8Base Group, SmokeLoader Aracılığıyla Yeni Phobos Fidye Yazılımı Varyantını Dağıtıyor


Phobos Fidye Yazılımı

Arkasındaki tehdit aktörleri 8Base fidye yazılımı Mali amaçlı saldırılarını gerçekleştirmek için Phobos fidye yazılımının bir çeşidinden yararlanıyorlar.

Bulgular, siber suçluların gerçekleştirdiği faaliyetlerde artış kaydeden Cisco Talos’tan geliyor.

Güvenlik araştırmacısı Guilherme Venere, Cuma günü yayınlanan iki bölümlü kapsamlı bir analizde, “Grubun Phobos varyantlarının çoğu, bir arka kapı truva atı olan SmokeLoader tarafından dağıtılıyor.” dedi.

“Bu emtia yükleyici, konuşlandırıldığında genellikle ek yükleri bırakıyor veya indiriyor. Ancak 8Base kampanyalarında, şifrelenmiş yüklerine fidye yazılımı bileşeni yerleştirilmiş ve bu bileşen daha sonra şifresi çözülerek SmokeLoader işleminin belleğine yükleniyor.”

8Base, siber güvenlik topluluğu tarafından faaliyetlerde benzer bir artışın gözlemlendiği 2023 yılının ortalarında keskin bir şekilde odak noktasına geldi. En azından Mart 2022’den beri aktif olduğu söyleniyor.

VMware Carbon Black’in Haziran 2023’te yaptığı önceki bir analiz, 8Base ile RansomHouse arasında paralellikler tespit etmenin yanı sıra, şifrelenmiş dosyalar için “.8base” dosya uzantısı kullanılarak bulunan bir Phobos fidye yazılımı örneğini de ortaya çıkardı.

Bu, 8Base’in ya Phobos’un halefi olduğu ya da operasyonun arkasındaki tehdit aktörlerinin, Vice Society fidye yazılımı grubuna benzer şekilde saldırılarını gerçekleştirmek için yalnızca mevcut fidye yazılımı türlerini kullandıkları olasılığını artırdı.

Siber güvenlik

Cisco Talos’un en son bulguları, SmokeLoader’ın Phobos yükünü yürütmek için bir başlatma paneli olarak kullanıldığını ve bunun daha sonra kalıcılık oluşturmak, hedef dosyaları açık tutabilecek işlemleri sonlandırmak, sistem kurtarmayı devre dışı bırakmak ve yedekleri ve gölgeleri silmek için adımlar gerçekleştirdiğini gösteriyor. kopyalar.

Dikkate değer bir diğer özellik ise, şifreleme sürecini hızlandırmak için 1,5 MB’ın altındaki dosyaların tam olarak şifrelenmesi ve eşiğin üzerindeki dosyaların kısmi olarak şifrelenmesidir.

Ayrıca yapı, sabit kodlanmış bir anahtar kullanılarak şifrelenen 70’in üzerinde seçeneğe sahip bir yapılandırmayı içerir. Yapılandırma, Kullanıcı Hesabı Denetimi (UAC) atlaması ve kurban enfeksiyonunun harici bir URL’ye raporlanması gibi ek özelliklerin kilidini açar.

Ayrıca şifrelemede kullanılan dosya başına AES anahtarını korumak için kullanılan sabit kodlu bir RSA anahtarı da mevcut. Talos, bunun fidye yazılımı tarafından kilitlenen dosyaların şifresinin çözülmesine yardımcı olabileceğini söyledi.

Venere, “Her dosya şifrelendikten sonra, şifrelemede kullanılan anahtar ve ek meta veriler, sabit kodlu bir genel anahtarla RSA-1024 kullanılarak şifreleniyor ve dosyanın sonuna kaydediliyor.” diye açıkladı.

“Ancak bu, özel RSA anahtarı bilindiğinde, 2019’dan bu yana herhangi bir Phobos varyantı tarafından şifrelenen herhangi bir dosyanın şifresinin güvenilir bir şekilde çözülebileceği anlamına geliyor.”

Phobos Fidye Yazılımı

İlk olarak 2019’da ortaya çıkan Phobos, Dharma (aka Crysis) fidye yazılımının bir evrimidir; fidye yazılımı, VirusTotal’da ortaya çıkarılan eserlerin hacmine bağlı olarak ağırlıklı olarak Eking, Eight, Elbie, Devos ve Faust varyantları olarak ortaya çıkmaktadır.

Venere, “Örneklerin tümü aynı kaynak kodunu içeriyordu ve bağlı diğer Phobos’un zaten kilitlediği dosyaların şifrelenmesini önleyecek şekilde yapılandırılmıştı, ancak yapılandırma, konuşlandırılan değişkene bağlı olarak biraz değişti.” dedi. “Bu, fidye yazılımının yapılandırma ayarlarındaki dosya uzantısı engelleme listesine dayanmaktadır.”

Cisco Talos, Phobos’un merkezi bir otorite tarafından yakından yönetildiğini, aynı RSA genel anahtarına, iletişim e-postalarındaki farklılıklara ve düzenli güncellemelere dayalı olarak diğer bağlı kuruluşlara hizmet olarak fidye yazılımı (RaaS) olarak satıldığını değerlendiriyor. fidye yazılımının uzantı engelleme listeleri.

Venere, “Uzatma engelleme listeleri, zaman içinde aynı temel örneği hangi grupların kullandığına dair bir hikaye anlatıyor gibi görünüyor” dedi.

“Pek çok Phobos örneğinde bulunan uzantı blok listeleri […] önceki Phobos kampanyalarında kilitlenen yeni dosyalarla sürekli olarak güncellenir. Bu, inşaatçının arkasında geçmişte Phobos’u kimin kullandığının izini süren merkezi bir otoritenin olduğu fikrini destekleyebilir. Amaç, Phobos’a bağlı kuruluşların birbirlerinin operasyonlarına müdahale etmesini önlemek olabilir.”

Gelişme FalconFeeds olarak geliyor açıklandı Bir tehdit aktörünün, C dilinde geliştirilen ve “sanal makinelere ve hata ayıklama araçlarına karşı güçlü anti-algılama önlemleri” içeren UBUD adlı karmaşık bir fidye yazılımı ürününün reklamını yaptığı iddia edildi.

Siber güvenlik

Bu aynı zamanda BlackCat fidye yazılımı grubunun ABD Menkul Kıymetler ve Borsa Komisyonu’na (SEC) kurbanlarından biri olan MeridianLink’in, etkilenen şirketlerin olayı dört iş günü içinde bildirmelerini gerektiren yeni ifşa düzenlemelerine uymadığını iddia eden resmi bir şikayetin ardından geldi. DataBreaches.net’in bildirdiğine göre günler.

Finansal yazılım şirketi, 10 Kasım’da bir siber saldırıda hedef alındığını doğruladı ancak sistemlerine yetkisiz erişime dair hiçbir kanıt bulamadığını belirtti.

SEC’in ifşa kuralları önümüzdeki ay olan 18 Aralık’a kadar yürürlüğe girmeyecek olsa da, olağandışı baskı taktiği, tehdit aktörlerinin alanı yakından izlediğinin ve hükümet düzenlemelerini kendi yararlarına esnetmeye ve kurbanları ödemeye zorlamaya istekli olduklarının bir işareti.

Bununla birlikte, yaptırımın yalnızca şirketlerin saldırıların kârlılıkları üzerinde “maddi” bir etki yarattığını tespit ettiği durumlarda geçerli olduğunu belirtmekte fayda var.

Bu arada bir başka üretken fidye yazılımı çetesi LockBit, Ekim 2023’ten itibaren, beklenenden daha az anlaşmalar yapılmasını ve “bağlı kuruluşların farklı deneyim düzeyleri” nedeniyle mağdurlara sunulan daha büyük indirimleri gerekçe göstererek yeni müzakere kuralları belirledi.

Analyst1’in ayrıntılı bir raporuna göre LockBit operatörleri, “Şirketin yıllık gelirine bağlı olarak örneğin %3 gibi bir minimum fidye talebi belirleyin ve %50’den fazla indirimleri yasaklayın” dedi.

“Bu nedenle, şirketin geliri 100 milyon ABD Doları ise, ilk fidye talebi 3 milyon ABD Dolarından başlamalı ve nihai ödeme 1,5 milyon ABD Dolarından az olmamalıdır.”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link