DarkBit saldırıları ve siyasi arka plan
2023’te gerçekleşen saldırıların, İran’daki mühimmat fabrikasına yönelik drone saldırılarının ardından misilleme amacı taşıdığı değerlendiriliyor. DarkBit grubu, daha önce İsrail’deki eğitim kurumlarını hedef almış ve propaganda içerikli fidye notları bırakmıştı. İsrail Ulusal Siber Komutanlığı, saldırıları MuddyWater ile ilişkilendirmişti.

Zayıf şifreleme yöntemi tespit edildi
Profero uzmanları, saldırıda kullanılan DarkBit fidye yazılımını analiz etti. Her dosya için AES-128-CBC ile üretilen anahtarların düşük entropiye sahip olduğu, zaman damgalarıyla birlikte olası kombinasyonların birkaç milyar ihtimale düştüğü keşfedildi.

ESXi sunucularındaki avantaj
Araştırmacılar, VMware sanal disk (VMDK) dosyalarının bilinen başlık baytlarını referans alarak brute force yöntemini hızlandırdı. Ayrıca VMDK dosyalarının seyrek yapısı nedeniyle, şifrelenmemiş geniş boşluklardan değerli verilerin doğrudan kurtarılabildiği belirlendi.

Fidye ödenmeden dosyalar geri alındı
Geliştirilen özel araç sayesinde, saldırganların talep ettiği 80 Bitcoin ödenmeden kritik dosyaların çoğu kurtarıldı. Profero, DarkBit’in fidye yerine veri silici (wiper) kullansaydı amacına daha uygun sonuç alabileceğini belirtti.

Kurtarma aracı halka açılmadı
Profero, DarkBit için geliştirdiği çözüm aracını kamuya açıklamayacağını, ancak gelecekte benzer saldırılardan etkilenen kurumların kendileriyle iletişime geçerek destek alabileceğini duyurdu.

Kaynak: CUMHA – CUMHUR HABER AJANSI