Siber güvenlik araştırmacıları, Phobos fidye yazılımı ailesinin bir başka varyantını daha doğada tespit etti. Faust.
Fidye yazılımının en son sürümünü ayrıntılı olarak açıklayan Fortinet FortiGuard Labs, fidye yazılımının VBA komut dosyası içeren bir Microsoft Excel belgesi (.XLAM) sağlayan bir enfeksiyon yoluyla yayıldığını söyledi.
Güvenlik araştırmacısı Cara Lin, “Saldırganlar, her biri kötü amaçlı bir ikili dosya taşıyan, Base64’te kodlanmış çeşitli dosyaları depolamak için Gitea hizmetini kullandı.” söz konusu Geçen hafta yayınlanan teknik bir raporda. “Bu dosyalar bir sistemin belleğine enjekte edildiğinde, bir dosya şifreleme saldırısı başlatırlar.”
Faust, Phobos ailesinden Eking, Eight, Elbie, Devos ve 8Base dahil çeşitli fidye yazılımı türlerinin en son üyesidir. Faust’un daha önce Kasım 2023’te Cisco Talos tarafından belgelendiğini belirtmekte fayda var.
Siber güvenlik firması, varyantın 2022’den beri aktif olduğunu ve “belirli endüstrileri veya bölgeleri hedeflemediğini” açıkladı.
Saldırı zinciri, açıldığında zararsız bir XLSX dosyası kaydetmek için Gitea’dan Base64 kodlu verileri indiren ve aynı zamanda AVG AntiVirus yazılımı (“AVG güncelleyicisi) gibi görünen bir yürütülebilir dosyayı gizlice alan bir XLAM belgesiyle başlar. exe”).
İkili dosya, kötü amaçlı kabuk kodunu dağıtmak için dosyasız bir saldırı kullanarak şifreleme sürecini başlatmak amacıyla “SmartScreen Defender Windows.exe” adlı başka bir yürütülebilir dosyayı getirip başlatan bir indirici işlevi görür.
Lin, “Faust çeşidi, bir ortamda kalıcılığı sürdürme yeteneğini sergiliyor ve verimli yürütme için birden fazla iş parçacığı yaratıyor” dedi.
Gelişme, aşağıdaki gibi yeni fidye yazılımı aileleri olarak geliyor: Albabat (aka Beyaz Yarasa), Kasseika, Kuiper, MimusVe İSİMSİZ İlki, sahte Windows 10 dijital aktivasyon aracı ve Counter-Strike 2 oyunu için bir hile programı gibi hileli yazılımlar biçiminde dağıtılan Rust tabanlı bir kötü amaçlı yazılımla ilgi kazandı.
Bu ayın başlarında Kuiper’in Windows, Linux ve macOS sürümlerini inceleyen Trellix, Golang tabanlı fidye yazılımını ilk kez Eylül 2023’te yeraltı forumlarında reklamını yapan RobinHood adlı bir tehdit aktörüne bağladı.
Güvenlik araştırmacısı Max Kersten, “Golang’ın eşzamanlılık odaklı doğası, burada tehdit aktörüne fayda sağlıyor; birden çok iş parçacığıyla uğraşırken yarış koşullarından ve diğer yaygın sorunlardan kaçınıyor; aksi takdirde (neredeyse) kesin olurdu.” söz konusu.
“Kuiper fidye yazılımının yararlandığı ve aynı zamanda Golang’ın popülaritesinin artmasının da bir nedeni olan bir diğer faktör, dilin çeşitli platformlar için yapılar oluşturmaya yönelik platformlar arası yetenekleridir. Bu esneklik, saldırganların kodlarını çok az çabayla uyarlamalarına olanak tanır, özellikle de Kod tabanının çoğunluğu (yani şifrelemeyle ilgili etkinlik) saf Golang’dan oluşuyor ve farklı bir platform için yeniden yazılmasını gerektirmiyor.”
Araştırmacı, NONAME’in veri sızıntısı sitesinin LockBit grubununkini taklit etmesi nedeniyle de dikkat çekici olduğunu ve bunun başka bir LockBit olabileceği veya LockBit tarafından resmi sızıntı portalında paylaşılan sızdırılmış veritabanlarını topladığı olasılığını artırdığını belirtti. Rakesh Krishnan dikkat çekti.
Bulgular aşağıdaki gibidir: rapor Fransız siber güvenlik şirketi Intrinsec, yeni ortaya çıkan 3AM (ThreeAM olarak da yazılır) fidye yazılımını Royal/BlackSuit fidye yazılımına bağladı ve bu fidye yazılımı, Conti siber suç örgütünün Mayıs 2022’de kapatılmasının ardından ortaya çıktı.
Bağlantılar, gece 03.00 fidye yazılımı ile “eski Conti-Ryuk-TrickBot bağlantı noktasının ortak altyapısı” arasındaki taktik ve iletişim kanallarındaki “önemli örtüşmeden” kaynaklanıyor.
Hepsi bu değil. Fidye yazılımı aktörlerinin, hedef ortamları ihlal etmek için ilk erişim vektörü olarak TeamViewer’ı kullandıkları ve LockBit fidye yazılımı oluşturucusunu temel alan şifreleyicileri dağıtmaya çalıştıkları bir kez daha gözlemlendi. sızdırılmış Eylül 2022’de.
Siber güvenlik firması Huntress, “Tehdit aktörleri ortalığı kasıp kavurmak ve muhtemelen erişimlerini altyapıya doğru genişletmek için bireysel uç noktalara erişim için mevcut her türlü yolu arıyor.” söz konusu.
AhnLab Güvenlik İstihbarat Merkezi’ne göre, son haftalarda LockBit 3.0, Güney Kore’deki varlıkları hedef alan özgeçmiş görünümüne sahip Microsoft Word dosyaları biçiminde de dağıtıldı (BİR SANİYE).
