Dijital dünya, fidye yazılımlarının en tehlikeli olanlarından biri olduğu çeşitli siber saldırı türlerinden gelen tehditlerle sürekli olarak karşı karşıya kalmaktadır. Ortaya çıkışı HelloXD fidye yazılımı Kasım 2021'de sürekli gelişen tehdit ortamında yeni bir sayfa açtı.
Bu kötü amaçlı yazılım yalnızca kurbanların verilerini şifrelemekle kalmaz, aynı zamanda çi̇fte gasp Bu da onu hem Windows hem de Linux sistemleri için zorlu bir tehdit haline getiriyor. HelloXD'nin operasyonlarının merkezinde takma adıyla bilinen bir tehdit aktörü var x4k'nin bir dizi kötü niyetli faaliyetle bağlantılı olduğu ortaya çıktı.
HelloXD Fidye Yazılımı Nedir?
Fidye yazılımı, kurbanın bilgisayarındaki dosyaları şifreleyen ve şifre çözme anahtarı için ödeme talep eden bir kötü amaçlı yazılım türüdür. HelloXD fidye yazılımı zorlamaya yönelik benzersiz yaklaşımı ile kendini ayırır. Diğer birçok fidye yazılımı türünün aksine, HelloXD özel bir sızıntı sitesinden yoksundur. Bunun yerine, şunları kullanır TOX sohbet Kurbanlarla iletişim ve müzakere için daha kişiselleştirilmiş bir gasp stratejisine işaret ediyor.
HelloXD Fidye Yazılımının Evrimi
İlk tespitinden bu yana HelloXD sürekli gelişim göstermiştir. Fidye notları örnekler arasında farklılık göstermiş olup, bu da yazarlar tarafından aktif ve devam eden bir iyileştirme yapıldığını göstermektedir. Özellikle, araştırmacılar Birim 42 Palo Alto Networks, HelloXD'nin kodu ile Babuk/Babyk fidye yazılımının sızdırılan kaynak kodu arasında bir benzerlik ortaya çıkararak ortak bir köken ya da esinlenme olasılığına işaret etti.
HelloXD Teknik Analizi
Kötü Amaçlı Yazılımlara Genel Bakış
HelloXD'nin görsel imzası, muhtemelen kafa karıştırmak ve yanıltmak için tasarlanmış bir taktik olan değiştirilmiş bir ClamAV logosu içerir. Fidye yazılımı çalıştırıldığında, aksi takdirde şifrelenmiş dosyaları geri yüklemek için kullanılabilecek bir özellik olan gölge kopyaları devre dışı bırakarak sistemin savunmasını zayıflatmaya çalışır. Kötü amaçlı yazılım daha sonra dosyaları şifrelemeye devam ediyor ve varlığını kesin olarak belirtmek için bir ".hello" uzantısı ekliyor.
Packer Analizleri
Vahşi doğada iki farklı paketleyici tespit edilmiştir: açık kaynaklı paketleyicinin değiştirilmiş bir sürümü UPX ve daha karmaşık iki katmanlı bir paketleyici. İkincisi, ikinci katman olarak özel bir UPX paketleyicisi içeriyor ve kötü amaçlı yazılım yazarlarının tespit ve analizden kaçma çabalarını gösteriyor.
Fidye Yazılımının İç Yapısı
HelloXD örnekleri farklı seviyelerde şaşırtma sergiler; bazıları minimum çaba gösterirken diğerleri daha gelişmiş kontrol akışı şaşırtması kullanır. Fidye yazılımı aşağıdaki gibi şifreleme algoritmalarından yararlanır Curve25519-Donna ve Tavşan Şifresi Kurbanın dosyaları üzerindeki hakimiyetini güvence altına almak için. Ayrıca, ikincil bir yükün dahil edilmesi, MicroBackdoorfidye yazılımının ilerlemesini izleme ve tehlikeye atılan sistemlere erişimi sürdürme niyetini ortaya koymaktadır.
x4k Tehdit Aktörü
HelloXD'nin arkasındaki x4k olarak bilinen kişi ya da grup, siber suç ekosisteminde iyi yerleşmiş bir konuma işaret eden açıkları satma ve kötü amaçlı yazılım barındırma geçmişine sahiptir. HelloXD örneklerinde bulunan UTF-16LE dilindeki ":wtfbbq" adlı benzersiz bir dize x4k'nin altyapısıyla ilişkilendirilmiştir. Bu dize genellikle, aşağıdaki gibi GitHub depolarında görüldüğü gibi, yürütülebilir dosyalar için kendi kendini silme tekniğiyle ilişkilendirilir OffensiveNim.
Saldırı Metodolojisi
HelloXD fidye yazılımı yerel ağlar üzerinden yayılabilir ve yayıldıkça yeni dosyaları şifreleyebilir. En yaygın bulaşma vektörleri arasında kötü niyetli e-posta ekleri, Truva atları, güvenilmez indirme kaynakları, sahte yazılım güncellemeleri ve yazılım kırma araçları yer almaktadır. Özellikle, HelloXD fidye yazılımı aşağıdakileri içerecek şekilde güncellenmiştir MicroBackdoortarafından bildirildiği üzere, virüs bulaşmış sistemde daha kolay gezinmeyi ve veri sızıntısını kolaylaştırıyor. PCrisk.
HelloXD Fidye Yazılımına Karşı Alınacak Önlemler
Tespit ve Önleme
HelloXD ile mücadele etmek için Palo Alto Networks gibi siber güvenlik firmaları aşağıdaki gibi araçlar geliştirmiştir Cortex XDR ve Yeni Nesil Güvenlik DuvarlarıBu tür tehditleri tespit etmek ve önlemek için tasarlanmıştır. Ayrıca, onların WildFire hizmeti, bilinmeyen örnekleri analiz ederek yeni tehditlerin belirlenmesine yardımcı olur.
Sökme ve Kurtarma
HelloXD fidye yazılımı bulaşmışsa, daha fazla şifrelemeyi önlemek için kötü amaçlı yazılımı derhal kaldırmak çok önemlidir. Meşru antivirüs yazılımı, örneğin macOS için Combo Cleanerbu görev için önerilir. Dosyaların kurtarılması yedeklemeler yoluyla veya ücretsiz ya da üçüncü taraf şifre çözme araçları kullanılarak gerçekleştirilebilir. Ancak, dosya kurtarmayı garanti etmediği ve suç faaliyetlerini daha da teşvik ettiği için fidye ödemek önerilmez.
Koruma için En İyi Uygulamalar
HelloXD gibi fidye yazılımlarına karşı korunmak için bireyler ve kuruluşlar en iyi uygulamalara uymalıdır. Bunlar arasında şüpheli e-postalardan gelen dosyaları açmaktan kaçınmak, indirmeler ve güncellemeler için resmi kaynakları kullanmak ve saygın antivirüs veya casus yazılım önleme yazılımı kullanmak yer alır.
Bir Enfeksiyonun Rapor Edilmesi ve Müdahale Edilmesi
HelloXD fidye yazılımı bulaşması durumunda, olayın aşağıdaki listede yer alanlar gibi ilgili makamlara bildirilmesi tavsiye edilir Artık Fidye Yok Projesi. Virüs bulaşmış cihazı izole etmek kritik bir ilk adımdır, ardından fidye yazılımı türünü tanımlamak gerekir, bu da aşağıdaki gibi hizmetler aracılığıyla yapılabilir ID Fidye Yazılımı. Şifre çözme araçlarını aramak ve aşağıdaki gibi veri kurtarma araçlarını kullanmak Recuva dosyaların geri yüklenmesine de yardımcı olabilir. Son olarak, sağlam veri yedekleri oluşturmak önemli bir önleyici tedbirdir.
Uzlaşma Göstergeleri (IOC'ler)
Siber güvenlik uzmanları, HelloXD fidye yazılımı saldırılarının tespit edilmesine ve bunlara yanıt verilmesine yardımcı olmak için şunları sağlar Uzlaşma Göstergeleri (IOC'ler). Bu IOC'ler, fidye yazılımı ve altyapısıyla ilişkili belirli dosya karmalarını, IP adreslerini ve alan adlarını içerir. Örneğin, ".hello" uzantılı dosyaların varlığı veya bilinen x4k komuta ve kontrol sunucularıyla iletişim, aktif bir enfeksiyona işaret edebilir. Unit 42, HelloXD fidye yazılımı ve x4k'nin faaliyetleriyle ilgili kapsamlı bir IOC listesi derlemiştir ve bu liste güvenlik ekipleri için ihlalleri tespit etmede çok değerli olabilir.
Etkinin Anlaşılması ve Azaltılması
Bir fidye yazılımı saldırısının etkisi geniş kapsamlı olabilir ve yalnızca şifrelenmiş verileri etkilemekle kalmaz, aynı zamanda bir kuruluşun hassas bilgileri koruma becerisine olan güveni de sarsar. HelloXD fidye yazılımının teknik işleyişini ve x4k tehdit aktörü tarafından kullanılan taktikleri anlamak, etkili hafifletme stratejileri geliştirmek için çok önemlidir. Kuruluşlar, başarılı bir fidye yazılımı saldırısı riskini en aza indirmek için çalışanlar için düzenli güvenlik eğitimi vermeli, sıkı erişim kontrolleri uygulamalı ve güncel güvenlik yamalarını sürdürmelidir.
İşbirliği ve Bilgi Paylaşımı
HelloXD fidye yazılımı gibi tehditlerle mücadele etmek işbirlikçi bir yaklaşım gerektirir. Tehditler, güvenlik açıkları ve saldırılar hakkında bilgi paylaşımı, siber güvenlik topluluğunun siber suçluların önüne geçmesine yardımcı olabilir. Bu gibi platformlar Siber Tehdit İttifakı Bu bilgi alışverişini kolaylaştırarak üyelerin birbirlerinin deneyimlerinden öğrenmelerine ve savunma önlemlerini geliştirmelerine olanak tanır.
Yasal ve Etik Hususlar
Fidye yazılımı saldırılarının mağdurları genellikle bir ikilemle karşı karşıya kalır: fidyeyi ödemek ya da ödememek. Kolluk kuvvetleri genellikle daha fazla suç faaliyetini finanse ve teşvik ettiği için ödeme yapılmamasını tavsiye ederken, kritik veriler söz konusu olduğunda karar karmaşık olabilir. Şirketler, veri kaybı potansiyelini, kesinti süresinin maliyetini ve paydaşlar üzerindeki etkisini göz önünde bulundurarak yasal ve etik sonuçları tartmalıdır.
Geleceğe Bakış ve Hazırlık
X4k gibi tehdit aktörleri taktiklerini geliştirmeye devam ettikçe, siber güvenlik topluluğu uyanık ve proaktif kalmalıdır. Gelişmiş tehdit tespit sistemlerine yatırım yapmak, sağlam olay müdahale planları oluşturmak ve siber güvenlik farkındalığı kültürünü teşvik etmek, gelecekteki tehditlere hazırlanmak için gerekli adımlardır. Buna ek olarak, aşağıdaki gibi kaynaklardan yararlanmak 2022 Birim 42 Fidye Yazılımı Tehdit Raporunda Öne Çıkanlar ortaya çıkan eğilimler ve tehdit aktörlerinin davranışları hakkında değerli bilgiler sağlayabilir.
Sonuç
HelloXD fidye yazılımı, benzersiz gasp yöntemleri ve MicroBackdoor gibi ikincil yüklerin dahil edilmesiyle karakterize edilen siber güvenlik ortamında önemli bir tehdidi temsil etmektedir. Bu kötü amaçlı yazılımın arkasında, faaliyetleri geniş bir siber suç yelpazesine yayılan x4k tehdit aktörü bulunmaktadır. Bu fidye yazılımının doğasını anlayarak, önleme ve müdahale için en iyi uygulamaları kullanarak ve siber güvenlik topluluğu içinde işbirliğini teşvik ederek, kuruluşlar kendilerini bu tür tehditlere karşı daha iyi koruyabilirler.
Fidye yazılımlarına karşı mücadele devam ediyor ve hem bireylerin, hem işletmelerin hem de hükümetlerin ortak bir çaba göstermesini gerektiriyor. Bilgili, tetikte ve hazırlıklı olmak, HelloXD fidye yazılımının arkasındakiler gibi siber suçluların sofistike ve gelişen taktiklerine karşı en iyi savunmadır.
TR 
EN