Kötü Amaçlı Yazılım ‘Nefilim’ Kullanıcı Verilerini Yayınlamakla Tehdit Ediyor
Nefilim, etkilenen sistemlerde dosyaları şifreleyerek işlev gören fidye yazılımı olan yeni bir kötü amaçlı yazılımdır. Şubat 2020’den beri siber ekosistemde aktif hâldedir. Dosyaların şifrelenmesinden sonra, dosyaların, araçların ve yazılım şifresinin çözülmesi için kurbanlardan bir fidye talep ediyor. Bununla birlikte, fidye yazılımının nasıl yayıldığının hala belirsiz olduğu, kaynakların duyarlı Uzak Masaüstü Hizmetleri aracılığıyla dağıtıldığını düşünüyor.
ID Ransomware’den SentinelLabs, Vitali Krimez ve Michael Gillespie’e göre, Nefilim’de kullanılan kod, AES-256 algoritmasını kullanarak dokümanlara ve multimedyaya erişimi kısıtlayarak kullanıcı verilerini çalan başka bir dosya şifreleme fidye yazılımı olan Nemty’ninkine çok benziyor. Güvenlik araştırmacılarının spekülasyonlarına gelince, ilk fidye yazılımının yazarlarının Nefilim’in yaratılmasında ve dağıtımında rol alması muhtemeldir. Bununla birlikte, uzmanlar yeni fidye yazılımının operasyon kaynağı etrafında dönen belirsizlik nedeniyle, kaynak kodun yeni kötü niyetli aktörler tarafından bir şekilde yeni bir varyant geliştirmesi için elde edilme olasılığına da işaret ediyorlar.
Şifreleme devam ederken, etkilenen tüm dosyalar “.NEFILIM” uzantısıyla eklenir. Örneğin, daha önce “xyz.png” adlı bir dosya şifreleme gerçekleştikten sonra “xyz.png.NEFILIM” olarak görünmeye başlar. İşlemin tamamlanmasından sonra, virüslü kullanıcının masaüstünde “NEFILIM-DECRYPT.txt” başlıklı bir fidye notu oluşturuyor. Ardından da “Özel dosyalarınızın büyük bir kısmı çıkarılmış ve güvenli bir yerde tutuluyor. İhlalin yedi iş günü içinde bizimle iletişime geçmezseniz verileri sızdırmaya başlayacağız. Bizimle iletişime geçtikten sonra dosyalarınızın çıkarıldığının kanıtını sağlayacağız. ” diye not bırakıyor.
Kaynaklara göre Nefilim, para meseleleri için öncelikle hizmet olarak Ransomware (RaaS) bileşeninin kaldırılmasından sonra Tor ödeme sitesi yerine e-posta iletişimine yönelik umutlarını sabitliyor ve önemli bir fark olarak öne çıkıyor. Gillespie tarafından yapılan analize göre, fidye yazılımının tamamen güvenli olduğu bildirildiğinden, şu andan itibaren fidyeyi ödemeden dosyaları almanın bir yolu olmadığı açıktır. Bunun sonucunda, mağdurlar talep edilen miktarı bir hafta içinde ödemesi gerektiği ile tehdit ediliyorlar, aksi takdirde çalınan veriler saldırganlar tarafından ifşa edilecektir.