Yeni bir Phobos fidye yazılımı varyantı, popüler VX-Underground kötü amaçlı yazılım paylaşım kolektifini çerçeveliyor, bu da grubun şifreleyiciyi kullanarak saldırıların arkasında olduğunu gösteriyor.
Phobos, 2018'de Crysis fidye yazılımı ailesinden türetilen bir hizmet olarak fidye yazılımı olduğuna inanılan şeyde başladı. Bu operasyonun bir parçası olarak, bir grup tehdit aktörü fidye yazılımının gelişimini yönetir ve ana şifre çözme anahtarını korurken, diğer tehdit aktörleri ağları ihlal etmek ve cihazları şifrelemek için bağlı olarak hareket eder.
Phobos uzun zamandır varken, asla büyük saldırılar yürüttüğü ve milyonlarca dolar talep ettiği bilinen bir "seçkin" operasyona dönüşmedi.
Bununla birlikte, bu büyük bir operasyon olmadığı anlamına gelmez, çünkü birçok bağlı tehdit aktörü ve 2023'te kimlik fidye yazılımı hizmetine gönderimlerin% 4'ünü oluşturur.
Bugün, fidye yazılımı Hunter Pcrisk, VX-Underground topluluğunu çerçevelemeye çalışan Phobos fidye yazılımının yeni bir varyantını buldu.
Dosyaları şifrelerken, kötü amaçlı yazılım .id [[benzersiz_id].
Bittiğinde Phobos, Windows masaüstünde ve başka yerlerde iki fidye notu oluşturacaktır.
Birincisi, tüm VX kötü amaçlı yazılım arşivlerinde kullanılan şifre, şifre çözme parolasının "enfekte olmadığını" söyleyerek VX'de biraz eğlenen 'Black Mass Volume II.txt' adlı bir metin fidye notudur.
"!!! Tüm dosyalarınız şifreli !!! Bunları şifresini çözmek için şu adrese e-posta gönderin: Staff@vx-underground.org. 48 saatte cevap vermezsek, bu twitter'a mesaj gönderin: @vxunderground Ve şifre çözme şifresi "enfekte" değil "
İkincisi, VX-Underground logosunu, adını ve iletişim bilgilerini kullanmak için özelleştirilmiş standart Phobos Ransom notunuz 'Black Mass Volume II.HTA' adlı bir HTA dosyasıdır. Black Mass, VX-Underground tarafından yazılmış ve Amazon'da satılan kitaplardır.
Güvenlik araştırmacıları gibi, tehdit aktörleri de çevrimiçi infosec ve siber güvenlik topluluklarında yer alır, tartışmalara aktif olarak katılır veya sessizce kenardan izler. Ancak bu izleme, geçmişte kötü amaçlı yazılımlara ve fidye yazılımlarına benzer alay hareketlerinin eklenmesine yol açmıştır.
Örneğin, Revil'in öncüsü Gandcrab serbest bırakıldığında, tehdit aktörleri BleepingComputer, Emsisoft, ESET ve Nomoreransom'dan sonra komut ve kontrol sunucularını adlandırdı.
Bu, fidye yazılımı izleme ve araştırmalarda yer alanların iyi huylu bir alay konusu olsa da, diğer örnekler daha karanlık bir dönüş yaptı.
2016 yılında, Apocalypse Ransomware'in geliştiricisi, fidye yazılımı uzmanı Fabian Wosar hakkındaki küfürlü yorumları 'Fabiansomware' şifrelemelerine Wosar'ın şifrelemede zayıflıklar bulmaya devam ettiği hayal kırıklığından çıkarmaya başladı.
2020'de, labirent fidye yazılımı için bir geliştirici, geç güvenlik araştırmacısı Vitali Kremeez ve Sentinel One'ın adını taşıyan bir veri silecek/MBR dolap oluşturdu.
Labirent geliştiricisi, BleepingComputer'a şifre çözme anahtarlarını yayınladıklarında, silecekleri fidye yazılımı işlemi hakkında olumsuz tweetler gönderen Kremeez'i rahatsız etmek için dağıttıklarını söyledi.
Daha yakın zamanlarda, 'Azov Ransomware' olarak bilinen fidye yazılımı, dünya çapında korsan yazılım, anahtar jeneratörler ve adware paketleri aracılığıyla yoğun bir şekilde dağıtıldı.
Bu fidye yazılımı, kendim, BleepingComputer, Hasherazade, Malwarehunterteam, Michael Gillespie ve Vitali Kremeez tarafından yaratıldığını iddia etti ve kurbanlara şifre çözme anahtarı için bizimle iletişime geçmelerini söyledi.
Kötü amaçlı yazılım geliştiricileri ile etkileşime girenler için, her zaman projelerinden birine dahil olma riski taşırsınız.
Taşıma çoğunlukla iyi huylu olsa da, bazı durumlarda Azov ve Kremeez silecekiyle gördüğümüz gibi, biraz kötü olabilir.
Hellokitty fidye yazılımı kaynak kodu hack forumunda sızdı
Otomatik Parçalar Dev Autozone Moveit Veri ihlali konusunda uyarıyor
Citrix, Hacker'ları engellemek için NetScaler kullanıcı oturumlarını öldürme konusunda uyarıyor
Lockbit fidye yazılımı çetesi üçlü uzatma taktiği ile agresif olur
Rhysida Fidye Yazılımı Gang, British Kütüphanesi Siber Attack
Kaynak: Bleeping Computer