Fidye yazılımı işletmeler için evrensel bir tehdittir ve kâr potansiyeli yüksek olduğunda hassas verileri işleyen herkesi hedef alır.
3AM adlı yeni bir fidye yazılımı ortaya çıktı ve sınırlı bir şekilde kullanılıyor. Symantec’in Tehdit Avcısı Ekibi, tek bir saldırıda buna tanık oldu ve engellendiğinde LockBit’in yerini aldı.
3AM, Rust tarafından yazılmış, henüz keşfedilmemiş, hizmetleri durduran, dosyaları şifreleyen ve VSS kopyalarını silmeye çalışan bir fidye yazılımıdır. Ancak bunun yanı sıra siber suç gruplarıyla bağlantıları da belirsizliğini koruyor.
Saldırıya genel bakış
Tehdit aktörünün ilk eylemleri arasında politika ayarlarını çıkarmak için ‘gpresult’ çalıştırmak, Cobalt Strike bileşenlerini dağıtmak ve PsExec ile ayrıcalık yükseltmeye çalışmak yer alıyordu.
Saldırganlar, yanal hareket fırsatları için aşağıdaki komutlarla keşif gerçekleştirdi: –
FTP sunucularına yeni bir kullanıcı ekleyerek ve Wput kullanarak sızdırılan dosyaları ekleyerek kalıcılık sağladılar. Saldırganlar başlangıçta LockBit’i denedi ancak engellendikten sonra sabah 3’e döndüler.
3AM’i kullanmaları kısmen başarılı oldu, çünkü örgütün yalnızca üç makinesine bulaştı ve bunlardan ikisi başarıyla engelledi.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Fidye notu
3AM, adını fidye notunda belirtildiği gibi şifrelenmiş dosyalara eklediği ‘. threeamtime’ dosya uzantısından alıyor.
Tehdit araştırmacısı Ygor Maximo yakın zamanda 3AM fidye yazılımı grubuna ait sızdırılmış bir web sitesi tespit etti. Web sitesinde şu anda grubun kötü şöhretli faaliyetlerine kurban giden altı kurban listeleniyor. Bu keşif, fidye yazılımı saldırılarının oluşturduğu giderek artan tehdidin altını çiziyor ve hem işletmeleri hem de bireyleri korumak için güçlü siber güvenlik önlemlerinin önemini hatırlatıyor.
Bu Rust tabanlı fidye yazılımı, 64 bit yürütülebilir bir dosya olduğundan aşağıdaki komut satırı parametrelerini tanır: –
- “-k”
- “-P”
- “-H”
- “-M”
- “-S”
Kötü amaçlı yazılım, yürütüldükten sonra aşağıdaki komutları çalıştırmaya çalışır ve esas olarak güvenlik ve yedekleme yazılımını hedef alır: –
- “netsh.exe” advfirewall güvenlik duvarı kuralını ayarla “grup=”Ağ Keşfi”” yeni etkinleştirme=Evet
- “wbadmin.exe” systemstatebackup’ı sil -keepVersions:0 -quiet
- “wbadmin.exe” SYSTEMSTATEBACKUP’I SİLİN
- “wbadmin.exe” SYSTEMSTATEBACKUP’I SİL -deleteOldest
- “bcdedit.exe” /set {default} Recoveryenabled Hayır
- “bcdedit.exe” /set {default} bootstatuspolicy tüm hataları görmezden geliyor
- “wmic.exe” SHADOWCOPY DELETE /nointeraktif
- “cmd.exe” /c wevtutil cl güvenliği
- “cmd.exe” /c wevtutil cl sistemi
- “cmd.exe” /c wevtutil cl uygulaması
- “net” durdur /y vmcomp
- “net” dur /y vmwp
- “net” stop /y veeam
- “net” dur /y Geri
- “net” dur /y xchange
- “net” durdurma /y yedekleme
- “net” dur /y Yedekleme
- “net” stop /y kısaltması
- “net” durağı /y AcronisAgent
- “net” durağı /y AcrSch2Svc
- “net” dur /y sql
- “net” durağı /y Kurumsal
- “net” durağı /y Veeam
- “net” durağı /y VeeamTransportSvc
- “net” durağı /y VeeamNFSSvc
- “net” durağı /y AcrSch
- “net” dur /y bedbg
- “net” durağı /y DCAgent
- “net” stop /y EPSecurity
- “net” durağı /y EP Güncellemesi
- “net” stop /y Silgi
- “net” durağı /y EsgShKernel
- “net” durdurma /y FA_Scheduler
- “net” durağı /y IISAadmin
- “net” durağı /y IMAP4
- “net” durağı /y MBAM
- “net” durağı /y Uç nokta
- “sadece” durur /y Afee
- “net” durağı /y McShield
- “net” durdurma /y görevi
- “net” dur /y mfemms
- “net” stop /y mfevtp
- “net” durma /y mms
- “net” durağı /y MsDts
- “net” stop /y Değişim
- “net” dur /y ntrt
- “net” durdurma /y PDVF
- “net” durağı /y POP3
- “net” stop /y Raporu
- “net” durağı /y RESvc
- “net” dur /y Monitör
- “net” durağı /y Smcinst
- “net” durağı /y SmcService
- “net” durağı /y SMTP
- “net” durağı /SNAC
- “net” dur /y swi_
- “net” durağı /y CCSF
- “net” durdurma /y ccEvtMgr
- “net” dur /y ccSetMgr
- “net” durağı /y TrueKey
- “net” dur /y tmlisten
- “net” durdurma /y UIODetect
- “net” durağı /y W3S
- “net” durağı /y WRSVC
- “net” durağı /y NetMsmq
- “net” dur /y ekrn
- “net” durağı /y EhttpSrv
- “net” dur /y ESHASRV
- “net” stop /y AVP
- “net” stop /y klnagent
- “net” stop /y wbengine
- “net” durağı /y KAVF
- “net” stop /y mfefire
- “net” dur /y svc$
- “net” stop /y memtas
- “net” stop /y mepoc’lar
- “net” durdurma /y GxVss
- “net” durdurma /y GxCVD
- “net” durağı /y GxBlr
- “net” durdurma /y GxFWD
- “net” durağı /y GxCIMgr
- “net” durağı /y BackupExecVSSProvider
- “net” durağı /y BackupExecManagementService
- “net” durağı /y BackupExecJobEngine
- “net” durağı /y BackupExecDiveciMediaService
- “net” durağı /y BackupExecAgentBrowser
- “net” durağı /y BackupExecAgentAccelerator
- “net” dur /y vss
- “net” durağı /y BacupExecRPCService
- “net” durağı /y CASAD2WebSvc
- “net” durağı /y CAARCUpdateSvc
- “net” durağı /y YooBackup
- “net” durağı /y YooIT
Fidye yazılımı taramaları eşleşen dosyaları şifreler, orijinalleri siler ve her klasöre ‘RECOVER-FILES.txt’ fidye notu bırakır. Bunun yanı sıra, şifrelenmiş dosyalarda ‘0x666’ işareti ve ardından fidye yazılımı verileri bulunur.
Fidye yazılımı bağlı kuruluşları daha bağımsız hareket ediyor ve bazıları tek bir saldırıda birden fazla fidye yazılımı türü dağıtıyor. Pek çok yeni fidye yazılımı ailesi hızla ortadan kaybolsa da, 3 AM’in LockBit bağlı kuruluşu olarak kullanılması, saldırganlar için gelecekteki potansiyel ilgiye dair ipuçları veriyor.
IOC’ler
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.