Yüksek Hedefli Bir Saldırının Parçası Olarak Kullanılan DarkAngels Adlı Fidye Yazılımı

Cyble Research Labs tarafından DarkAngels olarak adlandırılan bir fidye yazılımı kötü amaçlı yazılımı tespit edildi. Kötü amaçlı yazılımın analitik analizi sırasında ortaya çıkarılan DarkAngels kötü amaçlı yazılımı ile Babuk fidye yazılımı arasında benzerlikler vardır.

Fidye notu ve TA'ların web sitesinin her ikisi de belirli kuruluşların adını almıştır, bu da muhtemelen yüksek hedefli bir saldırı bağlamında yaratıldıkları anlamına gelir.

Teknik Analiz

Statik analizi kullanan uzmanlar, kötü amaçlı dosyanın 32 bit GUI tabanlı bir ikili dosya olduğunu keşfettiler ve bunun nedeni 32 bit Grafik Kullanıcı Arabirimi (GUI) tabanlı doğasıdır.

Kötü amaçlı yazılım, SetProcessShutdownParameters() API'sini çağırarak önce işlemin önceliğini değiştirebilir, kötü amaçlı yazılımın etkinliklerini sonlandırmak için işlem önceliğini yalnızca sistem kapanmadan önce sıfıra değiştirir.

Sistemi şifreleme işlemi sırasında şifreleme işleminin kesintiye uğramamasını sağlamak için, kötü amaçlı yazılım sistemi şifrelemeden önce hizmetleri sonlandırmaya çalışır.

Kurbanın makinesinde çalışan hizmetlerin adlarını numaralandırmak ve almak için, kötü amaçlı yazılım mevcut tüm hizmetleri numaralandırır.

Kötü amaçlı yazılım, "SHEmptyRecycleBinA() API'sini kullanarak, şifrelemeden sonra silinen dosyaların hiçbirinin geri yüklenmemesini sağlamak için tüm öğeleri Geri Dönüşüm Kutusu'ndan kaldırır.

"How_To_Restore_Your_Files.txt" başlıklı fidye notu kötü amaçlı yazılım tarafından düşürüldü ve kurbanlara dosyalarının kilidini açmak için fidyeyi ödemelerini söyledi.

Kötü amaçlı yazılım fidye notlarını düşürür düşürmez, kurbanın cihazındaki verileri şifreler ve dosyalara ".crypt" uzantısını ekler.

Öneriler

DarkAngels kötü amaçlı yazılımının, internette uzun süredir mevcut olan Babuk fidye yazılımı koduyla güçlü bir korelasyonu var gibi görünüyor. Genel olarak, tehdit aktörlerinin rekabet avantajı elde etmek için mevcut kodu kullanması, değiştirmesi ve yeniden markalaması nadir değildir.

Aşağıda güvenlik analistleri tarafından sağlanan önerileri listeledik:

• Yedeklemelerin düzenli olarak yapılması ve bunları korumak için çevrimdışı veya ayrı ağlarda tutulması gerekir.
• Bilgisayarınızı, mobil cihazınızı ve diğer bağlı aygıtlarınızı güncel tutmanın en kolay ve en pragmatik yolu, mümkün olduğunda otomatik yazılım güncelleştirmelerini etkinleştirmektir.
• İnternete bağlı bir cep telefonunuz veya PC'niz varsa, saygın bir üne sahip bir anti-virüs kullanmalısınız.
• Sahte e-posta eklerini veya bağlantılarını açmadan önce orijinalliklerini kontrol etmeden açmayın.
• Virüslü cihazların bağlı oldukları ağdan ayrılması önemlidir.
• Harici depolama aygıtları bağladıysanız, bunların bağlantısını kesin.
• Sistem günlüklerini gözden geçirerek şüpheli olayları tanımlayın.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.