Tehdit aktörleri, Cobalt Strike ve FreeWorld adlı bir fidye yazılımı türü sunmak için güvenliği zayıf Microsoft SQL (MS SQL) sunucularından yararlanıyor.
Kampanyaya adını veren siber güvenlik firması Securonix DB#JAMMERbunun araç seti ve altyapının kullanılma şekliyle öne çıktığını söyledi.
Güvenlik araştırmacıları Den Iuzvyk, Tim Peck ve Oleg Kolesnikov, “Bu araçlardan bazıları arasında numaralandırma yazılımı, RAT verileri, istismar ve kimlik bilgileri çalma yazılımları ve son olarak fidye yazılımı verileri yer alıyor” söz konusu Faaliyetin teknik dökümünde.
“Tercih edilen fidye yazılımı yükü, fidye yazılımının daha yeni bir çeşidi gibi görünüyor Fidye yazılımını taklit edin Özgür Dünya denir.”
Kurban ana bilgisayarına ilk erişim, MS SQL sunucusunun veritabanını numaralandırmak için kullanılması ve xp_cmdshell yapılandırma seçeneği kabuk komutlarını çalıştırmak ve keşif yapmak için.
Bir sonraki aşama, sistem güvenlik duvarını bozmak ve uzak bir SMB paylaşımına bağlanarak kurban sisteme/sistemden dosya aktarmak ve ayrıca Cobalt Strike gibi kötü amaçlı araçları yüklemek suretiyle kalıcılık oluşturmak için adımlar atmayı gerektirir.
Bu da AnyDesk yazılımının dağıtımının sonunda FreeWorld fidye yazılımını zorlamasının önünü açıyor, ancak bunu daha önce yanal bir hareket adımı gerçekleştirmeden yapmıyor. Bilinmeyen saldırganların ayrıca Ngrok aracılığıyla RDP kalıcılığı sağlamaya çalıştıkları da söyleniyor.
Araştırmacılar, “Saldırı başlangıçta MS SQL sunucusuna yapılan kaba kuvvet saldırısı sonucunda başarılı oldu” dedi. “Özellikle kamuya açık hizmetlerde güçlü şifrelerin önemini vurgulamak önemlidir.”
Açıklama, Rhysida fidye yazılımının operatörlerinin talep edildi Yarısından fazlası Avrupa’da olmak üzere 41 kurban.
Rhysida, Mayıs 2023’te ortaya çıkan yeni fidye yazılımı türlerinden biri. Giderek daha popüler hale gelen, kuruluşlardaki hassas verileri şifreleme ve sızdırma taktiğini benimseyen ve kurbanların ödemeyi reddetmesi halinde bilgileri sızdırmakla tehdit eden bir yazılım.
Aynı zamanda bir fidye yazılımı için ücretsiz bir şifre çözücünün piyasaya sürülmesinin ardından geldi. Anahtar Grup programdaki birden fazla şifreleme hatası nedeniyle. Ancak Python betiği yalnızca 3 Ağustos 2023’ten sonra derlenen örneklerde çalışır.
Hollandalı siber güvenlik şirketi EclecticIQ, “Key Group fidye yazılımı, kurbanların verilerini şifrelemek için base64 kodlu bir statik anahtar N0dQM0I1JCM= kullanıyor” söz konusu Perşembe günü yayınlanan bir raporda.
“Tehdit aktörü, tuzlama adı verilen bir şifreleme tekniği kullanarak şifrelenmiş verilerin rastgeleliğini artırmaya çalıştı. Tuz statikti ve her şifreleme işlemi için kullanılıyordu, bu da şifreleme rutininde önemli bir kusur teşkil ediyordu.”
Algıla, Yanıtla, Koru: Eksiksiz SaaS Güvenliği için ITDR ve SSPM
Kimlik Tehdit Algılama ve Yanıtının (ITDR) SSPM’nin yardımıyla tehditleri nasıl tanımladığını ve azalttığını keşfedin. Kurumsal SaaS uygulamalarınızın güvenliğini nasıl sağlayacağınızı ve ihlal sonrasında bile verilerinizi nasıl koruyacağınızı öğrenin.
2022’deki durgunluğun ardından fidye yazılımı saldırılarında 2023 yılı rekor bir artışa tanık oldu; buna rağmen mağdurun ödeme yapmasıyla sonuçlanan olayların yüzdesi %34 gibi rekor düşük bir seviyeye düştü. İstatistik Coveware tarafından Temmuz 2023’te paylaşıldı.
Ödenen ortalama fidye miktarı ise 2023’ün ilk çeyreğine göre %126 artışla 740.144 dolara ulaştı.
Para kazanma oranlarındaki dalgalanmalara, fidye yazılımı tehdit aktörlerinin, kurbanlarının neden bir fidye almaya uygun olmadığını göstermek için saldırı tekniklerinin ayrıntılarını paylaşma da dahil olmak üzere şantaj ticaret becerilerini geliştirmeye devam etmesi eşlik ediyor. siber sigorta ödemesi.
“kapkaç Emsisoft güvenlik araştırmacısı Brett Callow, geçenlerde X’te (eski adıyla Twitter) paylaşılan bir gönderide, ödeme yapmayan mağdurlara yönelik saldırıların, sigorta şirketlerinin olayların sigorta fidye yazılımı kapsamına girmemesi gerektiğine karar vermesi umuduyla nasıl başarılı olduğuna dair ayrıntıları açıklayacaklarını iddia ediyor, dedi. ay.