Kendini şifreleyen fidye yazılım Cactus, antivirüs yazılım paketleri tarafından fark edilmeden kullanıcılarda işlem yapabiliyor.
Siber güvenlik uzmanları yeni Cactus fidye yazılımını tespit etti. Bu yazılım, tam bir kılık değiştirme ustası. Bunu benzersiz bir şekilde yapıyor, dolayısıyla güçlendirilmiş antivirüs yazılım paketlerinin bile varlığını fark etmemesine neden olur. Kendini şifreleyen fidye yazılım Cactus, bu sayede görünmeden hareket edebiliyor.
Cactus yazılımı kılık değiştiriyor
Yeni kötü amaçlı yazılım, bazı siber güvenlik uzmanlarının tanımladığı gibi, kendisini bir dizi şekilde şifreliyor. Şifreleme yöntemlerinden biri, kendisini kullanıcının sisteminde bulunabilecek herhangi bir virüsten koruma yazılımından gizlemesi. Kendisini göz önünde gizli tutmak için antivirüslerin ve uç nokta güvenlik çözümlerinin zayıflığından yararlanıyor.
Bu fidye yazılımıyla ilgili bilgiler Kroll’daki kişiler tarafından sağlandı. Firmanın risk ve finansal danışmanlık çözümleri ekibi, bu kötü amaçlı yazılımı tespit edebildi ve kamuoyuna duyurdu.
Cactus fidye yazılımı, bir sistemde kendini gizlemek için üç ana moda sahip. Bu makalede, ana odak noktası, bir sistem üzerinde saklama yollarından yalnızca biri olacak. Bu saklama yöntemi, Cactus fidye yazılımının antivirüs yazılım paketleri tarafından bile tespit edilmemesine neden oluyor.
Bir AES anahtarının kullanılmasıyla, kötü bir oyuncu bu fidye yazılımını şifreli bir dosya olarak var olacağı bir sisteme dağıtabilir. Siber güvenlik uzmanları, bu fidye yazılımının nasıl çalıştığını anlayabildi. Her şey kötü aktörlerin bu fidye yazılımına erişebilecekleri benzersiz bir AES anahtarı sağlamasıyla başlıyor. AES anahtarı ile fidye yazılımının yapılandırma dosyasının ve genel RSA anahtarının şifresi çözülebilir.
Bundan sonra, kötü oyuncu kötü amaçlı yazılım dosyasını şifreleyebilir ve ardından hedefe iletebilir. Bunlar, hedefin sistemine, kötü aktörün ikili dosyasında sabit kodlanmış bir HEX dizisi olarak ulaşacak. Kötü amaçlı yazılım hedefin sistemine girdikten sonra, kötü oyuncu HEX dizesinin kodunu çözüyor. Bu onlara, daha sonra AES anahtarıyla erişebilecekleri kullanıcı verilerine erişim sağlıyor. Tüm şifreleme süreci, Cactus fidye yazılımının tespit edilmesini zorlaştırır. Bir sistemde kolayca var olabilir ve kurulu antivirüs veya uç nokta güvenlik çözümü tarafından göz ardı edilirken hasara neden olabilir.