Nispeten yeni BL00DY fidye yazılımı çetesi, şirketlere yönelik saldırılarda yakın zamanda sızdırılmış bir Lockbit fidye yazılımı üreticisini kullanmaya başladı.
Geçen hafta, Lockbit 3.0 fidye yazılımı üreticisi, Lockbit operatörü geliştiricisi ile düştükten sonra Twitter'da sızdırıldı. Bu inşaatçı, kimsenin tehdit aktörlerinin saldırılar için kullanabileceği tamamen işlevsel bir şifreleme ve şifreleme oluşturmasına olanak tanır.
İnşaatçı, farklı fidye notları, istatistik sunucuları ve özellikleri kullanmak için kolayca özelleştirilebilen bir yapılandırma dosyası içerdiğinden, BleepingComputer diğer tehdit aktörlerinin yakında inşaatçıyı kendi fidye yazılımlarını oluşturmak için kullanacağını tahmin etti.
Ne yazık ki, tahminlerimiz gerçekleşti ve 'BL00DY Ransomware Gang' adlı nispeten yeni bir fidye yazılımı grubu, inşaatçıyı Ukraynalı bir kuruluşa yönelik bir saldırıda zaten kullandı.
Databreaches.net tarafından ilk olarak bildirildiği gibi, BL00DY fidye yazılımı çetesi, New York'ta bir grup tıbbi ve dişhekimliği uygulamasını hedefledikleri Mayıs 2022 civarında faaliyete başladı.
İnsan tarafından işletilen diğer fidye yazılımı operasyonları gibi, tehdit aktörleri de bir ağı ihlal ediyor, kurumsal veriler çalıyor ve cihazları şifreliyor. Bununla birlikte, tehdit aktörleri kurbanları zorlamak ve çalınan verileri yayınlamak için bir TOR veri sızıntısı sitesi kullanmak yerine, aynı amaç için bir telgraf kanalı kullanır.
Bu açıkça bir 'fidye yazılımı' çetesi olsa da, tehdit aktörleri bağımsız olarak fidye yazılımı geliştiriyor gibi görünmüyor. Bunun yerine, sızdırılmış inşaatçılar ve Babuk [Virustotal] ve Conti [Virustotal] gibi diğer fidye yazılımı işlemlerinin kaynak kodunu kullanarak şifrelemeler oluştururlar.
Pazartesi günü, Siber Güvenlik Araştırmacısı Vladislav Radetskiy, Ukraynalı bir kurban saldırısında bulunan yeni bir BL00DY fidye yazılımı çete şifrelemesi hakkında bir rapor yayınladı.
Bununla birlikte, 'filedecryptionsupport@msgsafe.io' e -postası daha önce sızdırılmış Conti kaynak kodundan oluşturulan bir şifrelemede olduğu için fidye yazılımının Conti veya Lockbit'e dayanmadığı belirsizdi.
Araştırmacı MalwareHunterTeam daha sonra şifrelemenin yakın zamanda piyasaya sürülen Lockbit 3.0 Builder kullanılarak inşa edildiğini doğruladı. Bir Intezer taraması ayrıca BL00DY ve Lockbit 3.0 şifrelemeleri arasında çok fazla kod örtüşmesi gösterdi.
BleepingComputer, BL00DY fidye yazılımı çetesinin şifresine bir test verdi ve bu yeni şifrük ile öncekiler arasında bazı farklılıklar buldu.
Geçmiş kampanyalarda, tehdit aktörleri şifrelenmiş dosyalar için .bl00dy uzantısını ekledi. Bununla birlikte, bu, Lockbit 3.0 üreticisinde özelleştirilebilir bir seçenek olmadığından, tehdit aktörleri, şifreleme oluşturulduğunda belirlenen uzantılar kullanılarak bırakılır.
Fidye notuna gelince, dosya adları hala Lockbit tarzı oluşturulmuştur, ancak tehdit aktörleri onları aşağıda gösterildiği gibi kendi metinlerini ve iletişim bilgilerini içerecek şekilde özelleştirmiştir.
Nihayetinde, bu bir Lockbit 3.0 fidye yazılımı şifrelemesidir, bu nedenle güvenlik araştırmacıları tarafından daha önce bildirilen tüm özellikleri destekler.
BL00DY fidye yazılımı çete anahtarını, algılamadan kaçmak veya çeşitli özelliklerden yararlanmak için gerektiğinde fidye yazılımı aileleri arasında görmek şaşırtıcı olmaz.
Lockbit operasyonu Eylül 2019'da piyasaya sürüldü ve o zamandan beri şu anda en aktif, zengin özellik açısından zengin fidye yazılımı operasyonlarından birine dönüştü.
Lockbit 3.0, Haziran 2022'de yeni gasp taktikleri, Blackmatter kodunu kullanan yeniden tasarlanmış bir şifreleme ve ilk fidye yazılımı hatası ödül programı ile piyasaya sürüldü.
Sızan Lockbit 3.0 fidye yazılımı oluşturucu diğer tehdit aktörleri tarafından kolayca özelleştirilebildiğinden, yakında kendi saldırılarında kullandığını göreceğiz.
Ransomware'de Hafta - 23 Eylül 2022 - Lockbit Sızıntısı
Lockbit Ransomware Builder, "Angry Geliştirici" tarafından çevrimiçi sızdırıldı
Conti, Revil, Lockbit fidye yazılımı hataları, şifrelemeyi engellemek için sömürüldü
Lockbit fidye yazılımı çetesi üçlü uzatma taktiği ile agresif olur
Ransomware'de Hafta - 26 Ağustos 2022 - Geri Dönüş
Kaynak: Bleeping Computer