Kanada, Çin, Şili ve Kolombiya’daki kuruluşları vurduğunu söyleyen BlackBerry araştırmacıları tarafından yeni bir fidye yazılımı türü tespit edildi.
Araştırmacıların analiz ettiği tüm örneklerde benzersiz “ARC” dizeleri bulunduğundan, ARCrypter olarak adlandırıldı ve ilk olarak Ağustos ayında ortaya çıktı.
Diğer fidye yazılımı çeşitlerinin aksine, Blackberry dedi ki, dosya şifreleme aşamasından sonra bir fidye notu düştüğünde, ARCrypter fidye notunu dosyalar şifrelenmeden önce bırakır. Fidye notu teslim edildikten sonra damlalık, iki toplu komut dosyasını ve ana yük şifreleyiciyi bırakmaya devam eder.
Saldırı vektörü – kimlik avı, kaba kuvvet saldırıları veya güvenlik açıklarından yararlanma – bilinmiyor.
Avcılık çabalarıyla BlackBerry, Ağustos 2022’nin başlarından itibaren ilk ARCrypter kampanyasıyla ilişkili örnekler buldu. Ancak yeni bir fidye yazılımı türünün ilk kamuya açık göstergesi, Şili’nin hükümet BT sistemleri saldırıya uğradığında ve bilgisayar olay müdahale ekibi 25 Ağustos’ta geldi. bir rapor yayınladı bazı uzlaşma göstergeleri içeriyordu. Ardından 3 Ekim’de Kolombiya Ulusal Gıda ve İlaç Gözetim Enstitüsü Invima, BlackBerry’nin aynı tür olduğuna inandığı bir siber saldırı bildirdi.
Bu olayların ardından araştırmacılar, Çin ve Kanada’dan görünüşe göre gerçek kurbanlar tarafından VirusTotal tarayıcısında yapılan başvuruları buldular.
Araştırmacılar, fidye yazılımının nasıl yüklendiğine ilişkin araştırmalarında, anonim bir indirme hizmeti olan AnonFiles’ın kullanıldığını keşfetti. İki dosya depolar: “win.zip” dosyası, “win.exe” dosyasını içeren parola korumalı bir arşivdir. “Win.exe” dosyası, iki kaynağı olan bir damlalık dosyasıdır – BIN ve HTML. HTML kaynağı, fidye notu içeriğini depolar ve BIN kaynağı, muhtemelen ARCrypter fidye yazılımı olmak üzere şifrelenmiş veriler içerir.
BIN kaynağının şifresini çözmek için, damlalık bir “-p” bağımsız değişkeninin ardından bir parola bekler. Parola, tehdit aktörü tarafından girildiğinde, damlalık, aşağıdaki ortam değişkenlerinden biri altında rastgele bir dizin oluşturur:
- %TMP%
- %UYGULAMA VERİSİ%
- %TÜM KULLANICI PROFİLİ%
- %ANAYOL%
Bu yeni oluşturulan dizinin amacı, ikinci aşama yükü olan fidye yazılımını depolamaktır.
Fidye notu, kurbanın .onion sitesinde barındırılan tehdit aktörleri ile iletişim paneline giriş yapması için gereken kullanıcı adı ve şifreyi içerir.
Rapor, BT güvenlik ekiplerinin faydalı bulacağı güvenlik ihlali göstergelerini içerir.
Kaynak : https://www.itworldcanada.com/article/arcrypter-ransomware-strain-detailed-by-blackberry/514011