Yeni bir şeker fidye yazılımı operasyonu, düşük fidye taleplerine sahip, kurumsal ağlardan ziyade, bireysel bilgisayarları aktif olarak hedeflemektedir.
Walmart Güvenlik Ekibi tarafından keşfedilen ilk önce 'Sugar', Kasım 2021'de başlatılan ancak yavaş yavaş hızlanan yeni bir Ransomware-AS-AS-AS-Can (Raas) operasyonudur.
Ransomware'in adı, Walmart tarafından 'Sugarpanel [.] Space' de keşfedilen iştiraki sitesine dayanmaktadır.
Haberlerde okuduğunuz en fazla fidye yazılımı operasyonu, şeker, kurumsal ağları hedefliyor gibi görünmüyor, ancak muhtemelen tüketicilere veya küçük işletmelere ait olan bireysel cihazlar.
Bu nedenle, fidye yazılımının nasıl dağıtıldığı veya mağdurları bulaştığı açık değildir.
Başlatıldığında, Cihazın IP adresini ve coğrafi konumunu almak için Şeker Ransomware whatismyipaddress.com ve IP2Location.com'a bağlanacaktır.
Daha sonra http: // cdn 2546713.cdn megafiles [.] Com / data 23072021_1.dat adresinden 76MB dosyayı indirmeye devam edecektir, ancak bu dosyanın nasıl kullanıldığı açık değildir.
Son olarak, Ransomware işleminin komutu ve kontrol sunucusuna, 179.43.160.195 tarihinde, saldırı ile ilgili verileri iletti ve aldığı. Ransomware, yürütüldüğü için komuta ve kontrol sunucusuna geri dönmeye devam edecek, muhtemelen saldırının durumu ile RAA'ları güncelledi.
Dosyaları şifrelerken, Ransomware aşağıdaki klasörlerde listelenenler dışında her dosyayı şifreleyecek veya aşağıdaki dosya adlarına sahip olacaktır:
Walmart araştırmacıları, Ransomware'in SCOP şifreleme algoritmasını kullanarak dosyaları şifreldiğini söylüyor. Şifreli dosyalar, aşağıda gösterildiği gibi, dosya adlarına eklenen .encoded01 uzantısına sahip olacaktır.
Ransomware, bilgisayardaki dosyalar için taranan her klasörde Backfiles_encoded01.txt adlı Ransom Notes'ı da oluşturacaktır.
Bu Ransom Notu, kurbanın dosyalarına, benzersiz bir kimliğine, benzersiz bir kimlik ve fidye nasıl ödeyeceğiniz hakkında bilgi içeren bir link ile ilgili bilgileri içerir. Tor bölgesi chat5sqrnzqewampznybomgn4hf2m53tybkarxk4sfaktwt7oqpkcvyd.onion adresinde bulunur.
Tor sitesini ziyaret ederken, kurban, bir fidye, bir sohbet bölümü ve beş dosyanın ücretsiz olarak şifresini çözme yeteneği olan Bitcoin adresini içeren kendi sayfalarıyla sunulacaktır.
Bu operasyonun fidye talepleri çok düşüktür, BleepingComputer tarafından görülen saldırılarla bir anahtar almak için sadece birkaç yüz dolar talep eder. Garip bir şekilde, test kutumuzda, ortaya çıkan fidye talebi sadece 4.01 dolar değerinde sadece 0.00009921 bitcoin oldu.
BleepingComputer, sanal bir makinede fidye yazılımını az sayıda dosyayla test ettiğinden, fidye yazılımının şifreli dosyaların sayısına göre fidye miktarını oluşturduğunu gösterebilir.
Çoğu fidye yazılımı enfeksiyonunun aksine, kötü amaçlı yazılım çalıştırılabilir şifreleme bittikten sonra bile çalışır. Ancak, otomatik başlatma ayarı oluşturulmaz ve yeni belgeleri şifrelemeye devam etmek için görünmüyor.
Şu anda, fidye yazılımının ücretsiz şifre çözme yapmasına izin verebilecek zayıf yönleri varsa belirsizdir. Daha fazla bilgi mevcut olduğundan bu makaleyi güncelleyeceğiz.
Ayrıca, bu fidye yazılımından etkilenirseniz, lütfen bize nasıl enfekte olduğunuzu bildirin.
Kanun İcra Eylemi Ransomware çetelerini cerrahi saldırılara itmek
Puma, Kronos Ransomware saldırısından sonra veri ihlaliyle çarptı
Hedefcompany Ransomware Mağdurları için Serbest Decryptor Yayınlandı
Blackpat (Alphv) Blackmatter, Darkside Çetelerle Bağlantılı Ransomware
Ransomware'deki hafta - 4 Şubat 2022 - Kritik Altyapı
Kaynak: Bleeping Computer