arasında benzerlikler ortaya çıktı. Dridex genel amaçlı kötü amaçlı yazılım ve adı verilen az bilinen bir fidye yazılımı türü Entropioperatörlerin gasp operasyonlarını farklı bir ad altında yeniden markalaştırmaya devam ettiğini öne sürüyor.
Siber güvenlik firması Sophos, “Benzerlikler, fidye yazılımı kodunu gizlemek için kullanılan yazılım paketleyicide, komutları bulmak ve gizlemek için tasarlanmış kötü amaçlı yazılım alt rutinlerinde (API çağrıları) ve şifreli metnin şifresini çözmek için kullanılan alt rutinlerdedir.” dedim The Hacker News ile paylaşılan bir raporda.
Adı açıklanmayan bir medya şirketini ve bölgesel bir devlet kurumunu hedef alan birbiriyle alakasız iki olayın ardından ortak noktalar ortaya çıktı. Her iki durumda da, Entropy’nin konuşlandırılmasından önce hedef ağlara Cobalt Strike Beacons ve Dridex bulaştırılarak saldırganlara uzaktan erişim sağlandı.
İkiz saldırıların bazı yönlerindeki tutarlılığa rağmen, ağlar içinde yollarını açmak için kullanılan ilk erişim vektörü, her bir ortamda harcanan süre ve son aşamayı başlatmak için kullanılan kötü amaçlı yazılım açısından da önemli ölçüde farklılık gösterdiler. işgalinden.
Medya kuruluşuna yapılan saldırı, bir web kabuğu kurmak amacıyla savunmasız bir Exchange Sunucusuna saldırmak için ProxyShell istismarını kullandı ve bu da ağ üzerinde Kobalt Strike Beacon’ları yaymak için kullanıldı. Düşmanın dört ayını keşif ve veri hırsızlığı yaparak geçirdiği ve sonuçta Aralık 2021’in başlarında fidye yazılımı saldırısının önünü açtığı söyleniyor.
Öte yandan, bölgesel hükümet kuruluşuna yönelik ikinci saldırı, Dridex kötü amaçlı yazılımını içeren kötü amaçlı bir e-posta eki aracılığıyla, yanal hareket için ek yükler dağıtmak için kullanılarak kolaylaştırıldı.
Özellikle, hassas verilerin birden fazla bulut depolama sağlayıcısına (sıkıştırılmış RAR arşivleri biçiminde) fazladan sızması, tek bir makinede şüpheli bir oturum açma girişiminin ilk algılanmasından sonra, güvenliği ihlal edilmiş bilgisayarlardaki dosyaların şifrelenmesinden önce 75 saat içinde gerçekleşti. .
gibi meşru araçları kullanmanın yanı sıra Reklam Bul, PsExecve PsKill Saldırıları gerçekleştirmek için, Dridex ve Entropy örnekleri ile önceki DoppelPaymer fidye yazılımı enfeksiyonları arasındaki korelasyon, “ortak bir kaynak” olasılığını artırdı.
Entropi Fidye Yazılımı Notu |
Farklı kötü amaçlı yazılım parçaları arasındaki bağlantı ağına dikkat çekmeye değer. bu Dridex Bilgi çalan bir botnet olan trojan’ın, Indrik Spider (aka Evil Corp) adlı Rusya merkezli üretken bir siber suç grubunun eseri olduğu biliniyor.
DoppelPaymer bir Ayırıcı grup Doppel Spider takma adıyla izlendi. kaldıraçlar çatallı kötü amaçlı yazılım kodu BitPaymer fidye yazılımı da dahil olmak üzere Indrik Spider tarafından büyük oyun avı operasyonlarının temeli olarak geliştirildi.
Aralık 2019’da ABD Hazine Bakanlığı, Evil Corp’a yaptırım uyguladı ve iki kilit üye Maksim Yakubets ve Igor Turashev’e suç duyurusunda bulundu ve tutuklanmalarına yol açan her türlü bilgi için 5 milyon dolar ödül açıkladı. A sonraki soruşturma Kasım 2021’de BBC tarafından “tutuklanma şansları çok az olan milyoner yaşam tarzları yaşadığı iddia edilen bilgisayar korsanlarının” izini sürdü.
E-suç çetesi, aradan geçen yıllarda yaptırımları aşmak için fidye yazılımı altyapılarında çok sayıda marka değişikliği yaptı, bunların en başında şunlar geliyor: WastedLockerHades, Phoenix, payloadBIN, Yasve Amerika papağanı. Entropi muhtemelen bu listeye en son eklenendir.
Bununla birlikte, kötü amaçlı yazılım operatörlerinin, geliştirme çabalarından tasarruf etmek veya yanlış bayrak operasyonunda kasıtlı olarak yanlış yönlendirme yapmak için kodu ödünç almış olmaları da mümkündür.
Sophos baş araştırmacısı Andrew Brandt, “Her iki durumda da saldırganlar titizlik eksikliğine güvendiler – her iki hedef de mevcut yamalar ve güncellemelerden yoksun savunmasız Windows sistemlerine sahipti” dedi. “Exchange Server gibi düzgün yama uygulanmış makineler, saldırganları, sızdıkları kuruluşlara ilk erişimlerini sağlamak için daha fazla çalışmaya zorlardı.”
Brandt, “Çok faktörlü kimlik doğrulamayı kullanma gerekliliği, mevcut olsaydı, yetkisiz kullanıcıların bu veya diğer makinelerde oturum açması için daha fazla zorluk yaratacaktı,” diye ekledi.