Fidye yazılımları dünya çapında büyüyen bir sorundur. Yeni teknoloji ve gelişen tekniklerle fidye yazılımı türlerinin durdurulması giderek zorlaşmakta. Bu sorunların arasında yeni eklenen fidye yazılımı ise Rhysida'dır.
Mayıs 2023'te ortaya çıkan Rhysida fidye yazılımı, sağlık kuruluşlarına karşı yaptığı bir dizi saldırı ardından adından söz ettirdi. Rhysida grubunun şimdiye kadarki kurbanlarından biri ise Şili ordusu oldu. Grup ordu askerleri hakkında yaklaşık 360.000 doküman yayınlandı. Gruba göre bu veriler ganimetlerinin %30'unu oluşturmaktadır. Ağustos ayının başında ise Prospect Medical Holdings'te grubun hedeflerinden biri oldu. Yapılan saldırı ABD'deki 16 hastane ve 166 tıbbi tesisi etkiledi. Bu saldırı ABD hastane sistemlerine yapılan en büyük kapsamlı saldırı olarak kabul edildi. Grubun öncelikli olarak eğitim, üretim, teknoloji, ve yönetilen hizmet sağlayıcı sektörlerine sağladığı söyleniyor. Ancak yapılan saldırıların büyük kısmı sağlık ve kamu sağlığı sektörlerine yönelik oldu.
Sağlık Sektörü Güvenlik Koordinasyon Merkezi (HC3), 4 Ağustos 2023'te Rhysida fidye yazılımı hakkında bir güvenlik uyarısında bulundu. HC3'ün uyarısına göre Rhysida grubu, Mayıs ayında karanlık ağda bir kurban destek sohbet portalıyla ortaya çıktı. Grup kendisini kurbanlarına ağ ve sistemlerindeki zayıflık ve zafiyetlerin tespit edilmesi için siber güvenlik ekibi olarak tanıttı.
Haziran 2023'ten bu yana grubun 8 adet kurbanı olduğu bildirilmekte. Yapılan güvenlik uyarısında Rhysida'yı "MINGW/GCC kullanarak derlenen 64bit taşınabilir ve yürütülebilir (PE) Windows kriptografik fidye yazılım"ı olarak tanımlandı.
Rhysida Ransomware Nasıl Çalışır ?
Rhysida birden fazla ve farklı yollar ile dağılabilmekte. Bu fidye yazılımı kurbanın makinesine kimlik avı tuzakları yolu ile girdikten sonra sistem içerisinde yanal hareket için Cobalt Strike kullanmakta. Cobalt Strike, penetrasyon testleri ve red team simülasyonları için kullanılan bir araçtır. Güvenlik uzmanlarının sızma testi ve mavi takım alıştırmaları esnasında karşı tarafın savunma sistemlerini dolaşmak için kullandığı gelişmiş bir imitasyon framework'dür.
Güvenlik uzmanları tarafından yapılan araştırmada PowerShell ve Ryshida fidye yazılımının yükünü dağıtmak için PsExec'i çalıştırdığı tespit edildi. Rhysida Ransomware'ın antivirüs işlemlerini sonlandırdığını, gölge kopyaları sildiğini, RDP (Uzak Masaüstü Protokolü) yapılandırmalarını değiştirdiğini ve AD (Active Directory) şifresini değiştirdiği tespit edildi.
Rhysida fidye yazılımının komut yürütme ve şifreleme komut dosyaları:
Dosya Adı | Hash(SHA256) | İşlev |
conhost.exe | 6633fa85bb234a75927b23417313e51a4c155e12f71da3959e168851a600b010 | Fidye yazılımı dosyası |
psexec.exe | 078163d5c16f64caa5a14784323fd51451b8c831c73396b967b4e35e6879937b | Uzak veya yerel cihazda işlemi gerçekleştirmek için kullanılan uygulama |
S_0.bat | 1c4978cd5d750a2985da9b58db137fc74d28422f1e087fd77642faa7efe7b597 | Toplu komut dosyası |
1.ps1 | 4e34b9442f825a16d7f6557193426ae7a18899ed46d3b896f6e4357367276183 | Şifrelenecek ve şifrelenemeyecek dosyaların blok listesini planlar |
S_1.bat | 97766464d0f2f91b82b557ac656ab82e15cae7896b1d8c98632ca53c15cf06c4 | Şifreleme dosyasının kopyasını üreten toplu komut dosyası |
S_2.bat | 918784e25bd24192ce4e999538be96898558660659e3c624a5f27857784cd7e1 | Dosya uzantılarına .rhysida ekleyen ve şifreleyen komut dosyası |
Fidye Yazılımın Şifreleme Yönteminin Yol Haritasi
Rhysida ağ haritalaması yaptıktan sonra ChaCha20 algoritmasına sahip 4096 bitlik RSA şifreleme anahtarı kullanarak hedef verileri şifrelemektedir. Kullanılan algoritma 256 bitlik anahtar 32 bitlik bir sayaç ve 96 bitlik bir nonce ile birlikte düz metinde 32 bitlik sözcüklerden oluşan dörde dörtlük bir matris içermektedir.
Rhysida şifreleyicisi hedef dosya ve verileri şifreler ardından dosyalara .rhysida uzantısı ekleyerek erişilemez duruma getirir. Kurbanların kendisi ile ileitşime geçmesi ve yönergeleri bildirmesi için "CriticalBreachDetected" isimli bir fidye notu bıraktığı tespit edildi. İşlem sonunda gizli pencerede çalışan ikili komut dosyaları kenidisini powershell komutları ile ağ ve cihazdan temizler.
Fidye yazılımı grubu verileri şifreledikten sonra verilerin şifrelerinin çözülmesi için bir fidye talebinde bulunmaktadır. Fidye belirtilen tarihe kadar ödenmediği duruma ise verilerin sızdırılacağına dair tehditte bulunmaktadır. Rhysida bu yöntemi kullanmasından dolayı çifte gasp yaptığı bilinmektedir. Grup, kurbanlar ile iletişim kurmak için tor tabanlı bir portal kullanarak iletişim sağlanması için "CriticalBreachDetected" adlı fidye notunun içine unique (benzersiz) bir kod vermektedir ve kurbanlar portala eritikten sonra iletişime geçerek fidye ödemelerini bitcoin gibi kripto ödeme yöntemlerini kullanarak istemektedir.
Fidye Yazılımlarına Karşı Nasıl Önlem Alınmalı ?
İşletim Sistemleri ve Yazılımlarını Güncel Tutmak: Yazılım ve işletim sistemlerini güncel tutmak her türlü zafiyet, fidye yazılımlarına maruz kalma gibi istismar edilebilecek güncelik açıklarından korunmayı sağlar
Güçlü ve Tahmin Edilmesi Zor Şifre Kullanımı: Bütün cihazların ve hesapların şifreleri benzersiz ve tahmin edilmesi zor şekilde belirlenmeli. Kullanılan şifreleri farklı cihaz ve hesaplarda tekrar kullanmaktan kaçınılmalıdır. Aynı zamanda kullanılan bütün şifreler belirli periyotlarla değiştirilmelidir.
Sosyal Mühendislik Saldırılarına Karşı Tedbirli Olmak: Fidye yazılımları genellike e-posta yolu ile iletilen kötü amaçlı bağlantı veya ekler içeren mailler ile yayılmaktadır. Gelen mailleri açarken ve mail içeriğindeki dosya ve bağlantıları kullanırken dikkat edilmelidir.
Verilerin Yedeğinin Tutulması: Kritik ve erişilmesi durumunda sorun teşkil edebilecek veriler güvenli aygıtlar veya bulut depolama hizmetleri ile yedeklenmelidir. Ayrıca fidye yazılımı saldırısı durumunda yedek verilerin tehdit altında olmaması için yedeklerin ayrı ve yalıtılmış bir ağda tutulmasıda önem teşkil etmektedir.
Kaynakça: