Tedarik zinciri saldırısının sonucu olarak son dört gün içinde 100.000’den fazla bilgisayarı enfekte eden Çin’e hızla yeni bir parça ransomware yayılıyor … ve enfekte kullanıcıların sayısı her saat sürekli artıyor.
İlginç olan nedir? Neredeyse tüm fidye yazılımlarının aksine, yeni virüs Bitcoin’de fidye ödemelerini talep etmiyor.
Bunun yerine, saldırganlar, Çin’in en popüler mesajlaşma uygulaması tarafından sunulan ödeme özelliğiyle kurbanların WeChat Pay üzerinden 110 yuan (yaklaşık 16 USD) ödemesi talep ediyor.
Ransomware + Password Stealer
Geçen yıl dünya çapındaki kaosa neden olan WannaCry ve NotPetya ransomware salgınlarının aksine , yeni Çinli fidye yazılımı sadece Çinli kullanıcıları hedefliyor. Ayrıca, kullanıcıların Alipay, NetEase 163 e-posta hizmeti, Baidu Cloud Disk, Jingdong (JD.com), Taobao, Tmall, AliWangWang ve QQ web siteleri için hesap şifrelerini çalma konusunda ek bir yetenek de içerir.
Tedarik Zinciri Saldırısı
Çin siber güvenlik ve anti-virüs firması Velvet Security’ye göre , saldırganlar çok sayıda uygulama geliştiricisinin kullandığı “EasyLanguage” programlama yazılımına kötü amaçlı kod ekledi. Kötü niyetli bir şekilde değiştirilmiş programlama yazılımı, ransomware kodunu, her bir uygulama ve yazılım ürününün içine derlemek için tasarlanmıştır — virüsün hızla yayılması için bir yazılım tedarik zinciri saldırısı örneği.
Yukarıda listelenen virüs bulaşmış uygulamalardan herhangi birini yükleyen 100.000’den fazla Çinli kullanıcı sistemlerini ele geçirdi. Bu fidye yazılımı, gif, exe ve tmp uzantılı dosyalar haricinde, virüslü bir sistemdeki tüm dosyaları şifreler.
Stolen Dijital İmzaları Kullanma
Saldırganlar, Antivirüs programlarına karşı savunmak için, kötü amaçlı yazılım kodlarını Tencent Technologies’ten güvenilen bir dijital imzayla imzaladılar ve “Tencent Games, League of Legends, tmp, rtl ve program” gibi bazı özel dizinlerdeki verileri şifrelemekten kaçınılırlar. Bir kez şifreli, ransomware bir not açılırken, kullanıcıların şifre çözme anahtarı almak için 3 gün içinde saldırganların WeChat hesabına 110 yuan ödemek için sorar.
Görüntülenen süre içinde ödeme yapılmazsa, kötü amaçlı yazılım şifre çözme anahtarını uzaktan kumanda ve kontrol sunucusundan otomatik olarak silmeye çalışır.
Ransomware, kullanıcı dosyalarını şifrelemenin yanı sıra, popüler Çince web siteleri ve sosyal medya hesapları için kullanıcıların oturum açma bilgilerini sessizce çalar ve bunları uzak bir sunucuya gönderir. Ayrıca CPU modeli, ekran çözünürlüğü, ağ bilgileri ve kurulu yazılımların listesi gibi sistem bilgilerini de toplar.
Zavallı Fidye Yazılımı Çatlak Edildi
Çinli siber güvenlik araştırmacıları fidye yazılımlarının kötü bir şekilde programlandığını ve saldırganların şifreleme süreci hakkında yalan söylediğini buldular. Ransomware notu, kullanıcıların dosyalarının DES şifreleme algoritması kullanılarak şifrelenmiş olduğunu, ancak gerçekte, daha az güvenli bir XOR şifresi kullanarak verileri şifrelemekte ve şifre çözme anahtarının bir kopyasını kurbanın kendi sisteminde aşağıdaki konumdaki bir klasörde saklamaktadır:
% Kullanıcı% \ AppData \ Roaming \ unname_1989 \ veri dosyası \ appCfg.cfg
Bu bilgiyi kullanarak, Kadife güvenlik ekibi kurbanlar için şifrelenmiş dosyaların kilidini herhangi bir fidye ödemeye gerek kalmadan kolayca açabilen ücretsiz bir fidye şifre çözme aracı oluşturdu ve yayınladı. Araştırmacılar ayrıca saldırganların komuta ve kontrol ve MySQL veritabanı sunucularını kırmayı ve bunlara erişmeyi başardılar ve üzerinde kayıtlı binlerce çalıntı kimlik bulmuşlardı.
Bu Ransomware Saldırı Arkasında Olanlar?
Araştırmacılar, kamuya açık bilgileri kullanarak, bir yazılım programcısı olan ve “lsy resource assistant” ve “LSY classic alarm v1.1” gibi uygulamalar geliştiren “Luo” adında bir şüpheli buldular.
Lua’nın QQ hesap numarası, cep telefonu numarası, Alipay Kimliği ve e-posta kimlikleri, saldırganın WeChat hesabını takip ederek toplanan bilgi araştırmacıları ile eşleşiyor. Tehditten haberdar olduktan sonra, WeChat, fidye ödemelerini almak için kullanılan hizmetin saldırgan hesabını da askıya aldı.