GhostSec adlı siber suç grubu, fidye yazılımı ailesinin Golang versiyonuyla ilişkilendirildi. Hayalet Kilitleyici.
Cisco Talos araştırmacısı Chetan Raghuprasad, “TheGhostSec ve Stormous fidye yazılımı grupları, birden fazla ülkedeki çeşitli iş sektörlerine ortaklaşa çift gasplı fidye yazılımı saldırıları düzenliyor.” söz konusu The Hacker News ile paylaşılan bir raporda.
“GhostLocker ve Stormous fidye yazılımı, bağlı kuruluşlarına çeşitli seçenekler sunan yeni bir hizmet olarak fidye yazılımı (RaaS) programı STMX_GhostLocker’ı başlattı.”
Grubun düzenlediği saldırılar Küba, Arjantin, Polonya, Çin, Lübnan, İsrail, Özbekistan, Hindistan, Güney Afrika, Brezilya, Fas, Katar, Türkiye, Mısır, Vietnam, Tayland ve Endonezya’daki kurbanları hedef aldı.
En çok etkilenen iş sektörlerinden bazıları arasında teknoloji, eğitim, üretim, hükümet, ulaşım, enerji, hukuk, emlak ve telekom yer alıyor.
GhostSec – karıştırılmamalıdır Hayalet Güvenlik Grubu (aynı zamanda GhostSec olarak da adlandırılır) – adlı bir koalisyonun parçasıdır Beş AileAyrıca ThreatSec, Stormous, Blackforums ve SiegedSec’i de içerir.
Ağustos 2023’te “internetin yeraltı dünyasında herkes için daha iyi birlik ve bağlantılar kurmak, iş ve operasyonlarımızı genişletip büyütmek” amacıyla kuruldu.
Geçen yılın sonlarında siber suç grubu riske attı GhostLocker ile hizmet olarak fidye yazılımına (RaaS) bağlanarak bunu diğer aktörlere ayda 269,99 dolara sunuyor. Kısa bir süre sonra Stormous fidye yazılımı grubu, saldırılarında Python tabanlı fidye yazılımını kullanacağını duyurdu.
Talos’tan gelen son bulgular, iki grubun yalnızca geniş bir sektör yelpazesine saldırmak için değil, aynı zamanda Kasım 2023’te GhostLocker’ın güncellenmiş bir sürümünü piyasaya sürmek ve 2024’te STMX_GhostLocker adlı yeni bir RaaS programını başlatmak için bir araya geldiğini gösteriyor.
Raghuprasad, “Yeni program, bağlı kuruluşlar için üç hizmet kategorisinden oluşuyor: ücretli, ücretsiz ve programı olmayan, yalnızca bloglarında veri satmak veya yayınlamak isteyen kişiler için (PYV hizmeti)” diye açıkladı Raghuprasad.
Karanlık ağda kendi sızıntı sitesiyle birlikte gelen STMX_GhostLocker, Hindistan, Özbekistan, Endonezya, Polonya, Tayland ve Arjantin’den en az altı kurbanı listeliyor.
GhostLocker 2.0 (diğer adıyla GhostLocker V2) Go’da yazılmıştır ve tamamen etkili olduğu ve hızlı şifreleme/şifre çözme yetenekleri sunduğu duyurulmuştur. Ayrıca kurbanların yedi gün içinde kendileriyle iletişime geçmesini, aksi takdirde çalınan verilerinin sızma riskiyle karşı karşıya kalmasını teşvik eden yenilenmiş bir fidye notuyla birlikte geliyor.
RaaS şeması aynı zamanda bağlı kuruluşların bir web paneli aracılığıyla operasyonlarını takip etmelerine, şifreleme durumlarını ve ödemeleri izlemelerine olanak tanır. Ayrıca, şifrelenecek dizinler ve şifreleme işlemine başlamadan önce sonlandırılacak işlemler ve hizmetler de dahil olmak üzere, dolap yükünü kendi tercihlerine göre yapılandırmayı mümkün kılan bir oluşturucu da sağlanır.
Fidye yazılımı dağıtıldıktan sonra bir komuta ve kontrol (C2) paneliyle bağlantı kurar ve şifreleme rutinine devam eder, ancak bunu yapmadan önce tanımlanmış işlemleri veya hizmetleri sonlandırıp belirli bir uzantı listesiyle eşleşen dosyaları dışarı çıkarır.
Talos, GhostSec’in meşru siteleri tehlikeye atmak için kullandığı iki yeni araç keşfettiğini söyledi. Raghuprasad, “Bunlardan biri, yasal web sitelerini yinelemeli olarak tarayan ‘GhostSec Derin Tarama araç seti’, diğeri ise “GhostPresser” adı verilen, siteler arası komut dosyası oluşturma (XSS) saldırıları gerçekleştiren bir hack aracıdır” dedi.
GhostPresser temel olarak WordPress sitelerine sızmak üzere tasarlanmış olup, tehdit aktörlerinin site ayarlarını değiştirmesine, yeni eklentiler ve kullanıcılar eklemesine ve hatta yeni temalar yüklemesine olanak tanıyarak GhostSec’in cephaneliğini geliştirme konusundaki kararlılığını göstermektedir.
Talos, “Grubun kendisi bunu kurbanlara yönelik saldırılarda kullandıklarını iddia etti, ancak bu iddiaların hiçbirini doğrulamak için herhangi bir yolumuz yok. Bu araç muhtemelen fidye yazılımı operatörleri tarafından çeşitli nedenlerle kullanılacaktır” dedi. Hacker Haberleri.
“Derin tarama aracı, kurban ağlarına girmenin yollarını aramak için kullanılabilir ve GhostPresser aracı, kurban web sitelerini tehlikeye atmanın yanı sıra, aktör altyapısını kullanmak istemiyorlarsa, dağıtım için yükleri hazırlamak için de kullanılabilir.”