Cheerscrypt fidye yazılımı, fidye yazılımı aileleri arasında sık sık atıftan kurtulmak için geçiş yaptığı bilinen 'İmparator Yahudi' adlı bir Çin hackleme grubuna bağlandı.
Fidye yazılımı çetesi, Bronz Starlight (SecureWorks) ve Dev-0401 (Microsoft) gibi farklı isimler altında izlenir ve 2021'den beri çok çeşitli fidye yazılımı aileleri kullanılarak görülmektedir.
Hacking grubu fidye yazılımı operasyonu olarak faaliyet gösteriyor gibi görünse de, önceki araştırmalar kurbanlarının çoğunun Çin hükümeti için ilgi hedefleri olduğunu gösteriyor.
Bu, araştırmacıların hackleme grubunun fidye yazılımı faaliyetlerinin Çin hükümet destekli siber casusluk kampanyaları için bir kapak olabileceğine inanmasına neden oldu.
Bu yılın başlarında bir olay yanıtı sırasında, Sygnia'nın güvenlik uzmanları, bilgisayar korsanlarının, gece gökyüzü ttps'lerinin DLL-sideloading teknik karakteristiği başlatan PowerShell komutlarını yürütmek için Apache 'Log4Shell' Log4J güvenlik açığından (CVE-2021-44228) kullandıklarını belirledi.
Daha sonra, davetsiz misafirler daha önce gece gökyüzü operasyonlarıyla ilişkili bir C2 adresine bağlı bir kobalt grev işaretini düşürdüler.
Saldırganlar, fidye yazılımı alanında nadiren görülen üç Go aracı kullandı: değiştirilmiş bir Aliyun OSS Keylogger, 'IOX' port-forwarding ve proxy aracının özelleştirilmiş bir sürümü ve 'NPS' tünelleme aracının özelleştirilmiş bir sürümü.
Keşif ve yanal hareketten sonra, geçmiş gece gökyüzü saldırılarının ayak izlerini takiben, konuşlandırılan fidye yazılımı suşu gece gökyüzü değil, cheerscrypt, pencereleri ve Linux ESXI makinelerini şifreledi.
Trend Micro, araştırmacıların VMware ESXI sunucularını hedefleyen bir şifreleme bulduktan sonra Mayıs 2022'de 'Şerefe' fidye yazılımlarını gördü.
Diğer kurumsal hedefleme fidye yazılımı grupları gibi, bilgisayar korsanları ihlalleri, verileri çalın ve şifreleme cihazlarını çalın. Veriler daha sonra bir kurbanı fidye ödemeye baskı yapmak için çift uzatma taktiklerinde kullanılır. Bir fidye ödenmezse, çalınan veriler aşağıda gösterilen bir veri sızıntısı sitesinde yayınlanır.
Sygnia'ya göre, CheersCrypt, İmparator Dragonfly'nin sürekli yük yeniden markalama çabalarından başka bir tanedir ve atıftan kaçmaya çalışır.
Fidye yazılımı grubu, bağlı kuruluşlar için bir RAAS (Hizmet Olarak Fidye Yazılımı) platformu olarak değil, siber suç topluluğunun geri kalanından izole edilen bir "yalnız kurt" olarak çalışıyor.
SecureWorks tarafından yapılan bir Haziran 2022 raporu, belirli bir tehdit oyuncunun, finansal olarak motive edilen saldırılar olarak hükümet destekli siber sorumluluk kampanyalarını maskelemek için gece gökyüzü, Rook, Pandora ve Atomsilo gibi fidye yazılımı ailelerini kullandığını varsaydı.
Aynı ay Microsoft, fidye yazılımı operasyonları hakkındaki bir makaleyi, Dev-0401 olarak izledikleri ve onları Çin tehdit aktörlerine bağladıkları hack grubunu içerecek şekilde güncelledi.
Microsoft Tehdit İstihbarat Araştırmacıları, "Burada profillenen diğer RAAS geliştiricileri, iştirakleri ve erişim brokerlerinden farklı olan Dev-0401, ilk erişimden fidye yazılımı gelişimine, saldırı yaşam döngüsünün tüm aşamalarında yer alan bir etkinlik grubu gibi görünüyor."
"Buna rağmen, fidye yazılımı yüklerinin sık sık yeniden markalanmasıyla başarılı RAAS operasyonlarından biraz ilham alıyorlar."
"Microsoft, DEV-0401 tarafından izlenen insan tarafından işletilen fidye yazılımı tehdit aktörleri arasında benzersiz bir Çin merkezli etkinlik grubu olduğu doğrulandı."
SecureWorks gibi Microsoft da, Lockfile ve Lockbit 2.0 gibi ek suşlar da dahil olmak üzere fidye yazılımı markaları arasında sürekli geçiş yaptıklarını buldu.
Gece Sky, Pandora ve Rook, sızdırılmış Babuk kaynak kodundan türetildi ve kodlarında çok sayıda benzerlik paylaştı. Buna ek olarak, Trend Micro daha önce CheersCrypt'in Babuk'u da temel olarak kullandığını, böylece parçaların uygun olduğunu belirtti.
'İmparator Dragonfly' nin asıl amacı ne olursa olsun, grup genellikle internete maruz kalan sunuculardaki güvenlik açıklarını hedeflediğinden, cihazlarınıza mümkün olan en kısa sürede güvenlik güncellemelerini uygulamak önemlidir.
Grubun VMware Horizon sunucularındaki LOG4J güvenlik açığını hedeflediği bilindiği için, bu cihazlara yamalar uygulamak tüm kuruluşlar için bir öncelik olmalıdır.
BlackByte Fidye Yazılımı, güvenlik ürünlerini devre dışı bırakmak için yasal sürücüyü kötüye kullanır
Avast, Hades Ransomware varyantları için Ücretsiz DeRryptor'u Sürdürür
Netwalker Fidye Yazılımı Satış Ortağı 20 yıl hapis cezasına çarptırıldı
Fidye yazılımı çetesi LAUSD okul sisteminden çalınan veriler
Ransomware'de Hafta - 30 Eylül 2022 - Gölgelerden Ortaya Çıkıyor
Kaynak: Bleeping Computer