Siber suçlular, Orta Doğu, Afrika ve Asya’daki saldırılarda kullandıkları kötü şöhretli GhostLocker fidye yazılımının gelişmiş bir sürümünü geliştirdi.
GhostSec ve Stormous adlı iki fidye yazılımı grubu, Lübnan, İsrail, Güney Afrika, Türkiye, Mısır, Hindistan, Vietnam ve Tayland’daki kuruluşlara da bulaşmak için yeni GhostLocker 2.0’ı kullanarak çifte şantajlı fidye yazılımı saldırılarıyla saldırı kampanyalarında güçlerini birleştirdi. diğer yerler gibi.
Teknoloji şirketleri, üniversiteler, üretim, ulaşım ve devlet kuruluşları, kurbanları, dosya şifreleyen kötü amaçlı yazılım tarafından erişilemez hale getirilen verileri çözmek için gereken şifre çözme anahtarları için ödeme yapmaları amacıyla dolandırmaya çalışan saldırıların yükünü taşıyor. Yeni kötü amaçlı yazılım ve siber saldırı kampanyasını keşfeden Cisco Talos’taki araştırmacılara göre saldırganlar, mağdurlar onlara sus parası ödemediği sürece çalınan hassas verileri serbest bırakmakla da tehdit ediyor.
RaaS al Ghoul
Hem GhostLocker hem de Stormous fidye yazılımı grupları, STMX_GhostLocker adlı revize edilmiş bir hizmet olarak fidye yazılımı (RaaS) programını kullanıma sunarak, bağlı kuruluşlarına çeşitli seçenekler sunuyor.
GhostSec ve Stormous grupları, veri hırsızlıklarını Telegram kanallarında ve Stormous fidye yazılımı veri sızıntısı sitesinde duyurdular.
Bu hafta teknik bir blog yazısında Cisco Talos, GhostSec’in İsrail’in Endüstriyel sistemlerine, kritik altyapısına ve teknoloji şirketlerine saldırdığını söyledi. Kurbanlar arasında İsrail Savunma Bakanlığı da yer alıyor ancak grubun amacının kinetik sabotaj amaçlı değil, öncelikli olarak kâr odaklı olduğu görülüyor.
Grubun Telegram kanalındaki sohbetler, grubun (en azından kısmen) hacktivistler ve tehdit aktörleri için fon toplama arzusuyla motive olduğunu gösteriyor. Grubun seçtiği takma ad GhostSec, IŞİD yanlısı web sitelerini hedef almasıyla bilinen tanınmış hacktivist ekip Ghost Security Group’un takma adına benziyor. diğer siber saldırılarancak herhangi bir bağlantı doğrulanmadı.
Stormous çetesi, geçtiğimiz Temmuz ayında Küba bakanlıklarına karşı gerçekleştirilen başarılı bir ortak operasyonun ardından mevcut StormousX programına GhostLocker fidye yazılımı programını ekledi.
XSS Noktayı İşaretliyor
GhostSec’in Endonezya’daki bir ulusal demiryolu operatörü ve Kanadalı bir enerji tedarikçisi de dahil olmak üzere kurumsal web sitelerine saldırılar düzenlediği görülüyor. Cisco Talos, grubun GhostPresser aracını savunmasız web sitelerine yönelik siteler arası komut dosyası oluşturma (XSS) saldırılarıyla birlikte kullanıyor olabileceğini bildirdi.
Fidye yazılımının önde gelenleri, saldırganların potansiyel hedeflerinin web sitelerini taramak için kullanabileceği yeni geliştirilmiş GhostSec derin tarama araç seti sunuyor.
Python tabanlı yardımcı program, hedeflenen web sitelerinde belirli güvenlik açıklarını (CVE numaralarına göre) tarama potansiyeli de dahil olmak üzere belirli işlevleri gerçekleştirmek için yer tutucular içerir. Cisco Talos’a göre vaat edilen işlevsellik, “GhostSec’in cephaneliğindeki araçların sürekli gelişimini” gösteriyor. Güvenlik araştırmacıları, kötü amaçlı yazılım geliştiricilerinin sohbetlerinde “GhostLocker v3” üzerinde “devam eden çalışmalara” atıfta bulunduğunu bildirdi.
Denizkabuğundaki hayalet
GhostLocker 2.0, kurbanın makinesindeki dosyaları dosya uzantısını kullanarak şifreler .hayalet Bir fidye notu bırakıp açmadan önce. Olası işaretler, yedi günlük süre dolmadan önce fidye yazılımı operatörleriyle iletişime geçmemeleri halinde çalınan verilerin sızdırılacağı konusunda uyarıyor.
Hizmet olarak GhostLocker fidye yazılımı bağlı kuruluşları, kontrol paneline otomatik olarak kaydedilen saldırılarının ilerleyişini izlemelerine olanak tanıyan bir kontrol paneline erişime sahiptir. GhostLocker 2.0 komut ve kontrol sunucusu, fidye yazılımının önceki sürümlerine benzer bir kurulum olan Moskova’daki coğrafi konumla çözüm sağlıyor.
Ödeme yapan bağlı kuruluşlar, şifreleme için hedef dizin de dahil olmak üzere çeşitli seçeneklerle yapılandırılabilen bir fidye yazılımı oluşturucuya erişim kazanır. Geliştiriciler, fidye yazılımını .doc, .docx, .xls ve .xlsx (yani Word tarafından oluşturulan belge dosyası ve elektronik tablolar) dosya uzantılarına sahip dosyaları sızdıracak ve şifreleyecek şekilde yapılandırdı.
GhostLocker’ın son sürümü, Python kullanılarak geliştirilen önceki sürümden farklı olarak GoLang programlama dilinde yazılmıştır. Ancak Cisco Talos’a göre işlevsellik benzer kalıyor. Yeni sürümün bir farkı, şifreleme anahtarı uzunluğunun 128 bit’ten 256 bit’e iki katına çıkarılmasıdır.