Arkasındaki tehdit aktörleri 8Base fidye yazılımı Mali amaçlı saldırılarını gerçekleştirmek için Phobos fidye yazılımının bir çeşidinden yararlanıyorlar.
Bulgular, siber suçluların gerçekleştirdiği faaliyetlerde artış kaydeden Cisco Talos’tan geliyor.
Güvenlik araştırmacısı Guilherme Venere kapsamlı bir açıklamasında, “Grubun Phobos çeşitlerinin çoğu, bir arka kapı truva atı olan SmokeLoader tarafından dağıtılıyor” dedi. iki parçalı analiz Cuma yayınlandı.
“Bu emtia yükleyici, konuşlandırıldığında genellikle ek yükleri bırakıyor veya indiriyor. Ancak 8Base kampanyalarında, şifrelenmiş yüklerine fidye yazılımı bileşeni yerleştirilmiş ve bu bileşen daha sonra şifresi çözülerek SmokeLoader işleminin belleğine yükleniyor.”
8Base, siber güvenlik topluluğu tarafından faaliyetlerde benzer bir artışın gözlemlendiği 2023 yılının ortalarında keskin bir şekilde odak noktasına geldi. En azından Mart 2022’den beri aktif olduğu söyleniyor.
VMware Carbon Black’in Haziran 2023’te yaptığı önceki bir analiz, 8Base ile RansomHouse arasında paralellikler tespit etmenin yanı sıra, şifrelenmiş dosyalar için “.8base” dosya uzantısı kullanılarak bulunan bir Phobos fidye yazılımı örneğini de ortaya çıkardı.
Bu, 8Base’in ya Phobos’un halefi olduğu ya da operasyonun arkasındaki tehdit aktörlerinin, Vice Society fidye yazılımı grubuna benzer şekilde saldırılarını gerçekleştirmek için yalnızca mevcut fidye yazılımı türlerini kullandıkları olasılığını artırdı.
Cisco Talos’un en son bulguları, SmokeLoader’ın, Phobos yüküdaha sonra kalıcılığı sağlamak, hedef dosyaları açık tutabilecek işlemleri sonlandırmak, sistem kurtarmayı devre dışı bırakmak ve yedeklerin yanı sıra gölge kopyaları silmek için gerekli adımları gerçekleştirir.
Dikkate değer bir diğer özellik ise, şifreleme sürecini hızlandırmak için 1,5 MB’ın altındaki dosyaların tam olarak şifrelenmesi ve eşiğin üzerindeki dosyaların kısmi olarak şifrelenmesidir.
Ayrıca yapı, sabit kodlanmış bir anahtar kullanılarak şifrelenen 70’in üzerinde seçeneğe sahip bir yapılandırmayı içerir. Yapılandırma, Kullanıcı Hesabı Denetimi gibi ek özelliklerin kilidini açar (UAC) kurbanın enfeksiyonunu atlamak ve harici bir URL’ye raporlamak.
Ayrıca şifrelemede kullanılan dosya başına AES anahtarını korumak için kullanılan sabit kodlu bir RSA anahtarı da mevcut. Talos, bunun fidye yazılımı tarafından kilitlenen dosyaların şifresinin çözülmesine yardımcı olabileceğini söyledi.
Venere, “Her dosya şifrelendikten sonra, şifrelemede kullanılan anahtar ve ek meta veriler, sabit kodlu bir genel anahtarla RSA-1024 kullanılarak şifreleniyor ve dosyanın sonuna kaydediliyor.” diye açıkladı.
“Ancak bu, özel RSA anahtarı bilindiğinde, 2019’dan bu yana herhangi bir Phobos varyantı tarafından şifrelenen herhangi bir dosyanın şifresinin güvenilir bir şekilde çözülebileceği anlamına geliyor.”
Phobosİlk kez 2019’da ortaya çıkan fidye yazılımı, Dharma (aka Crysis) fidye yazılımının bir evrimidir ve VirusTotal’da ortaya çıkarılan eserlerin hacmine bağlı olarak, fidye yazılımı ağırlıklı olarak Eking, Eight, Elbie, Devos ve Faust varyantları olarak ortaya çıkmaktadır.
Venere, “Örneklerin tümü aynı kaynak kodunu içeriyordu ve bağlı diğer Phobos’un zaten kilitlediği dosyaların şifrelenmesini önleyecek şekilde yapılandırılmıştı, ancak yapılandırma, konuşlandırılan değişkene bağlı olarak biraz değişti.” dedi. “Bu, fidye yazılımının yapılandırma ayarlarındaki dosya uzantısı engelleme listesine dayanmaktadır.”
Cisco Talos, Phobos’un merkezi bir otorite tarafından yakından yönetildiğini, aynı RSA genel anahtarına, iletişim e-postalarındaki farklılıklara ve düzenli güncellemelere dayalı olarak diğer bağlı kuruluşlara hizmet olarak fidye yazılımı (RaaS) olarak satıldığını değerlendiriyor. fidye yazılımının uzantı engelleme listeleri.
Venere, “Uzatma engelleme listeleri, zaman içinde aynı temel örneği hangi grupların kullandığına dair bir hikaye anlatıyor gibi görünüyor” dedi.
“Pek çok Phobos örneğinde bulunan uzantı blok listeleri […] önceki Phobos kampanyalarında kilitlenen yeni dosyalarla sürekli olarak güncellenir. Bu, inşaatçının arkasında geçmişte Phobos’u kimin kullandığının izini süren merkezi bir otoritenin olduğu fikrini destekleyebilir. Amaç, Phobos’a bağlı kuruluşların birbirlerinin operasyonlarına müdahale etmesini önlemek olabilir.”
Gelişme FalconFeeds olarak geliyor açıklandı Bir tehdit aktörünün, C dilinde geliştirilen ve “sanal makinelere ve hata ayıklama araçlarına karşı güçlü anti-algılama önlemleri” içeren UBUD adlı gelişmiş bir fidye yazılımı ürününün reklamını yaptığı iddia edildi.
Bu aynı zamanda BlackCat fidye yazılımı grubunun ABD Menkul Kıymetler ve Borsa Komisyonu’na (SEC) kurbanlarından biri olan MeridianLink’in, etkilenen şirketlerin olayı dört iş günü içinde bildirmelerini gerektiren yeni ifşa düzenlemelerine uymadığını iddia eden resmi bir şikayetin ardından geldi. günler, DataBreaches.net rapor edildi.
Finansal yazılım şirketi, 10 Kasım’da bir siber saldırıda hedef alındığını doğruladı ancak sistemlerine yetkisiz erişime dair hiçbir kanıt bulamadığını belirtti.
SEC’in ifşa kuralları önümüzdeki ay olan 18 Aralık’a kadar yürürlüğe girmeyecek olsa da, olağandışı baskı taktiği, tehdit aktörlerinin alanı yakından izlediğinin ve hükümet düzenlemelerini kendi yararlarına esnetmeye ve kurbanları ödemeye zorlamaya istekli olduklarının bir işareti.
Bununla birlikte, yaptırımın yalnızca şirketlerin saldırıların kârlılıkları üzerinde “maddi” bir etki yarattığını tespit ettiği durumlarda geçerli olduğunu belirtmekte fayda var.
Bu arada bir başka üretken fidye yazılımı çetesi LockBit, Ekim 2023’ten itibaren, beklenenden daha az anlaşmalar yapılmasını ve “bağlı kuruluşların farklı deneyim düzeyleri” nedeniyle mağdurlara sunulan daha büyük indirimleri gerekçe göstererek yeni müzakere kuralları belirledi.
LockBit operatörleri, “Şirketin yıllık gelirine bağlı olarak örneğin yüzde 3 gibi bir minimum fidye talebi belirleyin ve yüzde 50’den fazla indirimleri yasaklayın” dedi. detaylı rapor Analist1’den.
“Bu nedenle, şirketin geliri 100 milyon ABD Doları ise, ilk fidye talebi 3 milyon ABD Dolarından başlamalı ve nihai ödeme 1,5 milyon ABD Dolarından az olmamalıdır.”