Dünya çapında kurbanları hedefleyen ve milyon dolarlık fidye talep eden ve veri sızdırmaması ve bir şifreleme yayınlamaması talep eden yeni bir fidye yazılımı çetesi ortaya çıktı.
Yeni fidye yazılımı ilk olarak 28 Mart 2023'te BleepingComputer forumlarında bir kurban tarafından bildirildi ve Zscaler'ın Twittlabz ile Twitter'da bilgi paylaştıktan kısa bir süre sonra.
Şu anda, tehdit oyuncusu gasp alanında, biri 1 milyar dolara yakın yıllık geliri olan Asya havayolu şirketi olan iki kurbanı listeliyor. Buna ek olarak, tehdit aktörleri şirketten dosyaları çaldığını iddia ediyor ve erişim sağlanan dosya sisteminin bir ekran görüntüsünü ihlalin kanıtı olarak içeriyor.
Araştırma yaparken BleepingComputer, tanınmış bir bilgisayar donanım satıcısında potansiyel bir para mesajı ihlali olduğuna dair kanıtlar gördü. Ancak, şu anda şirkete yapılan saldırıyı bağımsız olarak onaylayamadık.
Para mesajı şifrelemesi C ++ ile yazılmıştır ve bir cihazın nasıl şifreleneceğini belirleyen gömülü bir JSON yapılandırma dosyası içerir.
Bu yapılandırma dosyası, şifrelemeden hangi klasörlerin engelleneceğini, hangi uzantıyı ekleneceğini, günlüğe kaydetmenin etkin olup olmadığını ve etki alanı giriş adlarını ve şifreleri diğer cihazları şifrelemek için kullandığı muhtemelen kullanılır.
BleepingComputer tarafından analiz edilen örnekte, fidye yazılımı aşağıdaki klasörlerde dosyaları şifrelemez:
Başlatıldığında, aşağıdaki komutu kullanarak Shadow Volume kopyalarını silecektir:
Fidye yazılımı aşağıdaki işlemi sonlandıracaktır:
Ardından, fidye yazılımı aşağıdaki Windows hizmetlerini kapatır:
Dosyaları şifrelerken, herhangi bir uzantı eklemez, ancak bu kurbana bağlı olarak değişebilir. Güvenlik araştırmacısı Rivitna'ya göre, şifreleme dosyaları şifrelerken Chacha20/ECDH şifrelemesini kullanıyor.
Varsayılan olarak şifrelemeden hariç tutulan tek dosyalar şunlardır:
Testlerimiz sırasında, dosyaların para mesajı ile şifrelemesi diğer şifrelemelere kıyasla oldukça yavaştı.
Cihazı şifreledikten sonra, fidye yazılımı, tehdit aktörleriyle müzakere etmek için kullanılan bir TOR müzakere sitesine bağlantı içeren Money_message.log adlı bir fidye notu oluşturacaktır.
Fidye yazılımı ayrıca, fidye ödenmezse, veri sızıntı sitesinde çalınan verileri yayınlayacakları konusunda da uyaracaktır.
Para mesajı fidye yazılımı grubunun ortaya çıkması, kuruluşların dikkat etmesi gereken ek bir tehdit sunar.
Grup tarafından kullanılan şifreleyici sofistike görünmese de, işlemin saldırıları sırasında verileri başarıyla çaldığı ve cihazları şifrelediği doğrulanmıştır.
Uzmanlar fidye yazılımlarını analiz edecek ve şifrelemede bir zayıflık bulunursa, bu yazıyı güncelleyeceğiz.
Yeni Dark Power Ransomware ilk ayında 10 kurban iddia ediyor
Bianlian Fidye Yazılımı Çetesi Odağı Saf Veri Fasarına Kaydırır
Yeni Rorschach fidye yazılımı, şimdiye kadar görülen en hızlı şifrelidir
Ransomware'de Hafta - 24 Mart 2023 - Clop aşırı yükü
Ransomware'de Hafta - 17 Mart 2023 - Veri Formrost'a kayma
Kaynak: Bleeping Computer