8Base Group, SmokeLoader aracılığıyla yeni Phobos Ransomware varyantını dağıtıyor
8Base fidye yazılımının arkasındaki tehdit aktörleri, finansal olarak motive edilmiş saldırılarını gerçekleştirmek için Phobos fidye yazılımının bir çeşidinden yararlanıyor.
Bulgular, siber suçlular tarafından gerçekleştirilen faaliyetlerde bir artış kaydeden Cisco Talos'tan geliyor.
Güvenlik araştırmacısı Guilherme Venere, Cuma günü yayınlanan iki bölümden oluşan kapsamlı bir analizde, "Grubun Phobos varyantlarının çoğu, bir arka kapı truva atı olan SmokeLoader tarafından dağıtılıyor" dedi.
"Bu emtia yükleyici, konuşlandırıldığında genellikle ek yükleri düşürür veya indirir. Bununla birlikte, 8Base kampanyalarında, şifrelenmiş yüklerine gömülü fidye yazılımı bileşenine sahiptir, bu daha sonra şifresi çözülür ve SmokeLoader işleminin belleğine yüklenir.
8Base, siber güvenlik topluluğu tarafından benzer bir faaliyet artışının gözlemlendiği 2023'ün ortalarında keskin bir odak noktası haline geldi. En azından Mart 2022'den beri aktif olduğu söyleniyor.
VMware Carbon Black'in Haziran 2023'te yaptığı önceki bir analiz, şifrelenmiş dosyalar için ".8base" dosya uzantısı kullanılarak bulunan bir Phobos fidye yazılımı örneğini keşfetmenin yanı sıra 8Base ve RansomHouse arasında paralellikler tespit etti.
Bu, 8Base'in Phobos'un halefi olma veya operasyonun arkasındaki tehdit aktörlerinin, Vice Society fidye yazılımı grubuna benzer şekilde, saldırılarını gerçekleştirmek için yalnızca mevcut fidye yazılımı türlerini kullanma olasılığını artırdı.
Cisco Talos'un en son bulguları, SmokeLoader'ın Phobos yükünü yürütmek için bir başlatma rampası olarak kullanıldığını ve daha sonra kalıcılık oluşturmak, hedef dosyaları açık tutabilecek işlemleri sonlandırmak, sistem kurtarmayı devre dışı bırakmak ve yedeklemeleri ve gölge kopyaları silmek için adımlar attığını gösteriyor.
Dikkate değer bir diğer özellik, şifreleme işlemini hızlandırmak için 1,5 MB'ın altındaki dosyaların tam olarak şifrelenmesi ve eşiğin üzerindeki dosyaların kısmi olarak şifrelenmesidir.
Ayrıca yapıt, sabit kodlanmış bir anahtar kullanılarak şifrelenmiş 70'in üzerinde seçeneğe sahip bir yapılandırma içerir. Yapılandırma, Kullanıcı Hesabı Denetimi (UAC) atlama ve kurban bulaşmasının harici bir URL'ye bildirilmesi gibi ek özelliklerin kilidini açar.
Ayrıca, şifrelemede kullanılan dosya başına AES anahtarını korumak için kullanılan sabit kodlanmış bir RSA anahtarı da vardır ve Talos, fidye yazılımı tarafından kilitlenen dosyaların şifresinin çözülmesine yardımcı olabileceğini söyledi.
Venere, "Her dosya şifrelendikten sonra, şifrelemede kullanılan anahtar, ek meta verilerle birlikte daha sonra sabit kodlanmış bir genel anahtarla RSA-1024 kullanılarak şifrelenir ve dosyanın sonuna kaydedilir" dedi.
"Bununla birlikte, özel RSA anahtarı bilindiğinde, 2019'dan bu yana herhangi bir Phobos varyantı tarafından şifrelenen herhangi bir dosyanın şifresinin güvenilir bir şekilde çözülebileceği anlamına geliyor."
İlk olarak 2019'da ortaya çıkan Phobos, Dharma (diğer adıyla Crysis) fidye yazılımının bir evrimidir ve fidye yazılımı, VirusTotal'da ortaya çıkarılan eserlerin hacmine bağlı olarak ağırlıklı olarak Eking, Eight, Elbie, Devos ve Faust varyantları olarak kendini gösterir.
Venere, "Örneklerin tümü aynı kaynak kodunu içeriyordu ve diğer Phobos'a bağlı dosyaların zaten kilitli olduğu dosyaları şifrelemekten kaçınacak şekilde yapılandırıldı, ancak yapılandırma, dağıtılan varyanta bağlı olarak biraz değişti" dedi. "Bu, fidye yazılımının yapılandırma ayarlarındaki bir dosya uzantısı engelleme listesine dayanmaktadır."
Cisco Talos, Phobos'un merkezi bir otorite tarafından yakından yönetildiğini, aynı RSA açık anahtarına, iletişim e-postalarındaki varyasyonlara ve fidye yazılımının uzantı engelleme listelerinde düzenli güncellemelere dayalı olarak diğer bağlı kuruluşlara hizmet olarak fidye yazılımı (RaaS) olarak satıldığını değerlendiriyor.
Venere, "Uzantı engelleme listeleri, zaman içinde hangi grupların aynı temel örneği kullandığına dair bir hikaye anlatıyor gibi görünüyor" dedi.
"Birçok Phobos örneğinde bulunan uzantı blok listeleri [...] önceki Phobos kampanyalarında kilitlenen yeni dosyalarla sürekli olarak güncellenir. Bu, inşaatçının arkasında geçmişte Phobos'u kimin kullandığını takip eden merkezi bir otorite olduğu fikrini destekleyebilir. Amaç, Phobos iştiraklerinin birbirlerinin operasyonlarına müdahale etmesini önlemek olabilir."
Gelişme, FalconFeeds'in bir tehdit aktörünün C'de geliştirilen ve "sanal makinelere ve hata ayıklama araçlarına karşı güçlü algılama önleme önlemleri" içeren UBUD adlı karmaşık bir fidye yazılımı ürününün reklamını yaptığını açıklamasıyla geldi.
Ayrıca, BlackCat fidye yazılımı grubu tarafından ABD Menkul Kıymetler ve Borsa Komisyonu'na (SEC) yapılan ve kurbanlarından biri olan MeridianLink'in, etkilenen şirketlerin olayı dört iş günü içinde bildirmesini gerektiren yeni ifşa düzenlemelerine uymadığını iddia eden resmi bir şikayetin ardından DataBreaches.net bildirildi.
Finansal yazılım şirketi o zamandan beri 10 Kasım'da bir siber saldırıda hedef alındığını doğruladı, ancak sistemlerine yetkisiz erişim olduğuna dair hiçbir kanıt bulamadığını belirtti.
SEC açıklama kuralları önümüzdeki ay 18 Aralık'a kadar yürürlüğe girmeyecek olsa da, olağandışı baskı taktiği, tehdit aktörlerinin alanı yakından izlediğinin ve hükümet düzenlemelerini kendi lehlerine bükmeye ve kurbanları ödemeye zorlamaya istekli olduklarının bir işaretidir.
Bununla birlikte, yaptırımın yalnızca şirketlerin saldırıların kârlılıkları üzerinde "önemli" bir etkisi olduğunu tespit ettiği durumlarda geçerli olduğunu belirtmekte fayda var.
Bu arada bir başka üretken fidye yazılımı çetesi LockBit, Ekim 2023'ten itibaren yeni müzakere kuralları oluşturdu ve beklenenden daha az anlaşmalar ve "bağlı kuruluşların farklı deneyim seviyeleri" nedeniyle kurbanlara sunulan daha büyük indirimleri gerekçe gösterdi.
Analyst1'in ayrıntılı bir raporuna göre, LockBit operatörleri, "Şirketin yıllık gelirine bağlı olarak, örneğin %3'lük bir minimum fidye talebi oluşturun ve %50'den fazla indirimi yasaklayın" dedi.
"Bu nedenle, şirketin geliri 100 milyon ABD Doları ise, ilk fidye talebi 3 milyon ABD Dolarından başlamalı ve nihai ödeme 1,5 milyon ABD Dolarından az olmamalıdır."
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı