Siber güvenlik araştırmacıları, fidye yazılımı aktörlerinin çevrimiçi ortamda gerçek kimliklerini ve web sunucusu altyapılarının barındırma konumunu gizlemek için aldıkları çeşitli önlemleri ayrıntılı olarak açıkladılar.
Cisco Talos araştırmacısı Paul Eubanks, “Çoğu fidye yazılımı operatörü, fidye yazılımı operasyon sitelerini barındırmak için menşe ülkelerinin (İsveç, Almanya ve Singapur gibi) dışındaki barındırma sağlayıcılarını kullanır.” söz konusu. “Uzaktan yönetim görevleri için fidye yazılımı web altyapılarına bağlandıklarında gerçek konumlarını gizlemek için bir proxy olarak VPS atlama noktalarını kullanıyorlar.”
Ayrıca, yasadışı operasyonları için ek bir anonimlik katmanı sağlamak için TOR ağının ve DNS proxy kayıt hizmetlerinin kullanımı da göze çarpmaktadır.
Ancak siber güvenlik firması, tehdit aktörlerinin operasyonel güvenlik yanlış adımlarından ve diğer tekniklerinden yararlanarak, geçen hafta, bazıları önceden bilinmeyen altyapı ile ilişkili olan, genel IP adreslerinde barındırılan TOR gizli hizmetlerini tanımlayabildiğini açıkladı. Kara Melekler, kapmak, Kuantumve Nokoyawa fidye yazılımı grupları.
Fidye yazılımı gruplarının, çalıntı verileri sızdırmaktan mağdurlarla ödeme pazarlığına kadar uzanan yasa dışı faaliyetlerini gizlemek için dark web’e güvendiği bilinirken, Talos, “karanlıktakilerle aynı tehdit aktörü altyapısını barındıran genel IP adreslerini” tanımlayabildiğini açıkladı. ağ.”
“Genel internet IP’lerini belirlemek için kullandığımız yöntemler, tehdit aktörlerinin eşleşmesini içeriyordu. [self-signed] TLS sertifikası Eubanks, “Seri numaraları ve halka açık internette indekslenen sayfa öğeleri” dedi.
TLS sertifika eşleştirmesinin yanı sıra, rakiplerin net web altyapılarını ortaya çıkarmak için kullanılan ikinci bir yöntem, Shodan gibi web tarayıcılarını kullanarak darknet web siteleriyle ilişkili sık kullanılanların halka açık internete karşı kontrol edilmesini gerektirdi.
Bu durumuda NokoyawaBu yılın başlarında ortaya çıkan ve Karma ile önemli kod benzerlikleri paylaşan yeni bir Windows fidye yazılımı türü olan TOR gizli hizmetinde barındırılan sitenin, araştırmacıların “/var/log/auth.log” kullanıcı oturumlarını yakalamak için kullanılan dosya.
Bulgular, yalnızca suç aktörlerinin sızdırma sitelerinin internetteki herhangi bir kullanıcı için erişilebilir olduğunu değil, sunucu verilerinin tanımlanması dahil olmak üzere diğer altyapı bileşenlerinin açıkta bırakıldığını ve fidye yazılımı sunucularını yönetmek için kullanılan oturum açma konumlarının elde edilmesini etkin bir şekilde mümkün kıldığını gösteriyor.
Başarılı kök kullanıcı oturumlarının daha fazla analizi, bunların iki IP adresinden kaynaklandığını gösterdi 5.230.29[.]12 ve 176.119.0[.]İlki Sanal Özel Sunucu (VPS) hizmetleri sunan bir barındırma sağlayıcısı olan GHOSTnet GmbH’ye ait olan 195.
“176.119.0[.]195, ancak Tyatkova Oksana Valerievna adı altında listelenen AS58271’e ait” diyen Eubanks, “Operatör, karışıklık için Alman tabanlı VPS’yi kullanmayı unutmuş ve bu web sunucusuyla doğrudan 176.119 adresindeki gerçek konumundan oturum açmış olabilir. .0[.]195.”
LockBit, yenilenen RaaS işlemine bir hata ödül programı ekliyor
Gelişme, ortaya çıkan Black Basta fidye yazılımının operatörleri olarak geliyor genişletilmiş saldırı cephaneliğini, ilk erişim ve yanal hareket için QakBot’u kullanarak ve ayrıcalıklı dosya işlemlerini yürütmek için PrintNightmare güvenlik açığından (CVE-2021-34527) yararlanarak.
Dahası, geçen hafta LockBit fidye yazılımı çetesi ilan edildi LockBit 3.0’ın, kendi Bug Bounty programını başlatmanın yanı sıra “Fidye Yazılımını Tekrar Harika Yap!” mesajıyla piyasaya sürülmesi, güvenlik kusurlarının belirlenmesi ve yazılımını geliştirmek için “mükemmel fikirler”in belirlenmesi için 1.000 ila 1 milyon ABD Doları arasında değişen ödüller sunuyor.
Tenable’da kıdemli personel araştırma mühendisi Satnam Narang yaptığı açıklamada, “Bir hata ödül programının tanıtımıyla LockBit 3.0’ın piyasaya sürülmesi, siber suçlulara grubun zirvede kalma arayışında yardımcı olmalarına yardımcı olmak için resmi bir davettir.” Dedi. Hacker Haberleri ile.
“Hata ödül programının temel odak noktalarından biri savunma önlemleridir: Güvenlik araştırmacılarının ve kolluk kuvvetlerinin sızıntı sitelerinde veya fidye yazılımlarında hata bulmasını önlemek, bağlı kuruluş programı patronu da dahil olmak üzere üyelerin kandırılabileceği yolları belirlemek ve mesajlaşmada hataları bulmak. grup tarafından dahili iletişim için kullanılan yazılım ve Tor ağının kendisi.”
“Doxed veya tespit edilme tehdidi, kolluk kuvvetleri çabalarının LockBit gibi gruplar için açıkça büyük bir endişe kaynağı olduğuna işaret ediyor. Son olarak, grup Zcash’i bir ödeme seçeneği olarak sunmayı planlıyor, çünkü Zcash’i takip etmek Bitcoin’den daha zor, araştırmacıların grubun faaliyetlerini takip etmelerini zorlaştırıyor.”