Fişinq e-poçtları vasitəsilə yayılan Global Group adlı ransomware

Aparılan araşdırmalar nəticəsində müəyyən edilmişdir ki, Phorpiex zərərli proqram təminatından istifadə olunmaqla Global Group adlı ransomware (fidyə proqramı) yaymaq məqsədilə fişinq kampaniyası həyata keçirilir. Hücum çərçivəsində aldadıcı xarakter daşıyan Windows qısayol fayllarından (.lnk) istifadə edilir, həmçinin məlumatların oflayn rejimdə şifrələnməsini və ənənəvi təhlükəsizlik mexanizmlərindən yayınmanı təmin edən unikal “mute” rejimi tətbiq olunur.

Müşahidə olunan bu kampaniya adi görünüşlü bir elektron məktubla başlayır. Məktubun mövzu sətrində adətən “Your Document” (“Sizin sənədiniz”) ifadəsi qeyd olunur ki, bu da istifadəçidə maraq və ya narahatlıq hissi yaradaraq fayla klik etməsinə şərait yaradır. E-poçtun daxilində əlavə fayl və ya adətən “Document.doc.lnk” kimi adlandırılmış zip arxivi yerləşdirilir. Hücumçular burada ikiqat fayl uzantısından (double extension) istifadə edirlər, çünki Windows əməliyyat sistemi çox vaxt fayl adının son uzantısını gizlədir. Nəticədə adi istifadəçi üçün fayl sadəcə “Document.doc” kimi görünür. Lakin daha ətraflı yoxlama göstərir ki, bu fayl əslində Windows qısayol faylıdır (.lnk).

İstifadəçi fayla klik etdikdən sonra qısayol gizli şəkildə kompüterə “Living off the Land” (LotL) adlanan metod vasitəsilə arxa planda əmrlər icra etməyi tapşırır. Bu üsul çərçivəsində hücumçular şübhəli və kənar alətlərdən istifadə etmək əvəzinə sistemdə artıq mövcud olan və legitim hesab edilən PowerShell və Command Prompt kimi proqramları öz məqsədləri üçün istismar edirlər. İcra olunan əmrlər nəticəsində əsas zərərli proqram yüklənir və windrv.exe kimi adlarla sistem qovluqlarında gizlədilərək Windowsun legitim komponenti təəssüratı yaradılır.

Aparılan araşdırma nəticələrinə əsasən son mərhələdə sistemə yerləşdirilən zərərli yükün (payload) Global Group adlı ransomware olduğu müəyyən edilmişdir. Bu proqram daha əvvəl yayılmış Mamona adlı ransomware-nin davamçısı hesab olunur. Onu xüsusilə təhlükəli edən əsas xüsusiyyət isə “mute” (səssiz) rejimdə fəaliyyət göstərməsidir. Əksər zərərli proqramlar əmrlər almaq və ya açar əldə etmək üçün internet üzərindən uzaq serverlərlə əlaqə yaradır, Global Group isə onlardan fərqli olaraq bütün prosesləri lokal mühitdə icra edir.

Server bağlantısına ehtiyac duymadığı üçün bu proqram hətta internetə qoşulu olmayan (oflayn) kompüterlərdə belə faylları şifrələyə və əlçatmaz vəziyyətə sala bilir. Əlavə araşdırmalar göstərmişdir ki, proqram ChaCha20-Poly1305 adlı güclü kriptoqrafik alqoritmdən istifadə edir. Bu isə cinayətkar tərəfindən təqdim edilən rəqəmsal açar olmadan şifrələnmiş faylların bərpasını faktiki olaraq mümkünsüz edir.

Araşdırmaların qarşısını almaq məqsədilə o, 127.0.0.7 ünvanına göndərilən ping əmri vasitəsilə təxminən üç saniyəlik gecikmə mexanizmi yaradır. Proses başa çatdıqdan sonra isə sərt diskdə yerləşən öz fayllarını silərək mümkün sübutları minimuma endirməyə çalışır.

Tədqiqatçılar müəyyən etmişlər ki, virus istifadəçinin ehtiyat nüsxələrini də hədəfə alır. O, məlumatların bərpası üçün nəzərdə tutulmuş Volume Shadow Copies (kölgə nüsxələri) adlı qoruyucu mexanizmi səssiz şəkildə silir. Nəticədə sənədlər .Reco uzantısı ilə şifrələnmiş vəziyyətə gətirilir və kompüterin masaüstü fonu fidyə tələb edən mətni əks etdirən bildirişlə əvəz olunur.

Bu kampaniya göstərir ki, hücumçular istifadəçiləri tələyə salmaq üçün hər zaman mürəkkəb texnoloji vasitələrə ehtiyac duymurlar, bəzən sadə bir qısayol faylı və inandırıcı məzmunlu elektron məktub kifayət edir. Bu baxımdan sağlam düşüncə və ehtiyatlı davranış əsas müdafiə vasitəsidir. Tələb olunmamış elektron məktubları açmamaq, onların daxilindəki keçidlərə klik etməmək, eləcə də əlavə edilmiş faylları yükləyib icra etməmək tövsiyə olunur.