Siber Muhbir

Trend Micro araştırmacıları Jaromir Horejsi ve Nitesh Surana, "Golang fidye yazılımını kötü şöhretli LockBit fidye yazılımı olarak gizlemek için girişimlerde bulunuldu" dedi. "Ancak, durum böyle değil ve saldırgan, kurbanlarının üzerindeki ilmiği daha da sıkılaştırmak için yalnızca LockBit'in kötü şöhretinden yararlanıyor gibi görünüyor."

Fidye yazılımı eserlerinin, buluta veri sızdırmayı kolaylaştırmak için sabit kodlanmış Amazon Web Services (AWS) kimlik bilgilerini gömdüğü bulundu, bu da düşmanların popüler bulut hizmeti sağlayıcılarını kötü niyetli planlar için giderek daha fazla silahlandırdığının bir işareti.

Kampanyada kullanılan AWS hesabının ya kendilerine ait olduğu ya da güvenliği ihlal edilmiş olduğu varsayılmaktadır. AWS güvenlik ekibine sorumlu bir şekilde açıklanmasının ardından, tanımlanan AWS erişim anahtarları ve hesapları askıya alınmıştır.

Trend Micro, AWS Erişim Anahtarı Kimlikleri ve Gizli Erişim Anahtarlarının gömülü olduğu 30'dan fazla örnek tespit ettiğini ve bunun aktif geliştirmeye işaret ettiğini söyledi. Fidye yazılımı hem Windows hem de macOS sistemlerini hedefleyebilir. Siber güvenlik firması SentinelOne buna NotLockBit adını verdi.

Platformlar arası fidye yazılımının bir hedef ana bilgisayara nasıl teslim edildiği tam olarak bilinmemektedir, ancak bir kez yürütüldüğünde, makinenin evrensel benzersiz tanımlayıcısını (UUID) alır ve dosyaları şifrelemek için gereken ana anahtarı oluşturmak için bir dizi adım gerçekleştirir.

Başlatma adımını, saldırganın kök dizinleri numaralandırması ve belirli bir uzantı listesiyle eşleşen dosyaları şifrelemesi izler, ancak daha hızlı veri aktarımı için bunları S3 Aktarım Hızlandırma (S3TA) aracılığıyla AWS'ye sızdırmadan önce değil.

Araştırmacılar, "Şifrelemeden sonra, dosya aşağıdaki formata göre yeniden adlandırılır: <orijinal dosya adı>.<başlatma vektörü>.abcd" dedi. Örneğin, dosya text.txt text.txt.e5c331611dd7462f42a5e9776d2281d3.abcd" olarak yeniden adlandırıldı.

Son aşamada, fidye yazılımı, kurbanları ödemeye zorlamak için olası bir girişimde LockBit 2.0'dan bahseden bir resim görüntülemek için cihazın duvar kağıdını değiştirir.

Araştırmacılar, "Tehdit aktörleri, fidye yazılımı örneklerini daha genel olarak bilinen başka bir varyant olarak da gizleyebilir ve nedenini görmek zor değil: yüksek profilli fidye yazılımı saldırılarının kötü şöhreti, kurbanları saldırganın teklifini yapmaya daha fazla zorluyor" dedi.

Gelişme, Gen Digital'in Ocak 2023'ten Şubat 2024'e kadar kriptografik şemadaki bir kusurdan yararlanarak vahşi doğada tespit edilen bir Mallox fidye yazılımı varyantı için bir şifre çözücü yayınlamasıyla geldi.

Araştırmacı Ladislav Zezula, "Fidye yazılımının kurbanları, bu özel Mallox varyantı tarafından saldırıya uğrarlarsa dosyalarını ücretsiz olarak geri yükleyebilirler" dedi. "Kripto kusuru Mart 2024 civarında düzeltildi, bu nedenle Mallox fidye yazılımının sonraki sürümleri tarafından şifrelenen verilerin şifresini çözmek artık mümkün değil."

TargetCompany olarak da bilinen Mallox operasyonunun bir iştirakinin, Linux sistemlerini ihlal etmek için Kryptina fidye yazılımının (kod adı Mallox v1.0) biraz değiştirilmiş bir sürümünü kullanarak keşfedildiği belirtilmelidir.

SentinelOne araştırmacısı Jim Walter geçen ayın sonlarında yaptığı açıklamada, "Mallox'un Kryptina'dan türetilmiş varyantları, bağlı kuruluşlara özgüdür ve o zamandan beri ortaya çıkan Mallox'un diğer Linux varyantlarından ayrıdır, bu da fidye yazılımı ortamının nasıl çapraz tozlaşan araç setleri ve doğrusal olmayan kod tabanlarından oluşan karmaşık bir hayvanat bahçesine dönüştüğünün bir göstergesidir" dedi.

Symantec'in fidye yazılımı sızıntı sitelerinden alınan verilere ilişkin analizine göre, fidye yazılımı 2024'ün üçüncü çeyreğinde iddia edilen 1.255 saldırıyla büyük bir tehdit olmaya devam ediyor.

Microsoft, Haziran 2023'ten Haziran 2024'e kadar olan bir yıllık döneme ilişkin Dijital Savunma Raporunda, insan tarafından işletilen fidye yazılımı bağlantılı karşılaşmalarda yıldan yıla 2,75 kat artış gözlemlediğini, gerçek şifreleme aşamasına ulaşan saldırıların yüzdesinin ise son iki yılda üç kat azaldığını söyledi.

Şubat 2024'te altyapısını hedef alan uluslararası bir kolluk kuvveti operasyonunun ardından LockBit'in düşüşünden en çok yararlananlardan bazıları RansomHub, Qilin (diğer adıyla Agenda) ve sonuncusu 2024'ün başlarında yalnızca veri hırsızlığı ve gasp saldırılarıyla kısa bir süre flört ettikten sonra çifte gasp taktiklerine geri dönen Akira oldu.

Talos, "Bu süre zarfında, Akira hizmet olarak fidye yazılımı (RaaS) operatörlerinin ESXi şifreleyicilerinin bir Rust varyantını geliştirdiğini, C++'dan uzaklaşırken ve farklı programlama tekniklerini denerken yükün işlevlerini yinelemeli olarak geliştirdiğini görmeye başladık" dedi.

Akira'yı içeren saldırılar, daha derin bir dayanak oluşturmak için tasarlanan çabaların bir parçası olarak, ağlara sızmanın yanı sıra ayrıcalıkları artırmak ve güvenliği ihlal edilmiş ortamlarda yanal olarak hareket etmek için güvenliği ihlal edilmiş VPN kimlik bilgilerinden ve yeni açıklanan güvenlik açıklarından da yararlandı.

Akira iştirakleri tarafından istismar edilen güvenlik açıklarından bazıları aşağıda listelenmiştir:

• CVE-2020-3259 (İngilizce)
• CVE-2023-20263
• CVE-2023-20269
• CVE-2023-27532 (İngilizce)
• CVE-2023-48788 (İngilizce)
• CVE-2024-37085 (İngilizce)
• CVE-2024-40711 ve
• CVE-2024-40766 (İngilizce)

Talos araştırmacıları James Nutland ve Michael Szeliga, "2024 boyunca Akira, imalat ve profesyonel, bilimsel ve teknik hizmetler sektörlerindeki kuruluşlar için net bir tercihle önemli sayıda kurbanı hedef aldı" dedi.

"Akira, Rust tabanlı Akira v2 varyantının kullanımından geçiş yapıyor ve C++ ile yazılmış Windows ve Linux şifreleyicilerini kullanarak önceki TTP'lere geri dönüyor olabilir."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.