Federal Soruşturma Bürosu (FBI), kovan ransomware saldırılarıyla ilişkili bazı teknik detaylar ve uzlaşma göstergelerini yayınlamıştır.
Nadir görülen bir meydana gelen FBI, Ransomware Gang'in ödeme yapmayan şirketlerden çalınan veri yayınladığı sızıntı alanına bağlantıyı içermiştir.
Hive Ransomware, FBI, FBI'nin, kuruluşların saldırılarına karşı savunmasını zorlaştıran çeşitli taktikler, teknikler ve prosedürler kümesine dayanır.
Çetenin ilk erişim kazanması ve ağda yanal hareket etmesi için kullandığı yöntemler arasında, kötü amaçlı ekler ve uzak masaüstü protokolü (RDP) içeren kimlik avı e-postaları vardır.
Şifreleme rutinini dağıtmadan önce, kovanı fidye yazılımı, mağduru bir veri sızıntısı tehdidi altında ödemek için kurbanı ödemek için değerli olarak değerlendirdikleri dosyaları çaldılar.
FBI, tehdit aktörünün, veri şifreleme görevini engelleyecek ve bunları sonlandıracak olan yedeklemeler, dosya kopyalama ve güvenlik çözümleri (Windows defansı gibi) işlemlerini aradığını söylüyor.
Bu aşamada, kovanı kötü amaçlı yazılımın çalıştırılabilirliğini sildikten sonra kendini kaldırarak kendini kaldırarak bir temizleme rutini yapan bir Cleve.Bat komut dosyasını düşürerek takip eder.
Shadow.BAT adında başka bir komut dosyası, gölge kopyalarını, yedek dosyalarını ve sistem anlık görüntülerini silme ile görevlendirilir ve ardından kendisini tehlikeye atılan ana bilgisayardan kaldırır.
FBI, bazı kovan ransomware mağdurlarının saldırganın tarafından çalınan dosyalar karşılığında fidye ödemelerini istediklerini bildirdiğini bildirdiğini söylüyor.
Ajans, "Ödeme ödemesi için ilk ödeme tarihi 2 ila 6 gün arasında dalgalanıyor, ancak Ajans, flaş bülteninde notlar.
Uzlaşma (IOC'ler) göstergelerinin yanı sıra, FBI ayrıca tehdit aktörünün sızıntı sitesine, teknik raporlarda tipik olarak gizlenmiş bir ayrıntı sağlar.
Kovan Ransomware saldırılarında gözlenen dosyaların bazıları aşağıdakileri içerir:
FBI, tehdit aktörünün ayrıca, birçoğunun, Anonfiles, Mega, Send.Exploit, Ufile veya Sendspace gibi isimsiz dosya paylaşım hizmetlerine dediğini belirtir.
Haziran ayının sonlarında ilk gözlemlense de, Hive Ransomware bu yazdan daha önce 30'dan fazla kuruluşu ihlal etti, sadece fidye ödemeyi reddeden mağdurları içeren bir sayım.
Son zamanlarda bir Hive Ransomware kurbanı, 64 kliniği temsil eden üç hastane ve sağlayıcı içeren bir hizmet ağı sunan Anıt Sağlık Sistemidir.
BleepingComputer tarafından görülen dosyalardan, saldırgan 200.000'den fazla hastaya ait bilgileri içeren veritabanlarını çaldı.
FBI, tehdit aktörlerini daha sonra faaliyete devam etmekten caydırmak için ödeme yapmanızı önermez. Ayrıca, saldırganın satılması yerine çalınan verileri yok edeceğinin veya diğer suçlulara vereceğini garanti yoktur.
Ransomware kurbağının ödeme kararına bakılmaksızın, FBI şirketleri, şirketleri saldırganları izlemek için eleştirel bilgilerle "," ABD Kanunu altında muhasebeleştirecekleri ve gelecekteki saldırıların önlenmesi "konusunda katılımcılara yardımcı olmak için firma yazılımı olaylarını yerel saha ofisine rapor etmeye çağırıyor.
FBI: ONEPERCENT GROUP Ransomware, 2020 yılsından bu yana ABD ORG'lerini hedef aldı
Hive Ransomware saldırıları Anıt sağlık sistemi, hasta verilerini çaldı
CISA, FBI Kaseya Ransomware Saldırısı Kurbanları için Rehberlik
Ragnarok Ransomware kapatıldıktan sonra Master Decryptor'u serbest bıraktı
CEO, Ciderswware'i Ransomware'i dağıtmalarını isteyerek başladığını finanse etti.
Kaynak: Bleeping Computer