Dikkat dağıtmak için kullanılan fidye yazılımı

HermeticWiper saldırılarını desteklemek için dikkat dağıtmak amacıyla HermeticRansom şifreleyici yazılımı kullanıldı.

Araştırmacılarımız, Elections GoRansom olarak da bilinen HermeticRansom kötü amaçlı yazılımını analiz etti. Bütün olarak bakıldığında bu oldukça basit bir şifreleyici yazılım. Olayı ilginç kılan şeyse, saldırganların onu kullanma amacı.

HermeticRansom’ın amaçları

HermeticRansom, HermeticWiper olarak bilinen başka bir kötü amaçlı yazılımla aynı anda bilgisayarlara saldırdı ve güvenlik topluluğundaki halka açık bilgilere göre yazılım, Ukrayna’daki son siber saldırılarda kullanıldı. Uzmanlarımıza göre HermeticRansom’ın görece basitliği ve kötü amaçlı yazılımın uygulanmasındaki şüpheli iş akışı, HermeticWiper saldırılarında dikkatleri dağıtmak için bir sis perdesi olarak kullanıldığını gösteriyor.

HermeticRansom’ın yapabilecekleri

Kötü amaçlı yazılım kurbanın bilgisayarına bulaşmasının ardından, önce sabit sürücüleri tespit ediyor ve Windows ve Program Files klasörleri dışındaki tüm dizinlerin ve dosyaların bir listesini oluşturuyor. Daha sonra belirli dosya kategorilerini şifreliyor ve bu dosyaların isimlerini .encrypted etiketi ve fidye yazılımı operatörlerinin e-posta adresini ekleyerek değiştiriyor. Kötü amaçlı yazılım ayrıca Masaüstü klasöründe saldırganlara ait bağlantılarla birlikte bir fidye notu da içeren bir read_me.html dosyası oluşturuyor. Söz konusu not şöyle bir şey:

HermeticRansom, aşağıdaki uzantılara sahip dosyaları şifreliyor: .inf, .acl, .avi, .bat, .bmp, .cab, .cfg, .chm, .cmd, .com, .crt, .css, .dat, .dip, . dll, .doc, .dot, .exe, .gif, .htm, .ico, .iso, .jpg, .mp3, .msi ve odt.

 

HermeticRansom’ın özellikleri

HermeticRansom Golang dilinde yazılmış. Herhangi bir hedef şaşırtma mekanizması kullanmıyor ve kullandığı şifreleme yöntemi oldukça hantal ve verimsiz. Bunlara ve diğer bazı işaretlere bakıldığında, uzmanlarımız bu kötü amaçlı yazılımın aceleyle oluşturulduğunu düşünüyor.

Risk göstergeleriyle birlikte kötü amaçlı yazılımın daha ayrıntılı teknik analizine Securelist blogumuzdan ulaşabilirsiniz.

Kendinizi korumanın yolları

Kaspersky Lab güvenlik çözümleri, HermeticRansom kötü amaçlı yazılımını ve benzer tehditleri başarıyla algılar. Hem ev bilgisayarlarını hem de kurumsal altyapıyı korumaya yönelik çeşitli araçlarımız bulunuyor. Örneğin:

İpuçları