Yeni ortaya çıkan bir fidye yazılımı türünün analizi RansomHub bunun Knight fidye yazılımının güncellenmiş ve yeniden markalanmış bir versiyonu olduğunu ve kendisinin de Cyclops olarak bilinen başka bir fidye yazılımının evrimi olduğunu ortaya çıkardı.
Knight (aka Cyclops 2.0) fidye yazılımı ilk geldi Mayıs 2023’te istihdam edilen çifte gasp taktiği Mali kazanç için kurbanların verilerini çalmak ve şifrelemek. Onun operasyonel Windows, Linux, macOS, ESXi ve Android dahil olmak üzere birden fazla platformda.
RAMP siber suç forumunda reklamı yapılan ve satılan fidye yazılımını içeren saldırıların, Kimlik avı ve hedef odaklı kimlik avı kampanyalarından yararlanın kötü amaçlı ekler biçiminde bir dağıtım vektörü olarak.
Hizmet olarak fidye yazılımı (RaaS) operasyonu, Şubat 2024’ün sonlarından itibaren kapatıldı. kaynak kodu satışa sunuldubu da farklı bir aktöre el değiştirmiş olabileceği ihtimalini artırıyor, o da daha sonra onu güncelleyip RansomHub markası altında yeniden başlatmaya karar verdi.
Aynı ay ilk kurbanını yayınlayan RansomHub, son haftalarda bir dizi fidye yazılımı saldırısıyla ilişkilendirildi. Sağlık Hizmetini Değiştir, Christie’sVe Sınır İletişimi. Aynı zamanda yemin etti Bağımsız Devletler Topluluğu (BDT) ülkeleri, Küba, Kuzey Kore ve Çin’deki kuruluşları hedeflemekten kaçınmak.
Broadcom’un bir parçası olan Symantec, “Her iki veri de Go’da yazılmıştır ve her ailenin çoğu varyantı Gobfuscate ile karıştırılmıştır”, söz konusu The Hacker News ile paylaşılan bir raporda. “İki aile arasındaki kod örtüşmesinin derecesi önemli, bu da aralarında ayrım yapmayı çok zorlaştırıyor.”
İki fidye yazılımı ailesi, komut satırında aynı yardım menülerini paylaşıyor; RansomHub, onu yürütmeden önce belirli bir süre (dakika olarak) boyunca hareketsiz hale getiren yeni bir “uyku” seçeneği ekliyor. Benzer uyku komutları Kaos/Yashma’da da gözlemlendi ve Trigona fidye yazılımı aileleri.
Knight ve RansomHub arasındaki örtüşmeler aynı zamanda dizeleri kodlamak için kullanılan gizleme tekniğini, dosyaları şifreledikten sonra bırakılan fidye notlarını ve şifrelemeye başlamadan önce bir ana bilgisayarı güvenli modda yeniden başlatma yeteneklerini de kapsıyor.
Symantec, tek temel farkın cmd.exe aracılığıyla yürütülen komutlar dizisi olduğunu, ancak “diğer işlemlere göre çağrılma şekli ve sırasının aynı olduğunu” söyledi.
RansomHub saldırılarının, ilk erişimi elde etmek ve fidye yazılımı dağıtımından önce Atera ve Splashtop gibi uzak masaüstü yazılımlarını bırakmak için bilinen güvenlik kusurlarından (örneğin, ZeroLogon) yararlandığı gözlemlenmiştir.
Buna göre İstatistik Malwarebytes tarafından paylaşılan fidye yazılımı ailesi yalnızca Nisan 2024’te 26 doğrulanmış saldırıyla ilişkilendirilerek Play, Hunters International, Black Basta ve LockBit’in gerisinde kaldı.
Google’ın sahibi olduğu Mandiant, bu hafta yayınlanan bir raporda, açıklığa kavuşmuş RansomHub’ın yakın zamanda yaşanan kapanmalardan veya LockBit ve BlackCat gibi çıkış dolandırıcılıklarından etkilenen bağlı kuruluşları toplamaya çalıştığını söyledi.
“Notchy olarak bilinen eski bir Noberus üyesi artık RansomHub ile çalıştığı bildiriliyorSymantec şunları söyledi: “Buna ek olarak, daha önce Scattered Spider olarak bilinen başka bir Noberus bağlı kuruluşuyla ilişkilendirilen araçlar, yakın zamanda gerçekleşen bir RansomHub saldırısında kullanıldı.”
“RansomHub’ın işini kurma hızı, grubun siber yeraltında deneyimi ve bağlantıları olan deneyimli operatörlerden oluşabileceğini gösteriyor.”
Bu gelişme, fidye yazılımı faaliyetlerinde 2022’deki “hafif düşüş”e kıyasla 2023’teki artışın ortasında gerçekleşti; hatta yıl içinde gözlemlenen 50 yeni ailenin yaklaşık üçte birinin daha önce tanımlanmış fidye yazılımı ailelerinin varyantları olduğu tespit edilmiş olup bu durum fidye yazılımı aktivitesinde 2022’deki artışa işaret etmektedir. Kodun yeniden kullanımının yaygınlığı, aktör örtüşmeleri ve yeniden markalama.
Mandiant araştırmacıları, “Olayların neredeyse üçte birinde fidye yazılımı, saldırganın ilk erişiminden sonraki 48 saat içinde dağıtıldı.” söz konusu. “Fidye yazılımı dağıtımlarının yüzde yetmiş altısı (%76) mesai saatleri dışında gerçekleşti ve çoğunluğu sabahın erken saatlerinde gerçekleşti.”
Bu saldırılar ayrıca, Cobalt Strike’a güvenmek yerine, izinsiz giriş operasyonlarını kolaylaştırmak için ticari olarak temin edilebilen ve yasal uzak masaüstü araçlarının kullanılmasıyla da karakterize edilir.
Mandiant, “Meşru araçlara olan bağımlılığın artması, muhtemelen saldırganların operasyonlarını tespit mekanizmalarından gizleme ve özel araçları geliştirmek ve sürdürmek için gereken zamanı ve kaynakları azaltma çabalarını yansıtıyor” dedi.
Fidye yazılımı saldırılarındaki toparlanma, aşağıdaki gibi yeni fidye yazılımı türlerinin ortaya çıkmasının ardından geldi: Siyah takım elbise, Sisve ShrinkLocker’ın Microsoft’un yerel komut dosyasından yararlanan bir Visual Basic Komut Dosyası (VBScript) dağıttığı gözlemlenmiştir. BitLocker yardımcı programı Meksika, Endonezya ve Ürdün’ü hedef alan gasp saldırılarında yetkisiz dosya şifrelemesi için.
ShrinkLocker, kullanılabilir her önyükleme dışı bölümün boyutunu 100 MB kadar küçülterek, ayrılmamış alanı yeni bir birincil bölüme dönüştürerek ve bunu etkinleştirmek amacıyla önyükleme dosyalarını yeniden yüklemek için kullanarak yeni bir önyükleme bölümü oluşturma yeteneği nedeniyle bu şekilde adlandırılmıştır. iyileşmek.
Kaspersky, “Bu tehdit aktörü, VBScript dilini ve WMI, diskpart ve bcdboot gibi Windows dahili bileşenlerini ve yardımcı programlarını kapsamlı bir şekilde anlıyor.” söz konusu ShrinkLocker analizinde, muhtemelen “komut dosyası yürütüldüğünde hedef sistemin tam kontrolüne sahip olduklarını” belirtti.
