İlk olarak Ağustos 2021'de keşfedilen bir gerginlik olan kuantum fidye yazılımı, hızlı bir şekilde yükselen hızlı saldırılar gerçekleştirerek, savunuculara tepki vermek için çok az zaman bıraktı.
Tehdit aktörleri, buzlu kötü amaçlı yazılımları, uzaktan erişim için kobalt grevini dağıtan ve Quantum Locker kullanarak veri hırsızlığı ve şifrelemeye yol açan ilk erişim vektörlerinden biri olarak kullanıyor.
Kuantum fidye yazılımı saldırısının teknik detayları, saldırının ilk enfeksiyondan şifreleme cihazlarının tamamlanmasına kadar sadece 3 saat 44 dakika sürdüğünü söyleyen DFIR raporundaki güvenlik araştırmacıları tarafından analiz edildi.
DFIR raporu tarafından görülen saldırı, IceDID kötü amaçlı yazılımını, bir ISO dosya eki içeren bir kimlik avı e-postası üzerinden geldiklerine inandıkları hedef makinesine ilk erişim olarak kullandı.
IbicedId, son beş yıldır, öncelikle ikinci aşama yük dağıtım, yükleyiciler ve fidye yazılımı için kullanılan modüler bir bankacılıktır.
Icedid ve ISO arşivlerinin kombinasyonu son zamanlarda diğer saldırılarda kullanılmıştır, çünkü bu dosyalar e -posta güvenlik kontrollerinden geçmek için mükemmeldir.
İlk enfeksiyondan iki saat sonra, tehdit aktörleri bir C: \ Windows \ syswow64 \ cmd.exe işleminden kaçmak için kobalt grevi enjekte edilir.
Bu aşamada, davetsiz misafirler LSASS'ın belleğini boşaltarak Windows Domain kimlik bilgilerini çaldılar ve bu da ağdan yanal olarak yayılmalarına izin verdiler.
"Bir sonraki saat için, tehdit aktörünün çevredeki diğer sunuculara RDP bağlantılarını yapmaya başladı" detayları raporda.
"Tehdit aktörünün etki alanının düzeninde bir tutamadıktan sonra, fidye yazılımını (adlı ttsel.exe), C $ paylaşım klasörü aracılığıyla her bir sunucuya kopyalayarak ransomware'i dağıtmaya hazırladılar."
Sonunda, tehdit aktörleri Kuantum Ransomware yükü yükünü ve cihazları şifrelemek için WMI ve PSEXEC'yi kullandı.
Bu saldırı sadece dört saat sürdü, bu da oldukça hızlı ve bu saldırılar genellikle gece geç saatlerde ya da hafta sonu geçerken, ağ ve güvenlik yöneticilerinin saldırıyı tespit etmeyi ve yanıt vermesi için büyük bir pencere sağlamaz.
Quantum Locker tarafından kullanılan TTP'ler hakkında daha fazla ayrıntı için DFIR raporu, uzlaşma göstergelerinin yanı sıra iletişim için bağlı buzlu ve kobalt grevinin C2 adreslerinin kapsamlı bir listesini sağlamıştır.
Kuantum Locker Ransomware, Eylül 2020'de başlatılan MountLocker Ransomware operasyonunun bir rebrand'dır.
O zamandan beri, Ransomware Gang, Operasyonunu Astrolocker, Xinglocker ve şimdi mevcut aşamasında, kuantum dolabı dahil olmak üzere çeşitli adlara yeniden tahsis etti.
Kuantumun yeniden markası, fidye yazılımı şifrelemesinin .quantum dosya uzantısını şifrelenmiş dosya adlarına eklemeye ve ReadMe_to_Decrypt.html adlı fidye notlarını düşürmeye başladığı Ağustos 2021'de gerçekleşti.
Bu notlar bir Tor Ransom müzakere sitesine ve kurbanla ilişkili benzersiz bir kimliğe bağlantı içerir. Fidye notları, saldırı sırasında verilerin çalındığını ve saldırganların bir fidye ödenmemesi durumunda yayınlamakla tehdit ettiğini belirtiyor.
DFIR Raporu, analiz edildikleri saldırıda hiçbir veri çıkartma faaliyeti görmediğini belirtirken, BleepingComputer, geçmişte, saldırılar sırasında veri çaldıklarını ve çift gaspli şemalarda sızdığını onaylamıştır.
Bu çete için fidye talepleri, kurbana bağlı olarak değişir, bazı saldırılar bir şifreleme almak için 150.000 dolar talep ederken, BleepingComputer tarafından görülen diğerleri, aşağıda gösterildiği gibi multi milyon dolarlık taleplerdir.
Neyse ki, Kuantum Locker, önceki enkarnasyonları gibi çok aktif bir işlem değil, her ay sadece bir avuç saldırı ile.
Bununla birlikte, Conti, Lockbit ve AVOS gibi diğer fidye yazılımı işlemleri kadar aktif olmasa da, hala önemli bir risk altındadır ve ağ savunucularının saldırıları ile ilgili TTPS'nin farkında olmaları önemlidir.
Snap-on, Conti Fidye yazılım çetesi tarafından talep edilen veri ihlalini açıklar
Shutterfly, Conti fidye yazılımı saldırısından sonra veri ihlalini açıklar
Bazarbackdoor kötü amaçlı yazılımları yaymak için kullanılan kurumsal web sitesi iletişim formları
Revil Ransomware Üyesi, Kaseya Saldırısı için yargılanmak için U.
Microsoft Exchange sunucuları, kovan fidye yazılımını dağıtmak için saldırdı
Kaynak: Bleeping Computer