FBI ve CISA, 500 milyon dolara kadar talep eden BlackSuit fidye yazılımına karşı uyardı

Bu, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI) tarafından güncellenen bir tavsiyeye göre.

Ajanslar, "BlackSuit aktörleri, ödeme tutarları için pazarlık yapma konusunda istekli olduklarını gösterdiler" dedi. "Fidye miktarları ilk fidye notunun bir parçası değildir, ancak şifrelemeden sonra sağlanan bir .onion URL'si (Tor tarayıcısı aracılığıyla erişilebilir) aracılığıyla tehdit aktörüyle doğrudan etkileşim gerektirir."

Fidye yazılımı içeren saldırılar, ticari tesisler, sağlık ve halk sağlığı, devlet tesisleri ve kritik üretimi kapsayan birçok kritik altyapı sektörünü hedef aldı.

Kraliyet fidye yazılımının bir evrimi olarak, fidye yazılımını dağıtmadan ve sistemleri şifrelemeden önce virüsten koruma yazılımını devre dışı bırakmak ve hassas verileri sızdırmak için kimlik avı e-postaları yoluyla elde edilen ilk erişimden yararlanır.

Diğer yaygın bulaşma yolları arasında Uzak Masaüstü Protokolü (RDP) kullanımı, savunmasız İnternet'e yönelik uygulamalardan yararlanılması ve ilk erişim aracıları (IAB'ler) aracılığıyla satın alınan erişim yer alır.

BlackSuit aktörlerinin, kurban ağlarında kalıcılığı sürdürmek için meşru uzaktan izleme ve yönetim (RMM) yazılımları ve SystemBC ve GootLoader kötü amaçlı yazılımları gibi araçlar kullandığı bilinmektedir.

Ajanslar, "BlackSuit aktörlerinin kurban ağlarını numaralandırmak için SharpShares ve SoftPerfect NetWorx kullandığı gözlemlendi" dedi. "Halka açık kimlik bilgisi çalma aracı Mimikatz ve Nirsoft'un şifre toplama araçları da kurban sistemlerinde bulundu. PowerTool ve GMER gibi araçlar genellikle sistem süreçlerini sonlandırmak için kullanılır."

CISA ve FBI, kurbanların BlackSuit aktörlerinden uzlaşma ve fidye ile ilgili telefon veya e-posta iletişimleri aldığı durumlarda bir artış olduğu konusunda uyardı, bu da fidye yazılımı çeteleri tarafından baskıyı artırmak için giderek daha fazla benimsenen bir taktik.

Siber güvenlik firması Sophos, bu hafta yayınlanan bir raporda, "Son yıllarda, tehdit aktörleri yalnızca kuruluşları doğrudan tehdit etmekle değil, aynı zamanda ikincil kurbanları da tehdit etmekle giderek daha fazla ilgileniyor gibi görünüyor" dedi. "Örneğin, Ocak 2024'te bildirildiği üzere, saldırganlar bir kanser hastanesinin hastalarını 'kundaklamakla' tehdit etti ve bir CEO'nun eşine tehdit edici kısa mesajlar gönderdi."

Hepsi bu değil. Tehdit aktörleri ayrıca, çalınan verileri yasa dışı faaliyet, mevzuata uyumsuzluk ve finansal tutarsızlıkların kanıtı için değerlendirdiklerini iddia ettiler, hatta güvenliği ihlal edilmiş bir kuruluştaki bir çalışanın web tarayıcısı geçmişini yayınlayarak çocuk cinsel istismarı materyali aradığını belirtecek kadar ileri gittiler.

Bu tür agresif yöntemler yalnızca hedeflerini ödemeye zorlamak için daha fazla kaldıraç olarak kullanılmakla kalmaz, aynı zamanda onları etik dışı veya ihmalkar olarak eleştirerek itibara zarar verir.

Gelişme, LynxOceanSpyRadarZilla (bir Crysis/Dharma fidye yazılımı varyantı) ve Zola (bir Proton fidye yazılımı varyantı) gibi yeni fidye yazılımı ailelerinin ortaya çıkmasının ortasında, mevcut fidye yazılımı grupları cephaneliklerine yeni araçlar ekleyerek çalışma biçimlerini sürekli olarak geliştiriyor olsa bile.

A case example is Hunters International, which has been observed using a new C#-based malware called SharpRhino as an initial infection vector and a remote access trojan (RAT). A variant of the ThunderShell malware family, it's delivered through a typosquatting domain impersonating the popular network administration tool Angry IP Scanner.

It's worth pointing out that malvertising campaigns have been spotted delivering the malware as recently as January 2024, per eSentire. The open-source RAT is also called Parcel RAT and SMOKEDHAM.

"On execution, it establishes persistence and provides the attacker with remote access to the device, which is then utilized to progress the attack," Quorum Cyber researcher Michael Forret said. "Using previously unseen techniques, the malware is able to obtain a high level of permission on the device in order to ensure the attacker is able to further their targeting with minimal disruption."

Hunters International is assessed to be a rebrand of the now-defunct Hive ransomware group. First detected in October 2023, it has claimed responsibility for 134 attacks in the first seven months of 2024.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği