Bir hack grubu, CyberAtpacks'te Rus kuruluşlarına karşı kullanmak için kendi fidye yazılımlarını yaratmak için Conti'nin sızdırılmış fidyeware kaynak kodunu kullandı.
Ransomware saldırılarını hedef alan ve verileri şifrelemeden haberdar olsa da, Rus kuruluşlarının benzer şekilde saldırıya uğradığını nadiren duyuyoruz.
Bu saldırı eksikliği, Rus hackerlarının genel inançlarından kaynaklanmaktadır, eğer Rus çıkarlarına saldırmazlarsa, daha sonra ülkenin kanun yaptırımı diğer ülkelerdeki saldırılara karşı kör bir göze dönüşecek.
Bununla birlikte, tablolar şimdi, NB65 olarak bilinen bir hack grubu ile şu anda Ransomware saldırılarıyla Rus kuruluşlarını hedef alıyor.
Geçtiğimiz ay boyunca, NB65 olarak bilinen bir hack grubu, Rus kuruluşlarını ihlal ediyor, verilerini çalıyor ve çevrimiçi olarak sızıyor, saldırıların Rusya'nın Ukrayna'nın işgalinden kaynaklandığını uyarıyor.
Hacking Grubu tarafından saldırıya uğradığı iddia edilen Rus kuruluşları arasında Doküman Yönetimi Operatörü Tensörü, Rus Uzay Ajansı Roscosmos ve VGTRK, devlete ait Rus televizyon ve radyo yayıncısı bulunmaktadır.
VGTRK'ya yapılan saldırı özellikle, 900.000 e-posta ve DDOS Secrets web sitesinde yayınlanan 4.000 dosya dahil 786.2 GB veri hırsızlığına yol açtığı için özellikle önemliydi.
Daha yakın zamanlarda, NB65 bilgisayar korsanları, Mart ayının sonundan bu yana Ransomware saldırılarıyla Rus kuruluşlarını hedef alan yeni bir taktike dönüştü.
Bunu daha ilginç yapan şey, hackleme grubunun, üyelerinin Rusya'daki varlıkları saldırmasını yasaklayan Rus tehdit aktörleri olan Conti Ransomware operasyonu için sızıntı yapan kaynak kodunu kullanarak fidye yazılımlarını yarattı.
Conti'nin kaynak kodu, Rusya'yı Ukrayna'ya yapılan saldırı üzerine yönlendirdikten sonra sızdırıldı ve bir güvenlik araştırmacısı, 170.000 iç sohbet mesajı ve operasyonları için kaynak kodunu sızdırdılar.
BleepingComputer ilk önce NB65'in Tom Malka tehdit analisti tarafından saldırılarını öğrendi, ancak bir fidye yazılımı örneği bulamadık ve hack grubu paylaşmaya istekli değildi.
Bununla birlikte, bu dün değişti, NB65'in değiştirilmiş conti fidye yazılımı çalıştırılabilir bir örneği, virustotal'a yüklendiğinde, nasıl çalıştığını bir göz atmamıza izin verdi.
Neredeyse tüm virüsten koruma satıcıları bu örneği conti olarak virustotal olarak tespit eder ve Intezer Analyze ayrıca, aynı kodun% 66'sının normal conti Ransomware örnekleri olarak kullandığını belirledi.
BleepingComputer, NB65'in Ransomware bir koşuyu verdi ve dosyaları şifreleme sırasında, şifreli dosyanın adlarına .nb65 uzantısını ekler.
Ransomware ayrıca, Şifreli Cihaz boyunca R1ADM3.TXT adlı Ransom Notes'u da oluşturacak, Tehditli oyuncular CyberAttack'ı Başkan Vladimir Putin'i işgal etmek için CyberAttack'i suçlayan tehdit aktörleri.
"Çok yakından izliyoruz. Başkanınız savaş suçlarını taklit etmemeliydi. Mevcut durumunuz için suçlayacak birini arıyorsanız, Vladimir Putin'ten daha fazla görünmemektedir," Aşağıda görüntülenen NB65 Ransomware notunu okur.
NB65 HACKING Group'un bir temsilcisi, BleepingComputer'a, ilk conti kaynak kodu sızıntısına şifrelemelerini temel aldıklarını, ancak mevcut şifre dolaşımcılarının işe yaramayacağı için modifiye ettiğini söyledi.
BleepingComputer, "Conti'nin tümü şifreleme sürümlerinin tüm sürümlerinin çalışmayacağı bir şekilde değiştirildi. NB65, BleepingComputer'a, her bir dağıtım, her hedef için değiştiğimiz bir çift değişkeni temel alan randomize bir anahtar oluşturuyor" dedi.
"Bizimle iletişim kurmadan şifresini çözmenin bir yolu yok."
Şu anda, NB65 mağdurlarından herhangi bir iletişim almadı ve bize beklemediklerini söyledi.
NB65'in Rus kuruluşlarına salınmasının nedenleri gelince, kendileri için konuşmalarına izin vereceğiz.
"Bucha'dan sonra, sivillerin sahip olabileceği bazı şirketleri hedef almaya seçtik, ancak yine de Rusya'yı normal olarak faaliyet gösterme yeteneğine etkisi olurdu. Rusça'nın savaş suçları için Rus popüler desteği ezicidir. En başından beri açıklığa kavuşturulduk. Biz Ukrayna'yı destekleyerek. Kelimemizi onurlandıracağız. Rusya, Ukrayna'da tüm düşmanlıkları durdurduğu ve bu saçma savaşın bittiğinde NB65'in Rus İnternet'e bakan varlıklara ve şirketlere saldırmayı bırakacak.
O zamana kadar em.
Rusya dışında herhangi bir hedefi vurmayacağız. Conti ve Sandworm gibi gruplar, diğer Rus Apts ile birlikte, fidye yazılımı, tedarik zinciri hitleri (Solarwinds veya Savunma müteahhitleri) ile birlikte Batı'ya çarpıyorlar ... Onların kendileri ile başa çıkmaları için zaman olduğunu düşündük. "
Daha fazla Conti Ransomware Kaynak Kodu Twitter'da intikamdan kaçtı
Conti Ransomware'in iç sohbetleri Rusya ile oturduktan sonra sızdırılmış
Ransomware çeteleri, bilgisayar korsanları Rusya'nın üzerinde tarafı seçme Ukrayna
Conti Ransomware saldırısının bozulmasıyla Shutterfly hizmetleri
Ransomware'de Hafta - 25 Mart 2022 - Kritik Altyapı
Kaynak: Bleeping Computer