Albabat, Kasseika, Kuiper: Yeni Fidye Yazılımı Çeteleri Rust ve Golang ile Yükseliyor
Siber güvenlik araştırmacıları, Faust olarak bilinen Phobos fidye yazılımı ailesinin başka bir çeşidini vahşi doğada tespit etti.
Fidye yazılımının en son yinelemesini detaylandıran Fortinet FortiGuard Labs, bir Microsoft Excel belgesi (. XLAM) bir VBA komut dosyası içerir.
Güvenlik araştırmacısı Cara Lin, geçen hafta yayınlanan teknik bir raporda, "Saldırganlar, Base64'te kodlanmış ve her biri kötü amaçlı bir ikili dosya taşıyan birkaç dosyayı depolamak için Gitea hizmetini kullandı" dedi. "Bu dosyalar bir sistemin belleğine enjekte edildiğinde, bir dosya şifreleme saldırısı başlatırlar."
Faust, Eking, Eight, Elbie, Devos ve 8Base dahil olmak üzere Phobos ailesinden çeşitli fidye yazılımı varyantlarının en son üyesidir. Faust'un daha önce Kasım 2023'te Cisco Talos tarafından belgelendiğini belirtmekte fayda var.
Siber güvenlik firması, varyantı 2022'den beri aktif olarak tanımladı ve "belirli sektörleri veya bölgeleri hedef almıyor".
Saldırı zinciri, açıldığında zararsız bir XLSX dosyasını kaydetmek için Gitea'dan Base64 kodlu verileri indiren ve aynı zamanda AVG AntiVirus yazılımı ("AVG updater.exe") için bir güncelleyici gibi görünen bir yürütülebilir dosyayı gizlice alan bir XLAM belgesiyle başlar.
İkili, kendi adına, kötü amaçlı kabuk kodunu dağıtmak için dosyasız bir saldırı kullanarak şifreleme sürecini başlatmak için "SmartScreen Defender Windows.exe" adlı başka bir yürütülebilir dosyayı getirmek ve başlatmak için bir indirici işlevi görür.
Lin, "Faust varyantı, bir ortamda kalıcılığı sürdürme yeteneği sergiliyor ve verimli yürütme için birden fazla iş parçacığı oluşturuyor" dedi.
Geliştirme, Albabat (diğer adıyla White Bat), DHC, Frivinho, Kasseika, Kuiper, Mimus, NONAME ve NOOSE gibi yeni fidye yazılımı ailelerinin ilgi görmesiyle geliyor ve ilki, sahte bir Windows 10 dijital etkinleştirme aracı ve Counter-Strike 2 oyunu için bir hile programı gibi sahte yazılımlar şeklinde dağıtılan Rust tabanlı bir kötü amaçlı yazılım.
Bu ayın başlarında Kuiper'in Windows, Linux ve macOS sürümlerini inceleyen Trellix, Golang tabanlı fidye yazılımını ilk olarak Eylül 2023'te yeraltı forumlarında reklamını yapan RobinHood adlı bir tehdit aktörüne bağladı.
Güvenlik araştırmacısı Max Kersten, "Golang'ın eşzamanlılık odaklı doğası, buradaki tehdit aktörüne fayda sağlıyor, aksi takdirde (neredeyse) kesin olacak olan birden fazla iş parçacığıyla uğraşırken yarış koşullarından ve diğer yaygın sorunlardan kaçınıyor" dedi.
"Kuiper fidye yazılımının yararlandığı ve aynı zamanda Golang'ın artan popülaritesinin bir nedeni olan bir diğer faktör, dilin çeşitli platformlar için yapılar oluşturmak için platformlar arası yetenekleridir. Bu esneklik, özellikle kod tabanının çoğunluğu (yani şifrelemeyle ilgili etkinlik) saf Golang olduğundan ve farklı bir platform için yeniden yazma gerektirmediğinden, saldırganların kodlarını çok az çabayla uyarlamalarına olanak tanır."
Araştırmacı Rakesh Krishnan, NONAME'in veri sızıntısı sitesinin LockBit grubununkini taklit etmesi ve bunun başka bir LockBit olabileceği veya LockBit tarafından resmi sızıntı portalında paylaşılan sızdırılmış veritabanlarını toplama olasılığını artırdığı gerçeğiyle de dikkat çekiyor.
Bulgular, Fransız siber güvenlik şirketi Intrinsec'in, yeni ortaya çıkan 3AM (ThreeAM olarak da yazılır) fidye yazılımını Royal/BlackSuit fidye yazılımına bağlayan ve Mayıs 2022'de Conti siber suç sendikasının kapatılmasının ardından ortaya çıkan bir raporunun ardından geldi.
Bağlantılar, 3 fidye yazılımı ile "eski Conti-Ryuk-TrickBot bağlantısının paylaşılan altyapısı" arasındaki taktikler ve iletişim kanallarındaki "önemli bir örtüşmeden" kaynaklanıyor.
Hepsi bu değil. Fidye yazılımı aktörlerinin, hedef ortamları ihlal etmek ve Eylül 2022'de sızdırılan LockBit fidye yazılımı oluşturucusuna dayalı şifreleyicileri dağıtmaya çalışmak için TeamViewer'ı ilk erişim vektörü olarak kullandığı bir kez daha gözlemlendi.
Siber güvenlik firması Huntress, "Tehdit aktörleri, ortalığı kasıp kavurmak ve muhtemelen erişimlerini altyapıya daha da genişletmek için bireysel uç noktalara mevcut herhangi bir erişim yolunu arıyor" dedi.
AhnLab Güvenlik İstihbarat Merkezi'ne (ASEC) göre, son haftalarda LockBit 3.0, Güney Kore'deki varlıkları hedef alan özgeçmişler olarak gizlenmiş Microsoft Word dosyaları biçiminde de dağıtıldı.
Fidye yazılımı ekosisteminin şekilsiz ve sürekli gelişen doğasına rağmen, kurbanların giderek daha fazla ödeme yapmayı reddettiğine dair işaretler var ve bu da ödemeyi seçen fidye yazılımı kurbanlarının oranının 3. çeyrekte %41 ve 2. çeyrekte %34'ten 2023'ün 4. çeyreğinde %29'a düşmesine neden oluyor. 2022'nin 3. çeyreğinde %28'lik bir önceki düşük seviye kaydedilmişti.
Fidye yazılımı müzakere firması Coveware tarafından paylaşılan rakamlara göre, dönem için ortalama fidye ödemesi %33 düşerek 850.700 dolardan 568.705 dolara düştü. Öte yandan, medyan fidye ödemesi, 2023'ün 2. çeyreğindeki 190.424 dolardan 200.000 dolara yükseldi.
Şirket, "Sektör, fidye ödemesiyle neyin makul bir şekilde elde edilip edilemeyeceği konusunda daha akıllı olmaya devam ediyor" dedi. "Bu, mağdurlara daha iyi rehberlik edilmesine ve maddi olmayan güvenceler için daha az ödeme yapılmasına yol açtı."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı