Fidye yazılımı grubu CryptNet, Nisan 2023'ten beri aktif. Dark web'de bir hizmet olarak fidye yazılımı olarak da sunulan kötü amaçlı yazılımları basit ama muhtemelen etkili ve tespitlere karşı iyi gizlenmiş. Zscaler ThreatLabz ekibinden bir analist.
Yeni grup, hizmet olarak fidye yazılımlarını yeraltı forumlarında satıyor ve oradaki suç faaliyetleri için ortaklar alıyor. Analistler şimdi, tehdit aktörlerine göre, fidye taleplerini bir veri sızıntısı web sitesinde yayınlayarak fidye taleplerini güçlendirmek için şifre çözmeden önce etkilenen şirketlerden veri çalan mevcut kampanyanın çalışma şeklini incelediler.
Gizleme içeren fidye yazılımı
CryptNet fidye yazılımı kodu .NET'te yazılmıştır ve .NET Reactor ile karıştırılmıştır. Kötü amaçlı yazılım, dosyaları şifrelemek için CBC modunda 256 bit AES ve 2048 bit RSA kullanır. Gizleme katmanını kaldırdıktan sonra CryptNet, Chaos fidye yazılımı aileleri ve onların Yashma adlı en son varyantı ile pek çok benzerliği paylaşıyor. Koddaki benzerlikler arasında şifreleme yöntemleri, yedekleme hizmetlerinin devre dışı bırakılması ve gölge kopya silme sayılabilir. CryptNet, Yashma'nın kodunu temel alıyor gibi görünüyor, ancak dosya şifreleme performansını iyileştirdi.
Fidye yazılımının ilk eylemlerinden biri, fidye yazılımı mesajına eklenen bir kimlik oluşturmaktır. İki sabit kodlu karakterden ve bunu takip eden 28 sahte rasgele sayıdan ve sonunda sabit kodlanmış karakterlerden oluşur. Bu şekilde, her şifreli sisteme benzersiz bir şifre çözme kimliği verilir ve saldırganlar, kredi açıp kapatarak kurbanı tanımlayabilir. Bu kimliği oluşturduktan sonra, gerçek şifreleme rutini başlar. Şifreleme işlemi sırasında CryptNet, RESTORE-FILES-[9 rasgele karakter].txt adlı bir fidye notu oluşturur.
Hizmet olarak basit ama etkili fidye yazılımı
CryptNet, popüler Chaos ve Yashma kod tabanını alan ve dosya şifreleme verimliliğini artıran basit ama etkili bir fidye yazılımıdır. Kod özellikle gelişmiş değildir, ancak algoritmalar ve uygulama kriptografik olarak güvenlidir. Grup, gelişmiş tehdit aktörlerinin eğilimini izleyerek ikili şantaj saldırıları yürüttüğünü iddia ediyor. Zscaler'ın çok katmanlı bulut güvenlik platformu, CryptNet'in göstergelerini Win32.Ransom.CryptNet adı altında farklı seviyelerde algılar.
Daha fazlası Zscaler.com'da
Zscaler Hakkında Zscaler, müşterilerin daha çevik, verimli, esnek ve güvenli olabilmesi için dijital dönüşümü hızlandırır. Zscaler Zero Trust Exchange, insanları, cihazları ve uygulamaları her yerde güvenli bir şekilde bağlayarak binlerce müşteriyi siber saldırılardan ve veri kaybından korur. SSE tabanlı Zero Trust Exchange, dünya çapında 150'den fazla veri merkezine dağıtılan dünyanın en büyük hat içi bulut güvenlik platformudur.