CD Projekt vakasındaki detaylar ortaya çıktıkça saldırının boyutuna ilişkin veriler elde edebilmekteyiz. Aşağıdaki görselde belirtilen fidye notu CD Projekt Red vakasına ait. Emsisoft CTO’su tarafından yapılan değerlendirmede, saldırının HelloKitty Ransomware ile ilişkilendirildiği ifade edilmiştir.
HelloKitty Aktiviteleri
HelloKitty ile hedef alınan yapılardan biri Birleşik Krallık Sağlık Hizmeleri organizasyonudur. Ocak 2021’de gerçekleşen saldırıda iletilen fidye notu aşağıdaki gibidir:
2020 Noel’inde Brezilya’da enerji santrali olarak hizmet veren CEMIG firması ransomware saldırısının hedefi olmuştu. CEMIG’den yapılan bildirimde, 25 Aralık 2020 günü anormal ağ harekettliliği görüldüğü, bu hareketliliğin ransomware türünde bir saldırıyı işaret ettiği belirtilmiştir. “Windows / Microsoft Hyper-V” üzerinde çalışan sunucularının %10’u kadar bir yapı, saldırı sonucu şifrelenmiştir. Saldırıya ilişkin fidye notu aşağıdaki gibidir:
CEMIG firması ile fidye için kurulan işletişim aşağıdaki gibidir:
Epics4Sec İncelemesi
Ransomware saldırısı için kullanılan dosyanın analizi AynRun üstünde yapılmıştır. Yapılan incelemede, Cmd.exe kullanılarak süreçlerin çalıştırıldığı görülmektedir. Süreçlerin bitiminde hedef alınan dosyaların yeni bir uzantıyla yeniden oluşturulduğu görülmektedir.
Çalıştırılan zararlının davranış şeması aşağıdaki gibidir:
Aktiviteler değerlendirildiğinde tehditler aşağıdaki gibi özetlenebilir:
- Zararlı
- Dosyaları Ransomware gibi yeniden isimlendirme
- c7d6719bbfb5baaadda498bf5ef49a3ada1d795b9ae4709074b0e3976968741e.exe (PID: 3680)
- Ransomware yapı bilgilerini içeren dosyaları çekme
- c7d6719bbfb5baaadda498bf5ef49a3ada1d795b9ae4709074b0e3976968741e.exe (PID: 3680)
- Şüpheli
- Ransomware yapılı dosyalar oluşturma
- c7d6719bbfb5baaadda498bf5ef49a3ada1d795b9ae4709074b0e3976968741e.exe (PID: 3680)
- Komut yürütme için CMD.EXE çalıştırma
- c7d6719bbfb5baaadda498bf5ef49a3ada1d795b9ae4709074b0e3976968741e.exe (PID: 3680)
- COM ile çalıştırılma
- OpenWith.exe (PID: 1036)
- Kendi silme işlemi için CMD.EXE kullanma
- c7d6719bbfb5baaadda498bf5ef49a3ada1d795b9ae4709074b0e3976968741e.exe (PID: 3680)
MITRE Attack Listesi
- T1059 Enterprise — Command and Scripting Interpreter
- T1047 Execution — Windows Management Instrumentation
- T1135 Discovery — Network Share Discovery
- T1082 Discovery — System Information Discovery
- T1124 Discovery — System Time Discovery
- T1012 Discovery — Query Registry
- T1045 Defense Evasion — Software Packing
- T1486 Impact— Data Encrypted for Impact
- T1490 Impact — Inhibit System Recovery
IoC Listesi
Tür | Değer | Sınıf |
SHA-256 | fa722d0667418d68c4935e1461010a8f730f02fa1f595ee68bd0768fd5d1f8bb | Ransom:Win32/Death.DB!MTB |
SHA-256 | 9a7daafc56300bd94ceef23eac56a0735b63ec6b9a7a409fb5a9b63efe1aa0b0 | |
SHA-256 | c7d6719bbfb5baaadda498bf5ef49a3ada1d795b9ae4709074b0e3976968741e | Ransom:Win32/KittyCrypt.CM!MTB |
SHA-256 | 56978ab3cb8172239da8742ebe41ef099bb9e1b58e23956a82bf495d7cc94c00 | |
SHA-256 | a6067ecff5c441c2e9654abfe928ae5a81b57e19f3a80ac945a7780f92b39ff3 | |
SHA-256 | 613f9fb99d927e02ba4d7b7122df577fe775e2e56d7ddce5636fd810fc1392ad | |
SHA-256 | a63879a8f90286ca0ba54b446f94dd2e51da549dc4ebd91cb67018e910436280 | |
SHA-256 | 78afe88dbfa9f7794037432db3975fa057eae3e4dc0f39bf19f2f04fa6e5c07c | Win32:Dh-A\ [Heur] |
SHA-256 | 02a08b994265901a649f1bcf6772bc06df2eb51eb09906af9fd0f4a8103e9851 | Win32:Dh-A\ [Heur] |
SHA-256 | 38d9a71dc7b3c257e4bd0a536067ff91a500a49ece7036f9594b042dd0409339 | |
SHA-256 | 9a7daafc56300bd94ceef23eac56a0735b63ec6b9a7a409fb5a9b63efe1aa0b0 | Win32:Dh-A\ [Heur] |
Kaynak
- https://any.run/report/c7d6719bbfb5baaadda498bf5ef49a3ada1d795b9ae4709074b0e3976968741e/0b94efb0-2f00-48bd-88ae-a21b9dd3396c
- https://www.cadosecurity.com/post/punk-kitty-ransom-analysing-hellokitty-ransomware-attacks