Türk yazılımcının açık kaynaklı hale getirdiği bir yazılımı taklit ettiği iddia edilen tehdit aktörlerinin, zenginden alıp fakire veren Robin Hood karakteri gibi davrandığı ortaya çıktı.
Fidye yazılımı grupları büyük veri şifreleme operasyonları ile şirketlerin başını ağrıtmaya devam ederken bu gruplardan biri eylem tarzı ile şaşkınlığa yol açtı. Kendilerine GoodWill adını veren yeni bir fidye yazılımı grubu sistemlerine sızdıkları şirketleri toplum yararına bağış yapmaya ve ihtiyaç sahibi insanlara yardım yapmaya zorluyor.
CloudSEK’te görev yapan araştırmacılar geçtiğimiz hafta yayınlanan bir raporda, “Fidye yazılımı grubu şifre çözme anahtarı karşılığında çok sıra dışı taleplerde bulunuyor. Robin Hood gibi hareket eden grup, kurbanları finansal motivasyonlarla gasp etmek yerine, muhtaçlara yardım etmekle ilgilendiğini iddia ediyor.”
.Net’te yer alan haberde fidye yazılımı ilk olarak Mart 2022’de Hindistan merkezli siber güvenlik firması tarafından tespit edildi.
Hamza Bendelladj: Modern Robin Hood mu yoksa bir gangster mi?
Şifreleme için AES algoritmasını kullanan kötü amaçlı yazılım, dinamik analize müdahale etmek için 722.45 saniye boyunca uyku modunda kalması ile dikkat çekiyor.
Şifreleme işlemini, kurbanların şifre çözme kitini elde edebilmek için sosyal içerikli üç faaliyet yürütmelerini gerektiren çok sayfalı bir fidye notunun görüntülenmesi takip ediyor.
EVSİZLERE BATTANİYE, ÇOCUKLARA YEMEK…
Bu görevler arasında evsizlere yeni kıyafetler ve battaniyeler bağışlamak, beş dezavantajlı çocuğu Domino’s, Pizza Hut veya KFC’ye götürmek ve acil tıbbi yardıma ihtiyaç duyan ancak maddi imkanları olmayan hastalara maddi destek sunmak gibi işler yer alıyor.
Ayrıca, mağdurlardan yaptıkları bu görevleri ekran görüntüleri ve selfi şeklinde kaydetmeleri ve sosyal medya hesaplarında kanıt olarak paylaşmaları isteniyor.
Araştırmacılar şunları ifade etti: “Facebook ya da Instagram’da, üç görevin tümü tamamlandıktan sonra, mağdurlar ayrıca ‘GoodWill adlı bir fidye yazılımının kurbanı olarak kendinizi nasıl nazik bir insana dönüştürdükleri’ konusunda sosyal medyada da bir not yazmak durumunda kalıyorlar”
GoodWill’in henüz bilinen bir kurbanı bulunmuyor ve saldırıları kolaylaştırmak için kullanılan somut taktikleri, teknikleri ve prosedürleri (TTP’LER) henüz net değil.
TÜRK PROGRAMCININ FİDYE YAZILIMINI TAKLİT ETMİŞ OLABİLİRLER
Ayrıca, e-posta adresine ilişkin yaplan bir analiz, operatörlerin Hindistanlı olduğunu ve Hintçe konuştuklarını gösterse de tehdit aktörünün kimliği henüz bilinmiyor.
Fidye yazılımı örneğiyle ilgili daha ayrıntılı bir şekilde yapılan bir araştırma, söz konusu yazılımın Windows tabanlı başka bir tür ile önemli ölçüde örtüştüğünü ortaya koydu. Bahsi geçen tür, HiddenTear (Gizli Gözyaşı) adıyla 2015 yılında bir Türk programcı tarafından kavram kanıtı (PoC) olarak açık kaynaklı hale getirilen ilk fidye yazılımı.
PoC, bir fikrin uygulanabilirliğini pratikte gösterebilmek için bir fikrin test uygulamasını ifade ediyor.
Araştırmacılar, “GoodWill operatörleri, gerekli değişikliklerle yeni bir fidye yazılımı oluşturmalarına izin vererek buna erişmiş olabilirler” dedi.
