Günümüzün en belirgin fidye yazılımı türlerinden biri, çalınan hassas verileri bulutta depolayan yeni bir özel aracın eklenmesiyle daha da ölümcül hale geldi.
Symantec’in Tehdit Avcısı Ekibinden siber güvenlik araştırmacıları, BlackByte hakkında en az bir fidye yazılımı iştirakinin çalınan verileri sifonlamak için Exbyte kullandığını belirten yeni bir rapor yayınladı.
Exbyte, Go for Windows’ta yerleşik olarak bulunan özel bir veri hırsızlığı aracıdır ve açıldığında, çalınan tüm verileri Mega bulut depolamadaki belirli bir klasöre gönderir. (yeni sekmede açılır) hizmet. Klasör parola korumalıdır ve kimlik bilgileri aracın kendisine sabit kodlanmıştır. Ancak, dosyaları göndermeden önce araç, sanal alanda olup olmadığını kontrol edecek ve bu da siber güvenlik ekiplerinin örneği analiz etmesini zorlaştıracaktır. Ayrıca, güvenliği ihlal edilmiş uç noktada çalışan herhangi bir virüsten koruma aracı olup olmadığını da kontrol eder.
Yükseliyor
Bu, BlackByte’ın özellikle Conti ve REvil’in kaldırılmasıyla fidye yazılımı dünyasının en önde gelen oyuncularından biri haline geldiğinin açık bir işaretidir.
“Conti ve Sodinokibi gibi bir dizi büyük fidye yazılımı operasyonunun ayrılmasının ardından [also known as REvil]Symantec’in raporunda, BlackByte, pazardaki bu boşluktan yararlanan fidye yazılımı aktörlerinden biri olarak ortaya çıktı.
Oyuncuların artık BlackByte saldırılarında kullanmak üzere özel araçlar oluşturması, bunun baskın fidye yazılımı tehditlerinden biri olma yolunda olabileceğini gösteriyor.”
Exbyte, etraftaki tek özel veri hırsızlığı aracı değildir. Symantec’ten araştırmacılar, geçen yıl Kasım ayında Exmatter adlı benzer bir araç tespit ettiklerini de söylediler. Bu, her şeyden önce BlackMatter fidye yazılımı grubu tarafından kullanıldı. Daha sonra Noberus tarafından kabul edildi. Ryuk, Ryuk Stealer’ı kullanırken LockBit, StealBit’i kullanır.
Aracılığıyla: Kayıt (yeni sekmede açılır)