Bu hafta, programcıları Lockbit 3.0 şifrelemesi için bir fidye yazılımı oluşturucu sızdırdığında Lockbit Fidye Yazılımı işlemi için biraz utanç gördük.
Ransomware Builder'ı çalıştırmak basittir ve hızlı bir şekilde bir şifreleme, özel/genel şifreleme anahtarları ve sadece bir toplu dosya çalıştırarak bir şifreleme oluşturur.
Lockbit 3.0 fidye yazılımı oluşturucu, herhangi bir tehdit aktörünün özel fidye notlarını kullanacak şekilde ekteki yapılandırma dosyasını değiştirerek kendi işlemlerini sunmasını kolaylaştırır.
Fidye yazılımı işlemleri geçmişte Babuk fidye yazılımı üreticisi ve Conti kaynak kodunun sızıntılarından başlatıldı.
Bu hafta diğer araştırmalar, Blackmatter fidye yazılımı çetesinin, çift genişlemeli saldırılar için veri pessfiltrasyon aracını yükselterek nasıl gelişmeye devam ettiğini gösteriyor.
Bu hafta, New York Racing Association ve New York Ambulans Servisi de dahil olmak üzere fidye yazılımı saldırıları hakkında daha fazla bilgi edindik.
Katkıda bulunanlar ve bu hafta yeni fidye yazılımı bilgileri ve hikayeleri sunanlar arasında şunlardır: @struppigel, @danielgallagher, @Demonslay335, @Malwrhunterteam, @seifreed, @fwosar, @Bleepincomputer, @FourocTets, @Billtoulas, @Billtoulas @İonut_ilascu, @vk_intel, @lawrenceAbrams, @serghei, @s2w_official, @Geekscyber, @Broadcomsw, @Vxunderground, @PogowasRight, @Ahnlab_Secuinfo ve @Zcaler.
New York merkezli bir acil müdahale ve ambulans hizmet sağlayıcısı olan İmparatoriçe EMS (Acil Tıbbi Hizmetler), müşteri bilgilerini ortaya çıkaran bir veri ihlali açıkladı.
Pcrisk, .aawt, .aabn, .aamv ve .aayu uzantısını ekleyen yeni stop fidye yazılımı varyantları buldu.
Pccrisk, .Duck uzantısını ekleyen yeni bir Phobos Ransomware varyantı buldu ve info.txt ve info.hta adlı bir fidye notu bıraktı.
Pccrisk, .Joker uzantısını ekleyen yeni bir voidcrypt fidye yazılımı varyantı buldu ve şifre çözme-guide.txt ve şifre çözme-guide.hta adlı bir fidye notu bıraktı.
Pccrisk, .Minex uzantısını ekleyen ve ReadMe.txt adlı bir fidye notu bırakan yeni bir VSOP fidye yazılımı varyantı buldu.
Hive fidye yazılımı operasyonu, daha önce 30 Haziran 2022'de bir siber saldırının BT operasyonlarını ve web sitesi kullanılabilirliğini ve tehlikeye atılan üye verilerini etkilediğini açıklayan New York Yarış Derneği'ne (NYRA) yapılan bir saldırının sorumluluğunu üstlendi.
Pccrisk, .blackbit uzantısını ekleyen ve restore-my-files.txt ve info.hta adlı fidye notlarını düşüren Blackbit adlı bir fidye yazılımı buldu.
Lockbit fidye yazılımı işlemi, hoşnutsuz bir geliştiricinin çetenin en yeni şifrelemesi için inşaatçıya sızdığı iddia edilen bir ihlal geçirdi.
Crytox fidye yazılımı kullanan tehdit oyuncusu en az 2020'den beri aktif, ancak diğer birçok fidye yazılımı ailesinden önemli ölçüde daha az ilgi gördü. Eylül 2021'de Hollanda merkezli şirket RTL, tehdit oyuncusu tarafından tehlikeye atıldıklarını açıkça kabul etti. Şirket Crytox'u 8.500 Euro ödedi. Mevcut fidye talepleriyle karşılaştırıldığında, bu miktar nispeten düşüktür. Çoğu fidye yazılımı grubunun aksine, Crytox tehdit oyuncusu, verilerin hem şifrelendiği hem de fidye için tutulduğu çift gasp saldırıları gerçekleştirmez.
Blackcat fidye yazılımı (diğer adıyla ALPHV) yavaşlama belirtisi göstermiyor ve evriminin en son örneği, çetenin çift genişlemeli saldırılar için kullanılan veri açığa çıkma aracının yeni bir versiyonudur.
Build.bat, Keygen.exe ve Builder.exe'yi yürüterek oluşturulan anahtar çifti kullanarak bir Lockbit 3.0 fidye yazılımı oluşturarak bir RSA genel/özel anahtar çifti oluşturur.
Bu, 21 Eylül 2022'de çevrimiçi olarak sızan Lockbit 3.0 Builder analizimiz.
MalwareHunterTeam, GTA 6 kaynak kodu gibi davranan birkaç fidye yazılımı örneği buldu.
Pcrisk, .orca uzantısını ekleyen ve how_to_recover_data.hta fidye notunu düşüren yeni bir Zeppelin fidye yazılımı varyantı buldu.
Pccrisk, .ofoq, .ofww ve .oflg uzantısını ekleyen yeni Stop fidye yazılımı varyantları buldu.
ASEC analiz ekibi, savunmasız MS-SQL sunucularına dağıtılan kötü amaçlı yazılımları sürekli olarak izlemektedir. Analiz ekibi yakın zamanda savunmasız MS-SQL sunucularını hedefleyen Fargo fidye yazılımının dağılımını keşfetti. GlobeImposter ile birlikte Fargo, savunmasız MS-SQL sunucularını hedefleyen önemli fidye yazılımlarından biridir. Geçmişte, Mallox olarak da adlandırıldı çünkü. Mallox dosyasını kullandı.
Lockbit Ransomware Builder, "Angry Geliştirici" tarafından çevrimiçi sızdırıldı
Fidye Yazılımında Hafta - 9 Eylül 2022 - Ateş Altında Okullar
Ransomware'de Hafta - 26 Ağustos 2022 - Geri Dönüş
2 haftada 3 fidye yazılımı çetesi tarafından ihlal edilen otomotiv tedarikçisi
Fidye Yazılımı Veri hırsızlığı aracı gasp taktiklerinde bir değişim gösterebilir
Kaynak: Bleeping Computer