BlackCat fidye yazılımıyla ilişkili tehdit aktörlerinin, WinSCP dosya aktarım uygulamasının hileli yükleyicilerini dağıtmak için kötü amaçlı reklam hileleri kullandığı gözlemlendi.
Trend Micro araştırmacıları, “Kötü amaçlı aktörler, meşru kuruluşların klonlanmış web sayfaları aracılığıyla bir parça kötü amaçlı yazılım dağıtmak için kötü amaçlı reklamcılığı kullandı.” söz konusu geçen hafta yayınlanan bir analizde. “Bu durumda dağıtım, dosya aktarımı için açık kaynaklı bir Windows uygulaması olan iyi bilinen WinSCP uygulamasının bir web sayfasını içeriyordu.”
Kötü amaçlı reklamcılık atıfta kullanımına SEO zehirlenme teknikleri Kötü amaçlı yazılımları çevrimiçi reklamcılık yoluyla yaymak için. Tipik olarak, şüphelenmeyen kullanıcıları kabataslak sayfalara yönlendirmek amacıyla Bing ve Google arama sonuçları sayfalarında sahte reklamlar görüntülemek için seçilen bir anahtar kelime grubunun ele geçirilmesini içerir.
Buradaki fikir, WinSCP gibi uygulamaları arayan kullanıcıları kötü amaçlı yazılım indirmeleri için kandırmaktır. Kobalt Saldırı İşareti sonraki işlemler için uzak bir sunucuya bağlanırken ağ keşfini kolaylaştırmak için AdFind gibi yasal araçlar da kullanır.
Cobalt Strike tarafından sağlanan erişim, keşif, sayım (PowerView), yanal hareket (PsExec), antivirüs yazılımını atlamak (KillAV BAT) ve müşteri verilerini çalmak (PuTTY Secure Copy istemcisi) yapmak için bir dizi programı indirmek için daha da kötüye kullanılır. kullanımı da gözlenmektedir. Terminatör Kendi Savunmasız Sürücüsünü Getir (BYOVD) saldırısı yoluyla güvenlik yazılımını kurcalamak için savunma kaçırma aracı.
Siber güvenlik şirketi tarafından detaylandırılan saldırı zincirinde tehdit aktörleri, istismar sonrası faaliyetleri yürütmek için üst düzey yönetici ayrıcalıklarını çalmayı başardı ve yedekleme sunucularının yanı sıra AnyDesk gibi uzaktan izleme ve yönetim araçlarını kullanarak kalıcılık sağlamaya çalıştı.
Trend Micro, “Daha sonra müdahale istenseydi, özellikle de tehdit aktörleri alan yöneticisi ayrıcalıklarına ilk erişimi elde etmeyi başarmış ve arka kapılar ve kalıcılık oluşturmaya başlamışken, kuruluşun saldırıdan büyük olasılıkla etkilenmiş olması kuvvetle muhtemeldir.” dedi. .
Geliştirme, kötü amaçlı yazılım sunmak için Google Ads platformundan yararlanan tehdit aktörlerinin yalnızca en son örneğidir. Kasım 2022’de Microsoft, daha sonra Royal fidye yazılımını düşürmek için kullanılan BATLOADER’ı dağıtmak için reklam hizmetinden yararlanan bir saldırı kampanyasını açıkladı.
Aynı zamanda Çek siber güvenlik şirketi Avast olarak geliyor piyasaya sürülmüş kurbanların operatörlere ödeme yapmak zorunda kalmadan verilerini kurtarmasına yardımcı olmak için acemi Akira fidye yazılımı için ücretsiz bir şifre çözücü. İlk olarak Mart 2023’te ortaya çıkan Akira, o zamandan beri hedef alanını genişletti Linux sistemlerini dahil etmek.
Avast araştırmacıları, “Akira’nın Conti v2 fidye yazılımıyla birkaç benzerliği var; bu, kötü amaçlı yazılım yazarlarının en azından sızdırılan Conti kaynaklarından ilham aldığını gösterebilir.” Şirket, fidye yazılımının şifreleme algoritmasını nasıl kırdığını açıklamadı.
Gold Ulrick veya ITG23 olarak da bilinen Conti/TrickBot sendikası, Rusya’nın Ukrayna’yı işgalinin başlamasıyla tetiklenen bir dizi yıkıcı olay yaşadıktan sonra Mayıs 2022’de kapandı. Ancak e-suç grubu, daha küçük kuruluşlar olmasına ve warez’lerini dağıtmak için paylaşılan şifreleyicileri ve altyapıyı kullanmasına rağmen bu tarihe kadar var olmaya devam ediyor.
IBM Security X-Force, yakın zamanda yaptığı derin bir incelemede, çetenin, antivirüs tarayıcıları tarafından tespit edilmekten kaçınmak ve analizi engellemek için kötü amaçlı yazılımları şifrelemek ve gizlemek için tasarlanmış uygulamalar olan şifreleyicilerinin, Aresloader, Canyon gibi yeni kötü amaçlı yazılım türlerini yaymak için de kullanıldığını söyledi. , CargoBay, DICELOADER, Lumma C2, Matanbuchus, Minodo (eski adıyla Domino), Pikabot, SVCReady, Vidar.
Güvenlik araştırmacıları Charlotte Hammond ve Ole Villadsen, “Önceden, şifreleyiciler ağırlıklı olarak ITG23 ve yakın ortaklarıyla ilişkili çekirdek kötü amaçlı yazılım aileleriyle kullanılıyordu.” söz konusu. “Ancak, ITG23’ün kırılması ve yeni hiziplerin, ilişkilerin ve yöntemlerin ortaya çıkması, şifreleyicilerin nasıl kullanıldığını etkiledi.”
Siber suç ekosisteminin dinamik doğasına rağmen, hain siber aktörler gelip giderken ve bazı operasyonlar bir araya geldikçe, finansal amaçlı planlarını durdururken veya yeniden markalaştırırken, fidye yazılımı sürekli bir tehdit olmaya devam ediyor.
Buna, Batı Avrupa, Kuzey ve Güney Amerika ve Avustralya’da öncelikli olarak eğitim, devlet, üretim ve teknoloji sektörlerini ayıran Rhysida adlı yeni bir hizmet olarak fidye yazılımı (RaaS) grubunun ortaya çıkışı da dahildir.
SentinelOne, “Rhysida, MINGW/GCC kullanılarak derlenmiş bir 64-bit Portable Executable (PE) Windows kriptografik fidye yazılımı uygulamasıdır.” söz konusu teknik bir yazıda. “Analiz edilen her örnekte, uygulamanın program adı Rhysida-0.1 olarak ayarlandı, bu da aracın geliştirmenin ilk aşamalarında olduğunu gösteriyor.”
