ESXI sunucularını hedefleyen devam eden saldırılardan Conti/Trickbot üyelerine yaptırımlara kadar, fidye yazılımı ile ilgili oldukça yoğun bir hafta oldu.
Dünya çapında Esxiargs fidye yazılımı saldırıları, hafta sonu ve haftaya kadar VMware ESXI sunucularını rahatsız etmeye devam etti. Yöneticilere sunucularını kurtarmaya yardımcı olmak için CISA, şifreli sunuculardaki düz dosyalardan sanal makineleri kurtaracak bir komut dosyası yayınladı.
Bununla birlikte, bir gün sonra, daha önce bilinen kurtarma yöntemlerini önleyerek daha fazla veri şifreleyen Esxiargs fidye yazılımının yeni bir sürümü yayınlandı.
Fidye yazılımı çeteleri için böyle sulu bir hedef olan ESXI ile Royal Fidyeware Group için Linux şifrelemesi de sanal makineleri şifrelemek için kendi Linux şifresini geliştirdi.
Ayrıca, yedi hile/conti siber suç örgütü üyesini onaylayan ve DRPK'nın operasyonlarını finanse etmek için Kuzey Kore fidye yazılımı saldırılarının nasıl kullanıldığını detaylandıran bir rapor yayınlayan ABD hükümetinden de haberler aldık.
Veri sızıntısı bölgesindeki birkaç kurban ve faaliyetin uzun bir süresinden sonra, Clop Fidye yazılımı çetesi (TA505) geri döndü ve Goanywhere MFT'de sıfır gün güvenlik açığı kullanılarak saldırıların arkasında olduğunu iddia ediyor.
Fidye yazılımı çetesi, 130 şirketten veri çalma güvenlik açığından yararlandıklarını, ancak bunu bağımsız olarak doğrulayamadık.
Ayrıca, Lockbit nihayet Royal Mail'e saldırı, Kanada'nın Indigo kitap mağazalarına saldırı ve A10 Networks de dahil olmak üzere çeşitli (muhtemel) fidye yazılımı saldırıları hakkında bazı haberler öğrendik.
Bununla birlikte, Huntress Labs'ın bir raporu da Clop'un bu saldırılara dahil olduğunu gösteriyor.
Katkıda bulunanlar ve bu hafta yeni fidye yazılımı bilgileri ve hikayeleri sunanlar arasında @lawrenceAbrams, @MalwrhunterTeam, @Billtoulas, @struppigel, @fwosar, @Bleepincomputer, @Bleepincomuter, @ionut_ilascu, @Serghei, @Serghei Cisagov, @LabsSentinel, @bushidotoken, @asec_analysis, @pcrisk, @valerymarchive ve @BrettCallow.
Royal Ransomware, Linux cihazlarının en son kötü amaçlı yazılım varyantlarına şifrelemeye destek eklemek için en son fidye yazılımı işlemidir, özellikle VMware ESXI sanal makinelerini hedefler.
VMware, bugün müşterileri en son güvenlik güncellemelerini yüklemeleri ve internete maruz kalan ve savunmasız ESXI sunucularına karşı fidye yazılımı saldırılarının büyük ölçekli bir kampanyasında hedeflenen OpenSLP hizmetini devre dışı bırakmaları konusunda uyardı.
Analiz ve kum havuzu algılamasından kaçınmak için, Darkside fidye yazılımı yalnızca yükleyici ve veri dosyasının her ikisi de mevcut olduğunda çalışır. “Msupdate64.exe” adına sahip yükleyici, kodlanmış fidye yazılımını içeren ve normal bir işlemin bellek alanında fidye yazılımlarını çalıştıran aynı yolda “config.ini” veri dosyasını okur. Fidye yazılımı yalnızca belirli bir argüman eşleştiğinde çalışacak şekilde yapılandırılır. Daha sonra kendisini görev zamanlayıcısına kaydedecek ve periyodik olarak çalıştırır.
Lockbit fidye yazılımı operasyonu, İngiltere'nin önde gelen posta dağıtım hizmeti Royal Mail'deki siber saldırıyı, şirketi "ciddi hizmet kesintisi" nedeniyle uluslararası nakliye hizmetlerini durdurmaya zorlayan iddia etti.
Clop fidye yazılımı çetesi artık Linux sunucularını açıkça hedefleyen bir kötü amaçlı yazılım varyantı kullanıyor, ancak şifreleme şemasındaki bir kusur, kurbanların dosyalarını aylarca sessizce kurtarmasına izin verdi.
Rus vatandaşı Denis Mihaqlovic Dubnikov Salı günü üç yıldan fazla bir süredir kötü şöhretli Ryuk Fidye Grubu için para aklama konusunda suçlu bulundu.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), son yaygın Esxiargs fidye yazılımı saldırıları tarafından şifrelenen VMware ESXI sunucularını kurtarmak için bir senaryo yayınladı.
Pccrisk, rastgele uzantılar (.1IYT6bav7vywm5) gibi görünen ve adrianov.txt adlı bir fidye notu bırakan yeni bir Chaos Fidye yazılımı varyantı buldu.
Yeni Esxiargs fidye yazılımı saldırıları artık daha kapsamlı miktarda veriyi şifreliyor, bu da imkansız olmasa da, şifreli VMware ESXI sanal makinelerini kurtarmayı çok daha zorlaştırıyor.
Söz konusu olayı araştırarak ve kök neden analizini (RCA) takip ederek Huntress, bu müdahaleyi yakın zamanda açıklanan bir kırılganlığa ve önde gelen fidye yazılımı gruplarına bağlı uzun süredir devam eden bir sömürü sonrası çerçeveye bağlayabildi.
Kanada'nın en büyük kitapçı zinciri olan Indigo Books & Music, dün bir siber saldırı tarafından vuruldu ve şirketin web sitesini müşteriler için kullanılamamasına ve sadece nakit ödemeleri kabul etmesine neden oldu.
Amerika Birleşik Devletleri ve Birleşik Krallık, kötü amaçlı yazılımlar Conti ve Ryuk fidye yazılımı operasyonunun saldırılarını desteklemek için kullanılan hile bot siber suç grubuna dahil oldukları için yedi Rus kişiyi onayladılar.
Pccrisk, .vvmm uzantısını ekleyen yeni bir stop fidye yazılımı varyantı buldu.
Kaliforniya merkezli ağ donanım üreticisi 'A10 Networks', BleepingComputer'a Play Fidansware Gang'ın BT altyapısına ve tehlikeye atılan verilere kısaca erişim kazandığını doğruladı.
Clop fidye yazılımı çetesi, Goanywhere MFT Secure Dosya aktarım aracında sıfır gün güvenlik açığından yararlanan son saldırıların arkasında olduğunu iddia ederek 130'dan fazla kuruluştan veri çaldıklarını söyledi.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı'ndan (CISA) yeni bir siber güvenlik danışmanlığı, Halk Sağlığı ve diğer kritik altyapı sektörlerine karşı Kuzey Kore fidye yazılımı operasyonlarında gözlemlenen yakın zamanda gözlenen taktik, teknik ve prosedürleri (TTP'ler) açıklamaktadır.
Pcrisk, .vvoo uzantısını ekleyen yeni bir stop fidye yazılımı varyantı buldu.
ABD ve İngiltere yaptırım hilesi ve fidye yazılımı operasyon üyeleri
Ransomware'de Hafta - 3 Şubat 2023 - Bir karmaşa ile bitiyor
Lockbit Fidye Yazılımı 'Yeşil, Yeni Conti tabanlı şifreleyici kullanıyor
Ransomware'de Hafta - 20 Ocak 2023 - Kripto Borsalarını Hedefleme
Fidye Yazılımında Hafta - 6 Ocak 2023 - Hedef Hedefi
Kaynak: Bleeping Computer