27.7 C
İstanbul
19/06/2024
Image default
Epics4Sec RaporlarıZararlı Yazılım Analizleri

Hello Kitty Ransomware Analizi

CD Projekt vakasındaki detaylar ortaya çıktıkça saldırının boyutuna ilişkin veriler elde edebilmekteyiz. Aşağıdaki görselde belirtilen fidye notu CD Projekt Red vakasına ait. Emsisoft CTO’su tarafından yapılan değerlendirmede, saldırının HelloKitty Ransomware ile ilişkilendirildiği ifade edilmiştir.

HelloKitty Aktiviteleri

HelloKitty ile hedef alınan yapılardan biri Birleşik Krallık Sağlık Hizmeleri organizasyonudur. Ocak 2021’de gerçekleşen saldırıda iletilen fidye notu aşağıdaki gibidir:

2020 Noel’inde Brezilya’da enerji santrali olarak hizmet veren CEMIG firması ransomware saldırısının hedefi olmuştu. CEMIG’den yapılan bildirimde, 25 Aralık 2020 günü anormal ağ harekettliliği görüldüğü, bu hareketliliğin ransomware türünde bir saldırıyı işaret ettiği belirtilmiştir. “Windows / Microsoft Hyper-V” üzerinde çalışan sunucularının %10’u kadar bir yapı, saldırı sonucu şifrelenmiştir. Saldırıya ilişkin fidye notu aşağıdaki gibidir:

CEMIG firması ile fidye için kurulan işletişim aşağıdaki gibidir:

Epics4Sec İncelemesi

Ransomware saldırısı için kullanılan dosyanın analizi AynRun üstünde yapılmıştır. Yapılan incelemede, Cmd.exe kullanılarak süreçlerin çalıştırıldığı görülmektedir. Süreçlerin bitiminde hedef alınan dosyaların yeni bir uzantıyla yeniden oluşturulduğu görülmektedir.

Screenshot of c7d6719bbfb5baaadda498bf5ef49a3ada1d795b9ae4709074b0e3976968741e taken from 17800 ms from task started

Screenshot of c7d6719bbfb5baaadda498bf5ef49a3ada1d795b9ae4709074b0e3976968741e taken from 27883 ms from task started

Screenshot of c7d6719bbfb5baaadda498bf5ef49a3ada1d795b9ae4709074b0e3976968741e taken from 36952 ms from task started

Çalıştırılan zararlının davranış şeması aşağıdaki gibidir:

Aktiviteler değerlendirildiğinde tehditler aşağıdaki gibi özetlenebilir:

  • Zararlı
    • Dosyaları Ransomware gibi yeniden isimlendirme
    • c7d6719bbfb5baaadda498bf5ef49a3ada1d795b9ae4709074b0e3976968741e.exe (PID: 3680)
    • Ransomware yapı bilgilerini içeren dosyaları çekme
    • c7d6719bbfb5baaadda498bf5ef49a3ada1d795b9ae4709074b0e3976968741e.exe (PID: 3680)
  • Şüpheli
    • Ransomware yapılı dosyalar oluşturma
    • c7d6719bbfb5baaadda498bf5ef49a3ada1d795b9ae4709074b0e3976968741e.exe (PID: 3680)
    • Komut yürütme için CMD.EXE çalıştırma
    • c7d6719bbfb5baaadda498bf5ef49a3ada1d795b9ae4709074b0e3976968741e.exe (PID: 3680)
    • COM ile çalıştırılma
    • OpenWith.exe (PID: 1036)
    • Kendi silme işlemi için CMD.EXE kullanma
    • c7d6719bbfb5baaadda498bf5ef49a3ada1d795b9ae4709074b0e3976968741e.exe (PID: 3680)

MITRE Attack Listesi

  • T1059 Enterprise — Command and Scripting Interpreter
  • T1047 Execution — Windows Management Instrumentation
  • T1135 Discovery — Network Share Discovery
  • T1082 Discovery — System Information Discovery
  • T1124 Discovery — System Time Discovery
  • T1012 Discovery — Query Registry
  • T1045 Defense Evasion — Software Packing
  • T1486 Impact— Data Encrypted for Impact
  • T1490 Impact — Inhibit System Recovery

IoC Listesi

TürDeğerSınıf
SHA-256fa722d0667418d68c4935e1461010a8f730f02fa1f595ee68bd0768fd5d1f8bbRansom:Win32/Death.DB!MTB
SHA-2569a7daafc56300bd94ceef23eac56a0735b63ec6b9a7a409fb5a9b63efe1aa0b0
SHA-256c7d6719bbfb5baaadda498bf5ef49a3ada1d795b9ae4709074b0e3976968741eRansom:Win32/KittyCrypt.CM!MTB
SHA-25656978ab3cb8172239da8742ebe41ef099bb9e1b58e23956a82bf495d7cc94c00
SHA-256a6067ecff5c441c2e9654abfe928ae5a81b57e19f3a80ac945a7780f92b39ff3
SHA-256613f9fb99d927e02ba4d7b7122df577fe775e2e56d7ddce5636fd810fc1392ad
SHA-256a63879a8f90286ca0ba54b446f94dd2e51da549dc4ebd91cb67018e910436280
SHA-25678afe88dbfa9f7794037432db3975fa057eae3e4dc0f39bf19f2f04fa6e5c07cWin32:Dh-A\ [Heur]
SHA-25602a08b994265901a649f1bcf6772bc06df2eb51eb09906af9fd0f4a8103e9851Win32:Dh-A\ [Heur]
SHA-25638d9a71dc7b3c257e4bd0a536067ff91a500a49ece7036f9594b042dd0409339
SHA-2569a7daafc56300bd94ceef23eac56a0735b63ec6b9a7a409fb5a9b63efe1aa0b0Win32:Dh-A\ [Heur]

Kaynak

  • https://any.run/report/c7d6719bbfb5baaadda498bf5ef49a3ada1d795b9ae4709074b0e3976968741e/0b94efb0-2f00-48bd-88ae-a21b9dd3396c
  • https://www.cadosecurity.com/post/punk-kitty-ransom-analysing-hellokitty-ransomware-attacks

Related posts

TA551 (Shathak) IcedID Aktiviteleri

Mustafa Okay Maktav

TYCOON RANSOMWARE!

Mustafa Okay Maktav

DeathStalker’dan PowerPepper

Mustafa Okay Maktav

Bu web sitesi, kullanıcı deneyimini iyileştirmek amacıyla çerezler kullanmaktadır. Kabul Et Daha Fazlası