Latin Amerika'daki kilit organizasyonları tehlikeye atan daha önce bilinmeyen bir 'Arcrypter' fidye yazılımı, şimdi dünya çapındaki saldırılarını genişletiyor.
Yeni fidye yazılımı ailesinin arkasındaki tehdit aktörleri, geçen Ağustos ayında Şili'de bir devlet kurumuna saldırdı, hem Linux hem de Windows sistemlerini hedef aldı ve şifreli dosyalara “.Crypt” uzantısını ekledi.
O zamanlar Şili tehdidi analisti Germán Fernández, BleepingComputer'a, gerginliğin bilinen herhangi bir fidye yazılımı ailesine bağlı olmadığını tamamen yeni göründüğünü söyledi.
BlackBerry'deki araştırmacılar bunu, aileyi Arcrypter olarak tanımlayan ve Ekim ayında Kolombiya Ulusal Gıda ve İlaç Gözetim Enstitüsü'ne (Invima) ikinci bir saldırıya bağlayan yeni bir raporla doğruladılar.
BlackBerry ayrıca Arcrypter'ın şimdi Latin Amerika dışındaki faaliyetlerini genişlettiği ve Çin ve Kanada da dahil olmak üzere dünya çapında çeşitli organizasyonları hedeflediği konusunda uyarıyor.
BleepingComputer bu genişlemeyi doğruladı ve aynı zamanda Almanya, ABD ve Fransa'daki Arcrypter kurbanlarını gördü.
Fidye talepleri değişir ve BleepingComputer tarafından görülen bazı durumlarda 5.000 $ kadar düşük olur, bu nedenle Arcrypter orta kademe fidye yazılımı aktörü olarak çalışır.
BlackBerry, Arcrypter'ın ilk örneklerinin Şili saldırısından birkaç hafta önce Ağustos 2022'nin başlarında ortaya çıktığını söylüyor.
Saldırı vektörü bilinmemektedir, ancak analistler “Win.exe” içeren bir “Win.zip” arşivi getirmek için uzak kaynaklar olarak kullanılan iki anonfil URL'leri bulabildiler.
Yürütülebilir dosyalar, kaynaklar bin ve html kaynakları içeren bir damlalık dosyasıdır. HTML fidye notu verilerini tutarken, BIN parola gerektiren şifreli veriler içerir.
Bir şifre sağlanırsa, BIN, rastgele alfasayısal karakterler kullanılarak adlandırılan ikinci aşama yükü saklamak için tehlikeye atılan makinede rastgele bir dizin oluşturur.
Raporda BlackBerry, “Bin kaynağının şifre çözme için kullanılan doğru şifre çözme anahtarını tanımlayamasak da, ikinci yükün Arcrypter fidye yazılımı olduğuna inanıyoruz” diyor.
Arcrypter yükü, aşağıdaki kayıt defteri anahtarını ekleyerek kalıcılık yaratır:
"HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ SecurityUpdate"
Ardından, kötü amaçlı yazılım, kolay veri restorasyonunu önlemek için tüm gölge hacmi kopyalarını siler, ağ ayarlarını kararlı bağlantıyı güvence altına almak için değiştirir ve ardından aşağıda gösterilen türler hariç tüm dosyaları şifreler.
Sistemi tamamen kullanılamaz hale getirmekten kaçınmak için “Boot” ve “Windows” klasörleri gibi kritik konumlardaki dosyalar da atlanır.
".Crypt" uzantısının yanı sıra, şifrelenmiş dosyalar, aşağıdaki kayıt defteri anahtarlarındaki değişiklikler sayesinde dosya yöneticisinde "tüm dosyalarınız şifrelendi" mesajını gösterecektir:
Tehdit aktörleri saldırıları sırasında veri çalmayı iddia ederken, fidye yazılımı işleminin şu anda ödenmemiş kurbanlar için veri yayınlamak için kullandıkları bir veri sızıntısı sitesi yoktur.
Şu anda, Arcrypter operatörleri, kökenleri, dilleri ve diğer fidye yazılımı çetelerine potansiyel bağlantılar hakkında çok az şey biliniyor.
Ransomware'de Hafta - 18 Kasım 2022 - Yükselen Operasyonlar
FBI: Hive fidye yazılımı, 1.300'den fazla kurbandan 100 milyon dolarlık zorlandı
Ransomware'de Hafta - 28 Ekim 2022 - Sağlık Sızıntıları
Pendragon Araba Bayi 60 milyon dolarlık Lockbit Fidye Yazılımı Taleb
Tommyleaks ve Schoolboys: Aynı fidye yazılımı çetesinin iki tarafı
Kaynak: Bleeping Computer