Mayıs 2024 başlarında başlatılan 'Sis' adlı yeni bir fidye yazılımı operasyonu, ABD'deki eğitim kuruluşlarının ağlarını ihlal etmek için tehlikeye atılmış VPN kimlik bilgilerini kullanıyor.
Sis, fidye yazılımı işleminin henüz bir gasp portalı kurmadığını ve veri çalmaya görülmediğini bildiren Artic Wolf Labs tarafından keşfedildi.
Bununla birlikte, BleepingComputer, kurbanları ödemeye korkutmak için kaldıraç olarak verileri kullanarak, fidye yazılımı çetesinin çift genişlemeli saldırılar için verileri çaldığını doğrulayabilir.
FOG'un operatörleri, en az iki farklı VPN ağ geçidi satıcısından tehlikeye atılmış VPN kimlik bilgilerini kullanarak kurban ortamlarına erişti.
Artic Wolf Labs, "İncelenen vakaların her birinde adli kanıt, tehdit aktörlerinin tehlikeye atılan VPN kimlik bilgilerinden yararlanarak mağdur ortamlarına erişebildiklerini gösterdi."
"Özellikle, uzaktan erişim iki ayrı VPN ağ geçidi satıcısından meydana geldi. Davalarımızda son belgelenen tehdit faaliyeti 23 Mayıs 2024'te gerçekleşti."
Dahili ağa eriştikten sonra, saldırganlar, hiper-V'yi çalıştıran Windows sunucularına RDP bağlantıları kurmak için kullanılan yönetici hesaplarına "Hash Pass" saldırıları gerçekleştirir.
Alternatif olarak, kimlik bilgisi doldurma, değerli hesapları ele geçirmek için kullanılır ve bunu birden çok ana bilgisayarda Psexec dağıtımını takip eder.
Windows sunucularında, sis operatörleri, şifrenin yürütülmesinden önce kurbanı uyarmayı önlemek için Windows Defender'ı devre dışı bırakır.
Fidye yazılımı dağıtıldığında, sistem hakkında bilgi toplamak için Windows API çağrıları gerçekleştirir, örneğin çok iş parçacıklı bir şifreleme rutini için iş parçacıklarını tahsis etmek için mevcut mantıksal işlemcilerin sayısı.
Şifrelemeye başlamadan önce, fidye yazılımı yapılandırmasında sabit kodlanmış bir listeye dayalı bir süreç ve hizmetler listesini sona erdirir.
Fidye yazılımı, sanal makine (VM) deposundaki VMDK dosyalarını şifreler ve kolay restorasyonu önlemek için Veeam ve Windows Volume Shadow kopyalarındaki nesne depolama alanından yedeklemeleri siler.
Şifreli dosyalar '.fog' veya '.flocked' uzantısına eklenir, ancak bu JSON tabanlı yapılandırma bloğundan operatörün istediği her şeye ayarlanabilir.
Son olarak, bir fidye notu oluşturulur ve etkilenen dizinlere bırakılır ve kurbanlara dosyalarını geri almalarına yardımcı olacak bir şifre çözme anahtarı için ödeme yapma talimatları sağlar.
BleepingComputer tarafından görülen bir saldırıdan, fidye notuna ReadMe.txt olarak adlandırılır ve müzakere için kullanılan bir Tor Dark web sitesine bir bağlantı içerir. Bu site, fidye yazılımı kurbanının tehdit aktörleriyle fidye talebini müzakere etmesine ve çalıntı dosyaların bir listesini almasına izin veren temel bir sohbet arayüzüdür.
BleepingComputer ayrıca, TOR müzakere sitesinin hem .fog hem de.
BleepingComputer tarafından görülen bir saldırıda, fidye yazılımı çetesi yüz binlerce'yi bir şifreleme almasını ve çalınan verileri silmesini istedi. Ancak, muhtemelen daha büyük şirketler için daha fazladır.
Arctic Wolf Labs şu anda, Sis'in bağlı kuruluşları kabul eden açık bir fidye yazılımı (RAAS) olarak mı yoksa küçük bir özel siber suçlu çemberinin arkasında olup olmadığının belirsiz olduğunu söylüyor.
Yeni Shrinkrlocker Ransomware, dosyalarınızı şifrelemek için BitLocker kullanıyor
Gürcistan Üniversite Sistemi: 2023 Moveit Saldırısı'nda 800K maruz kaldı
Yeni Saldırı, Rogue DHCP sunucularını kullanarak VPN trafiğini sızdırıyor
Christie's, müşterileri RansomHub veri ihlali bildirmeye başlar
Frontier, gasp tehditlerinden sonra 750.000 veri ihlalini uyarıyor
Kaynak: Bleeping Computer