Benzona Fidye Yazılımı Analizi: IoC'ler, Şifre Çözme Olasılıkları ve Savunma Stratejileri

Cyberlord Security Team

Benzona Fidye Yazılımı Analizi: IoC'ler, Şifre Çözme Olasılıkları ve Savunma Stratejileri

Kasım 2025'te, Benzona olarak bilinen sofistike yeni bir fidye yazılımı türü ortaya çıktı ve Avrupa, Asya ve Batı Afrika'daki kuruluşları hedef alarak hızla adını duyurdu. Hizmet Olarak Fidye Yazılımı (RaaS) modelinde çalışan Benzona, talepleri karşılanmazsa hassas verileri sızdırmakla tehdit eden agresif çifte şantaj taktikleri kullanıyor.

Bu teknik analiz, Benzona saldırı zincirini, Uzlaşma Göstergelerini (IoC'ler), MITRE ATT&CK eşlemelerini ve güvenlik uzmanları için eyleme geçirilebilir savunma stratejilerini inceler.

Benzona Fidye Yazılımı Analizi

Benzona Saldırı Zinciri

Benzona, etkiyi en üst düzeye çıkarmak ve iyileşmeyi engellemek için tasarlanmış yapılandırılmış bir saldırı yaşam döngüsünü takip eder.

1. İlk Erişim ve Yürütme

Saldırganlar genellikle kimlik avı kampanyaları, güvenliği ihlal edilmiş kimlik bilgileri veya halka açık uygulamalardaki yamalanmamış güvenlik açıklarından yararlanarak giriş yaparlar. Doğrulanmış vakalarda, Benzona operatörleri şunları kullandı:

  • Kimlik bilgisi toplama ile kimlik avı VPN ve Uzak Masaüstü Protokolü (RDP) portallarını hedef alarak
  • İnternete bakan hizmetlerdeki bilinen CVE'lerin istismarı, özellikle eski VPN cihazları ve yamalanmamış Exchange sunucuları
  • Karanlık web forumlarında faaliyet gösteren erişim komisyoncularından satın alınan ilk erişim – RaaS modelinin bir özelliği

İçeri girdikten sonra, fidye yazılımı şunları kullanır:

  • İşlem Enjeksiyonu (T1055): Tespitten kaçınmak için kötü amaçlı kodu meşru işlemlere (svchost.exe, explorer.exe) enjekte etme.
  • Komut Dosyası Yorumlayıcıları (T1059): Komutları yürütmek ve güvenlik kontrollerini devre dışı bırakmak için PowerShell ve Windows Management Instrumentation (WMI)'den yararlanma.

2. Keşif ve Yanal Hareket

İlk bir elde ettikten sonra, Benzona operatörleri fidye yazılımını patlatmadan önce 3–14 gün boyunca iç keşif yaparlar. Bu konaklama süresi şunlar için kullanılır:

  • BloodHound ve SharpHound kullanarak yüksek değerli hedefleri belirlemek için Active Directory yapısını haritalamak
  • Yedekleme altyapısını belirlemek ve konumlandırmak (özellikle şifrelemeden önce imha etmek için)
  • Çalınan kimlik bilgileri, PsExec ve WMI uzaktan yürütme ile yanal hareket
  • Kerberoasting ve Pass-the-Hash gibi tekniklerle domain yöneticisine ayrıcalık yükseltme

3. Kaçınma ve Kalıcılık

Erişimi sürdürmek ve antivirüs tespitinden kaçınmak için Benzona:

  • Kurtarmayı Devre Dışı Bırakır: Birim Gölge Kopyalarını yok etmek ve Windows Geri Yükleme noktalarını kaldırmak için vssadmin.exe Delete Shadows /All /Quiet çalıştırır.
  • İşlemleri Sonlandırır: Analizi önlemek ve dosyaların şifreleme sırasında kilitlenmemesini sağlamak için güvenlik yazılımını ve sanallaştırma işlemlerini sonlandırır.
  • Kayıt Defterini Değiştirir: Yeniden başlatmalarda kalıcılığı sağlamak için HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ve çalıştırma anahtarlarını değiştirir.
  • Windows Defender'ı Devre Dışı Bırakır: PowerShell Set-MpPreference -DisableRealtimeMonitoring $true kullanır ve Windows Defender tanımlarını kaldırır.

4. Şifreleme ve Sızdırma (Çifte Şantaj)

Benzona, şifreleme olmadan saldırganın özel anahtarıyla şifre çözmeyi hesaplama açısından imkansız hale getiren yaygın bir RaaS uygulaması olan RSA-4096 (anahtar değişimi için) ve AES-256 (dosya şifrelemesi için) kombinasyonunu kullanan hibrit bir şifreleme şeması kullanır.

  • Dosya Uzantısı: Şifrelenmiş dosyalara .benzona uzantısı eklenir (örn. finansal_rapor.pdf.benzona).
  • Veri Hırsızlığı: Şifrelemeden önce, kötü amaçlı yazılım hassas verileri meşru trafikle karıştırmak için HTTPS kullanarak bir komuta ve kontrol (C2) sunucusuna sızdırır. Bu çalınan veriler, şantajın ikinci aşaması için kaldıraçtır.
  • Hedeflenen Dosya Türleri: .doc, .docx, .xls, .xlsx, .pdf, .sql, .mdf, .mdb, .bak, .vhd, .vmdk, .edb – belgelere, veritabanlarına ve yedek dosyalarına öncelik verir.

5. Fidye Notu

Şifreleme tamamlandıktan sonra, etkilenen dizinlere RECOVERY_INFO.txt başlıklı bir fidye notu bırakılır. Not genellikle şunları içerir:

  • Dosyaların şifrelendiğine ve verilerin çalındığına dair bir uyarı.
  • Fidye 72 saat içinde ödenmezse verileri yayınlama tehdidi.
  • Müzakere için Tor Browser'ı indirme ve belirli bir .onion sohbet portalını ziyaret etme talimatları.
  • Müzakereleri doğrulamak için gereken benzersiz kurban kimliği.

Gözlemlenen fidye talepleri, kuruluş boyutuna ve sektörüne bağlı olarak Monero (XMR) veya Bitcoin (BTC) cinsinden 50.000$ ile 2,5 milyon$ arasında değişmiştir.

MITRE ATT&CK Çerçeve Eşlemesi

Taktik Teknik Kimlik
İlk Erişim Kimlik Avı T1566
Yürütme Komut ve Betik Yorumlayıcı: PowerShell T1059.001
Kalıcılık Kayıt Defteri Çalıştırma Anahtarları / Başlangıç Klasörü T1547.001
Ayrıcalık Yükseltme Geçerli Hesaplar: Domain Hesapları T1078.002
Savunmadan Kaçınma İşlem Enjeksiyonu T1055
Savunmadan Kaçınma Savunmaları Bozma: Araçları Devre Dışı Bırak veya Değiştir T1562.001
Kimlik Bilgisi Erişimi OS Kimlik Bilgisi Dökümü: LSASS Belleği T1003.001
Yanal Hareket Uzak Hizmetler: SMB/Windows Yönetim Paylaşımları T1021.002
Sızma C2 Kanalı Üzerinden Sızma T1041
Etki Etki İçin Veri Şifreleme T1486
Etki Sistem Kurtarmayı Engelleme T1490

Uzlaşma Göstergeleri (IoC'ler)

Güvenlik ekipleri, Benzona etkinliğini tespit etmek için aşağıdaki göstergeleri taramalıdır.

Dosya Göstergeleri

  • Uzantı: .benzona
  • Fidye Notu: RECOVERY_INFO.txt
  • Bırakılan Yürütülebilir Dosyalar: %TEMP% ve C:\Windows\Temp içinde rastgele 8 karakterli alfanümerik dosya adları

Ağ Göstergeleri

  • Tor Sohbet Portalı: http://rwsu75mtgj5oiz3alkfpnxnopcbiqed6wllyoffpuruuu6my6imjzuqd.onion/
  • Sızıntı Sitesi: http://benzona6x5ggng3hx52h4mak5sgx5vukrdlrrd3of54g2uppqog2joyd.onion
  • C2 Altyapısı: Standart olmayan portlarda HTTPS üzerinden .icu, .top ve yeni kaydedilmiş .com domainlerine bağlantılar

Dosya Hash'leri (SHA-256)

  • 09f7432834ce15e701aa7fcc84a9c2441c1c7e0a9cb66a6211845be73d2597cc
  • 1c895eeb1d6ab9e5268759558c765b93f4c183557cb2c457857b91532ac61982

Kayıt Defteri Yapıtları

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit — fidye yazılımı yükleyici yolunu içerecek şekilde değiştirildi
  • HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToBackup silinmesi

Şifre Çözme Olasılıkları

Benzona fidye yazılımı için şu anda ücretsiz bir şifre çözücü mevcut değildir. RSA-4096 / AES-256 hibrit şifreleme şeması kriptografik olarak kırılmamıştır.

Ancak kuruluşlar şunları düşünmelidir:

  1. NoMoreRansom.org'u kontrol edin: No More Ransom projesi, kolluk kuvvetlerinden ücretsiz şifre çözücüleri bir araya getirir.
  2. Şifrelenmiş dosyaları koruyun: Yedekten geri yükleseniz bile, şifrelenmiş kopyaları saklayın.
  3. Profesyonel bir olay müdahale firmasıyla çalışın: Bazı durumlarda, IR ekipleri şifreleme işlemi sırasında tamamen kapatılmayan sistemlerde bellek forensiğinden anahtarları kurtardı.

Savunma ve Azaltma Stratejileri

n Benzona fidye yazılımı için şu anda ücretsiz bir şifre çözücü mevcut değildir. Önleme ve hızlı müdahale tek savunmanızdır.

Saldırı Öncesi

  1. Değiştirilemez Yedekler: Çevrimdışı, hava boşluklu veya değiştirilemez bulut yedekleriniz (AWS S3 Object Lock, Azure Immutable Blob Storage) olduğundan emin olun. Benzona özellikle çevrimiçi yedekleri ve gölge kopyaları hedef alır ve siler.
  2. Yama Yönetimi: İnternete bakan sistemleri, özellikle VPN cihazlarını, Exchange ve RDP'ye maruz kalan sistemleri yamalamaya öncelik verin – Benzona'nın tercih ettiği ilk erişim vektörleri.
  3. Ağ Segmentasyonu: Mikrosegmentasyon ile yanal hareketi sınırlayın. Domain denetleyicileri, yedekleme sunucuları ve kritik altyapı genel iş istasyonu ağlarından erişilebilir olmamalıdır.
  4. Ayrıcalıklı Erişim Yönetimi (PAM): Just-in-time ayrıcalık yükseltmeyi zorunlu kılın ve domain yönetici haklarına kimin sahip olduğunu sınırlayın.
  5. Uç Nokta Tespiti ve Müdahalesi (EDR): İşlem enjeksiyonunu (T1055), toplu dosya değişikliklerini ve birim gölge kopyası silmeyi engelleyecek şekilde yapılandırılmış EDR çözümleri dağıtın.
  6. Çok Faktörlü Kimlik Doğrulama: Tüm VPN erişiminde, RDP erişiminde ve ayrıcalıklı hesaplarda MFA'yı zorunlu kılın.

Saldırı Sırasında (İlk Saat)

  1. Enfekte sistemleri hemen ağdan yalıtın – forensik analiz gerekiyorsa kapatmayın.
  2. Çalışan sistemlerde forensik analiz için belleği koruyun (potansiyel anahtar kurtarma).
  3. Müdahale denemeden önce olay müdahale ekibinizi uyarın.
  4. Hemen ödeme yapmayın – ödeme kurtarmayı garanti etmez.

Sonuç

Benzona, 2025'in sonlarında RaaS tehditlerinin devam eden evrimini temsil ediyor. Çifte şantaj, uzatılmış konaklama süresi ve sistematik yedek imhasının kullanımı, onu zorlu bir düşman haline getiriyor. Kuruluşlar, reaktif bir duruştan proaktif bir "ihlal varsayımı" zihniyetine geçmeli, dayanıklılığa ve hızlı iyileşmeye odaklanmalıdır.

Benzona tarafından vurulduysanız, fidyeyi hemen ödemeyin. Seçeneklerinizi değerlendirmek için profesyonel bir olay müdahale ekibiyle iletişime geçin.

Genel Bakış

Bu konu için temel kararlar, riskler ve uygulama adımları.

İlgili Kaynaklar