Uyarı: GhostSec ve Stormous, 15'ten Fazla Ülkede Ortak Fidye Yazılımı Saldırıları Başlattı
GhostSec adlı siber suç grubu, GhostLocker adlı bir fidye yazılımı ailesinin Golang varyantıyla bağlantılı.
Cisco Talos araştırmacısı Chetan Raghuprasad, paylaşılan bir raporda, "TheGhostSec ve Stormous fidye yazılımı grupları, birden fazla ülkede çeşitli iş dikeylerinde ortaklaşa çifte gasp fidye yazılımı saldırıları gerçekleştiriyor" dedi.
"GhostLocker ve Stormous fidye yazılımı, STMX_GhostLocker bağlı kuruluşları için çeşitli seçenekler sunan yeni bir hizmet olarak fidye yazılımı (RaaS) programı başlattı."
Grubun düzenlediği saldırılar Küba, Arjantin, Polonya, Çin, Lübnan, İsrail, Özbekistan, Hindistan, Güney Afrika, Brezilya, Fas, Katar, Türkiye, Mısır, Vietnam, Tayland ve Endonezya'daki kurbanları hedef aldı.
En çok etkilenen iş dikeylerinden bazıları teknoloji, eğitim, üretim, devlet, ulaşım, enerji, medikolegal, gayrimenkul ve telekomdur.
GhostSec – Ghost Security Group (GhostSec olarak da adlandırılır) ile karıştırılmamalıdır – ThreatSec, Stormous, Blackforums ve SiegedSec'i de içeren The Five Families adlı bir koalisyonun parçasıdır.
Ağustos 2023'te "internetin yeraltı dünyasındaki herkes için daha iyi birlik ve bağlantılar kurmak, çalışmalarımızı ve operasyonlarımızı genişletmek ve büyütmek" için kuruldu.
Geçen yılın sonlarında, siber suç grubu GhostLocker ile hizmet olarak fidye yazılımına (RaaS) girdi ve bunu ayda 269,99 ABD doları karşılığında diğer aktörlere sundu. Kısa bir süre sonra Stormous fidye yazılımı grubu, saldırılarında Python tabanlı fidye yazılımını kullanacağını duyurdu.
Talos'un en son bulguları, iki grubun yalnızca çok çeşitli sektörlere saldırmak için bir araya gelmekle kalmayıp, aynı zamanda Kasım 2023'te GhostLocker'ın güncellenmiş bir sürümünü piyasaya sürmek ve 2024'te STMX_GhostLocker adlı yeni bir RaaS programı başlatmak için bir araya geldiğini gösteriyor.
Raghuprasad, "Yeni program, bağlı kuruluşlar için üç hizmet kategorisinden oluşuyor: ücretli, ücretsiz ve yalnızca bloglarında (PYV hizmeti) veri satmak veya yayınlamak isteyen programı olmayan kişiler için bir diğeri" dedi.
Dark web'de kendi sızıntı sitesiyle birlikte gelen STMX_GhostLocker, Hindistan, Özbekistan, Endonezya, Polonya, Tayland ve Arjantin'den en az altı kurbanı listeliyor.
GhostLocker 2.0 (diğer adıyla GhostLocker V2) Go ile yazılmıştır ve tamamen etkili olarak ilan edilmiştir ve hızlı şifreleme / şifre çözme yetenekleri sunmaktadır. Ayrıca, kurbanları yedi gün içinde kendileriyle iletişime geçmeye veya çalınan verilerinin sızdırılması riskini almaya çağıran yenilenmiş bir fidye notu ile birlikte gelir.
RaaS şeması ayrıca bağlı kuruluşların bir web paneli aracılığıyla operasyonlarını izlemelerine, şifreleme durumunu ve ödemeleri izlemelerine olanak tanır. Ayrıca, şifreleme işlemine başlamadan önce şifrelenecek dizinler ve sonlandırılacak işlemler ve hizmetler de dahil olmak üzere dolap yükünü tercihlerine göre yapılandırmayı mümkün kılan bir oluşturucu ile sağlanırlar.
Fidye yazılımı dağıtıldıktan sonra bir komuta ve kontrol (C2) paneliyle bağlantı kurar ve şifreleme rutinine devam eder, ancak tanımlanan işlemleri veya hizmetleri öldürmeden ve belirli bir uzantı listesiyle eşleşen dosyaları sızdırmadan önce değil.
Talos, GhostSec tarafından meşru siteleri tehlikeye atmak için kullanılması muhtemel iki yeni araç keşfettiğini söyledi. Raghuprasad, "Bunlardan biri, meşru web sitelerini özyinelemeli olarak taramak için 'GhostSec Deep Scan araç seti', diğeri ise "GhostPresser" adı verilen siteler arası komut dosyası (XSS) saldırıları gerçekleştirmek için bir hack aracı" dedi.
GhostPresser, esas olarak WordPress sitelerine girmek için tasarlanmıştır ve tehdit aktörlerinin site ayarlarını değiştirmesine, yeni eklentiler ve kullanıcılar eklemesine ve hatta yeni temalar yüklemesine olanak tanıyarak GhostSec'in cephaneliğini geliştirme taahhüdünü gösterir.
"Grubun kendisi, kurbanlara yönelik saldırılarda kullandıklarını iddia etti, ancak bu iddiaların hiçbirini doğrulamanın bir yolu yok. Bu araç muhtemelen fidye yazılımı operatörleri tarafından çeşitli nedenlerle kullanılacaktır," dedi Talos.
"Derin tarama aracı, kurban ağlarına girmenin yollarını aramak için kullanılabilir ve GhostPresser aracı, kurban web sitelerini tehlikeye atmanın yanı sıra, aktör altyapısını kullanmak istemiyorlarsa, dağıtım için yükleri hazırlamak için kullanılabilir."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı