm bu karışıklığın, fidye yazılımı türünün doğru atıfla tanımlanması için soyağacının daha fazla araştırılmasını gerektirdiğini söylüyor.
“Bu araştırma aynı zamanda [tehdit aktörlerinin] iletişim kanallarını ve diğer araçları kullanarak bir fidye yazılımı ailesinin kökenine kadar izlenmesine de ışık tutuyor,” diyor Krishnan ve analizde hayati bir rol oynayan iletişim e-postaları, fidye notları ve yürütme yöntemi de dahil olmak üzere.
Raf Adhubllka
Araştırmacılar, Adhubllka’nın ilk olarak Ocak 2020’de daha fazla dikkat çektiğini, ancak bir önceki yıl “oldukça aktif” olduğunu belirtti. TA547 adlı tehdit grubu, 2020 yılında Avustralya’nın çeşitli sektörlerini hedef alan kampanyalarında Adhubllka varyantlarını kullandı.
Araştırmacılar için TZW’yi Adhubllka’nın bir yan ürünü olarak tanımlamanın bu kadar zor olmasının önemli bir nedeni, grubun tipik olarak 800 ila 1.600 dolar gibi küçük fidye talepleri. Bu düşük seviyede, kurbanlar genellikle saldırganlara ödeme yapıyor ve saldırganlar radarın altında uçmaya devam ediyor.
Krishnan, “Bu fidye yazılımı da diğerleri gibi kimlik avı kampanyaları yoluyla dağıtılıyor, ancak benzersizliği sadece bireyleri ve küçük ölçekli şirketleri hedef almalarında yatıyor, bu nedenle medya kanalında büyük bir haber yapmayacaklar” diyor. “Ancak bu [Adhubllka’nın] önümüzdeki dönemde daha da büyümeyeceği anlamına gelmiyor, zira altyapılarında gerekli güncellemeleri zaten yapmışlardı.”
Aslında, araştırmacılar gelecekte bu fidye yazılımının başka isimlerle yeniden markalanabileceğini tahmin ediyor; başka gruplar da kendi fidye yazılımı kampanyalarını başlatmak için bunu kullanabilir.
Krishnan, “Ancak, tehdit aktörü iletişim tarzını değiştirmediği sürece, bu tür vakaların tümünü Adhubllka ailesine kadar izleyebileceğiz” diyor.
Tanımlama Anahtarları
Gerçekten de araştırmacıların son kampanyayı Adhubllka’ya bağlamak için kullandıkları anahtar, aktör tarafından kullanılan daha önce bağlantılı Tor alan adlarını izlemekti ve ekip, kaynağa kadar izini sürmek için kurbanlara bırakılan fidye notunun içindeki ipuçlarını ortaya çıkardı.
Notta, tehdit aktörü kurbanlardan fidye ödemesinin ardından şifre çözme anahtarlarını elde etmek için Tor tabanlı bir kurban portalı üzerinden iletişim kurmalarını istiyor. Notta, grubun iletişim kanalını v2 Tor Onion URL’lerinden v3 Tor URL’sine değiştirdiği, çünkü “Tor topluluğunun v2 Onion alan adlarını kullanımdan kaldırdığı” belirtiliyor.
Ayrıca, nottaki ek bir cümle – “şifre çözücünüzün bulunduğu sunucu kapalı bir Tor ağındadır” – yalnızca iki yeni Adhubllka varyantında görüldü: Araştırmacılara göre TZW ve U2K, bu da ilişkilendirmeyi daha da daralttı.
Adhubllka’nın en son varyantına işaret eden diğer ipuçları, kampanyanın fidye yazılımı grubuna ait olduğu yaygın olarak bildirilen pr0t3eam@protonmail.com e-posta adresini kullanması ve 2019’da tespit edilen Adhubllka’nın MD5 varyant örneğine olan bağlantısıydı.
Krishnan, araştırmanın genel olarak, fidye yazılımlarının tehdit avcılarını siber suçluların izinden uzaklaştırmak için nasıl dikkatlice hazırlandığını gösterdiğini ve bir uç nokta güvenlik çözümü kurarak saldırılara karşı savunmanın önemini güçlendirdiğini söylüyor.
“Bununla birlikte, bir fidye yazılımı yeni oluşturulduğunda/kodlandığında, yalnızca e-posta yoluyla gönderilen kötü amaçlı bağlantılara tıklamamak gibi temel güvenlik eğitimi ile engellenebilir” diyor.
Krishnan, kuruluşlar için en önemli korumanın fidye yazılımlarının ilk etapta bir ortama girmesini engellemekte yattığını belirtiyor ve ekliyor: “Bu da davranış anormalliklerini, ayrıcalık artışını ve şüpheli çıkarılabilir medyanın bir ortama girmesini aramak anlamına geliyor.”