İlk olarak Ağustos 2021'de keşfedilen bir gerginlik olan kuantum fidye yazılımı, hızlı bir şekilde yükselen hızlı saldırılar gerçekleştirerek, savunuculara tepki vermek için çok az zaman bıraktı.
Tehdit aktörleri, buzlu kötü amaçlı yazılımları, uzaktan erişim için kobalt grevini dağıtan ve Quantum Locker kullanarak veri hırsızlığı ve şifrelemeye yol açan ilk erişim vektörlerinden biri olarak kullanıyor.
Kuantum fidye yazılımı saldırısının teknik detayları, saldırının ilk enfeksiyondan şifreleme cihazlarının tamamlanmasına kadar sadece 3 saat 44 dakika sürdüğünü söyleyen DFIR raporundaki güvenlik araştırmacıları tarafından analiz edildi.
DFIR raporu tarafından görülen saldırı, buzlu kötü amaçlı yazılımları, bir ISO dosya eki içeren bir kimlik avı e -postasıyla geldiğine inandıkları hedef makinesine ilk erişim olarak kullandı.
IbicedId, son beş yıldır, öncelikle ikinci aşama yük dağıtım, yükleyiciler ve fidye yazılımı için kullanılan modüler bir bankacılıktır.
Icedid ve ISO arşivlerinin kombinasyonu son zamanlarda diğer saldırılarda kullanılmıştır, çünkü bu dosyalar e -posta güvenlik kontrollerinden geçmek için mükemmeldir.
İlk enfeksiyondan iki saat sonra, tehdit aktörleri algılamadan kaçınmak için kobalt grevini bir C: \ windows \ syswow64 \ cmd.exe'ye enjekte eder.
Bu aşamada, davetsiz misafirler LSASS'ın belleğini boşaltarak Windows Domain kimlik bilgilerini çaldılar ve bu da ağdan yanal olarak yayılmalarına izin verdiler.
Raporda DFIR, "Bir sonraki saat boyunca, tehdit oyuncusu çevredeki diğer sunuculara RDP bağlantıları yapmaya devam etti."
"Tehdit oyuncusu alan adının düzeni üzerinde bir ele aldıktan sonra, fidye yazılımlarını (ttsel.exe olarak adlandırılan) C $ Share klasöründen her ana bilgisayara kopyalayarak fidye yazılımlarını dağıtmaya hazırlandılar."
Sonunda, tehdit aktörleri kuantum fidye yazılımı yükü ve şifreleme cihazlarını dağıtmak için WMI ve Psexec kullandı.
Bu saldırı sadece dört saat sürdü, bu oldukça hızlı ve bu saldırılar gece geç saatlerde veya hafta sonu yaygın olarak gerçekleştikçe, ağ ve güvenlik yöneticilerinin saldırıyı tespit etmesi ve yanıtlaması için büyük bir pencere sağlamaz.
Quantum Locker tarafından kullanılan TTP'ler hakkında daha fazla ayrıntı için DFIR raporu, uzlaşma göstergelerinin yanı sıra iletişim için bağlı buzlu ve kobalt grevinin C2 adreslerinin kapsamlı bir listesini sağlamıştır.
Quantum Locker Fidyeware, Eylül 2020'de piyasaya sürülen Mountlocker Ransomware operasyonunun bir yeniden markasıdır.
O zamandan beri, fidye yazılımı çetesi, astrolocker, xinglocker ve şimdi mevcut aşamasında Quantum Locker da dahil olmak üzere çeşitli isimlere yeniden markaladı.
Kuantumun yeniden markası, fidye yazılımı şifrelemesinin .quantum dosya uzantısını şifrelenmiş dosya adlarına eklemeye ve ReadMe_to_Decrypt.html adlı fidye notlarını düşürmeye başladığı Ağustos 2021'de gerçekleşti.
Bu notlar bir Tor Ransom müzakere sitesine ve kurbanla ilişkili benzersiz bir kimliğe bağlantı içerir. Fidye notları, saldırı sırasında verilerin çalındığını ve saldırganların bir fidye ödenmemesi durumunda yayınlamakla tehdit ettiğini belirtiyor.
DFIR raporu, analiz ettikleri saldırıda veri açığa vurma etkinliği görmediklerini belirtirken, BleepingComputer geçmişte saldırılar sırasında veri çaldıklarını ve çift genişlemeli şemalarda sızdırdıklarını doğruladı.
Bu çete için fidye talepleri, kurbana bağlı olarak değişir, bazı saldırılar bir şifreleme almak için 150.000 dolar talep ederken, BleepingComputer tarafından görülen diğerleri, aşağıda gösterildiği gibi multi milyon dolarlık taleplerdir.
Neyse ki, Quantum Locker her ay sadece bir avuç saldırı ile önceki enkarnasyonları gibi çok aktif bir operasyon değil.
Bununla birlikte, Conti, Lockbit ve Avos gibi diğer fidye yazılımı işlemleri kadar aktif olmasa da, hala önemli bir risktir ve ağ savunucularının saldırılarıyla ilgili TTP'lerin farkında olmaları önemlidir.
Snap-on, Conti Fidye yazılım çetesi tarafından talep edilen veri ihlalini açıklar
Shutterfly, Conti fidye yazılımı saldırısından sonra veri ihlalini açıklar
Bazarbackdoor kötü amaçlı yazılımları yaymak için kullanılan kurumsal web sitesi iletişim formları
Revil Ransomware Üyesi, Kaseya saldırısı için yargılanmak üzere ABD'ye iade edildi
Microsoft Exchange Sunucuları Hive Fidye Yazılımını Dağıtmak İçin Hacklendi
Kaynak: Bleeping Computer