BlackCat veya ALPHV olarak bilinen fidye yazılımı operatörlerinin, bilinen bir kötü amaçlı yazılımın, hedef uç noktalardaki ayrıcalıkları yükseltmelerine ve bilgisayarda çalışıyor olabilecek antivirüs veya uç nokta güvenlik çözümlerini sonlandırmasına olanak tanıyan güncellenmiş bir sürümünü kullandığı görüldü.
Haber, güncellenmiş kötü amaçlı yazılımı tespit eden Trend Micro araştırmacılarının izniyle geldi.
Araştırmacılara göre, kötü amaçlı yazılım “POORTRY” olarak biliniyor. İlk olarak geçen yılın sonlarında, Microsoft, Mandiant, Sophos ve SentinelOne’dan araştırmacılar POORTRY’nin fidye yazılımı dağıtımından hazırlanırken antivirüs programlarını devre dışı bırakmak için kullanıldığını gördüklerinde keşfedildi. O zamanlar, POORTRY’nin gerçek Microsoft Windows Donanım Geliştirici Programı hesaplarından çalınan anahtarlarla imzalanmış bir Windows çekirdek sürücüsü olduğu anlaşılmıştı.
Onlarca firmaya saldırı
Ancak, kod imzalama anahtarları kısa süre sonra iptal edildiğinden ve kötü amaçlı yazılım basında geniş yer bulduğundan, çoğu antivirüs programı bunu algılamaya başladı ve saldırganların bir güncelleme yapmasını istedi. Araştırmacılar, şimdi bu yeni sürümün çalıntı veya sızdırılmış bir çapraz imza sertifikası kullanılarak imzalandığını söylüyor.
Hedef hala aynı – hedef uç noktadaki ayrıcalıkları yükseltmek ve antivirüs veya siber güvenlik programları ve sistemleriyle ilgili tüm işlemleri sonlandırmak.
Sürücü, herhangi bir sistem işlemini sonlandırmak için kullanılmasının yanı sıra, belirli dosya yollarını silmek, dosyaları zorla kopyalamak ve zorla silmek, dosyaları kopyalamak, işlemleri kaydetmek ve kaydını silmek ve hatta sistemi yeniden başlatmak için de kullanılabilir. Ayrıca, bu özelliklerin hepsinin istendiği gibi çalışmadığını belirtmekte fayda var, bu da araştırmacıları kötü amaçlı yazılımın hala geliştirme aşamasında veya test aşamasında olduğuna inandırıyor.
Orijinal POORTRY kötü amaçlı yazılımını kullanan grup, 0ktapus veya Scattered Spider olarak da bilinen UNC3944 olarak tanımlandı. Bu yeni sürüm BlackCat (ALPHV) tarafından kullanılmaktadır. Bu konuda kesin olmak zor olsa da, araştırmacılar iki grup arasında “gevşek bir bağlantı” olabileceğini ima ediyorlar.
Aracılığıyla: BleepingBilgisayar
