Abyss Locker Microsoft Windows ve Linux Kullanıcılarına Saldırıyor


FortiGuard Labs, Microsoft Windows ve Linux platformlarını hedef alan Abyss Locker fidye yazılımının ortaya çıkışını ve etkisini ayrıntılarıyla anlatan bir rapor yayınladı.

HelloKitty fidye yazılımı kaynak kodunu temel aldığına inanılan Abyss Locker, kurbanların dosyalarını çalıyor ve şifreliyor, dosya şifresinin çözülmesi için fidye talep ediyor ve çalınan verilerin serbest bırakılmasını engelliyor.

Abyss Locker fidye yazılımının duvar kağıdı
Abyss Locker fidye yazılımının duvar kağıdı

Bu fidye yazılımının şiddet düzeyi yüksek olarak sınıflandırılmıştır. İlk Abyss Locker örneği Temmuz 2023’te tespit edildi ancak fidye yazılımının kökenleri daha da eskiye dayanabilir.

Abyss Locker’ın Windows sürümü Ocak 2024’te keşfedildi ve kısa bir süre sonra ikinci sürümü ortaya çıktı. VMware ESXi sistemlerini hedef alan Linux çeşidi de belirlendi.

Kötü amaçlı yazılım dosyasını, ağı, modülü ve kayıt defteri etkinliğini şu şekilde analiz edebilirsiniz: ANY.RUN kötü amaçlı yazılım korumalı alanıve Tehdit İstihbaratı Araması bu, işletim sistemiyle doğrudan tarayıcıdan etkileşim kurmanıza olanak tanır.

Saldırı Yöntemi

Abyss Locker’ın Windows sürümü, dosyaların başarılı bir şekilde şifrelenmesini sağlamak için çeşitli eylemler gerçekleştirir. Gibi komutları kullanarak Birim Gölge Kopyalarını ve sistem yedeklemelerini siler. vssadmin.exe delete shadows /all /quiet Ve wmic SHADOWCOPY DELETE.

Ayrıca, otomatik onarımı devre dışı bırakacak ve tüm önyükleme hatalarını yok sayacak şekilde önyükleme durumu ilkesini de ayarlar.

Fidye yazılımı dosyaları şifreler ve dosya uzantısını “.abyss” olarak veya sürüm 1 çeşidi için rastgele beş harfli bir uzantı olarak değiştirir.

“WhatHappened.txt” başlıklı bir fidye notu düşüyor ve masaüstü duvar kağıdının yerini fidye talep eden bir mesaj alıyor.

Abyss Locker’ın Linux sürümü şunları kullanır: esxcli VMware ESXi sistemlerini yönetmek için komut satırı aracı. Dosyaları “.crypt” uzantısıyla şifrelemeden önce çalışan VM’leri zarif bir şekilde kapatmaya çalışır.

Şifrelenen her dosya için “.README_TO_RESTORE” uzantılı bir fidye notu oluşturulur.

Fortinet’in raporuna göre, fidye yazılımının her iki sürümü de sistemin işlerliğini korumak ve kurbanın fidye pazarlığı için saldırganlarla iletişim kurabilmesini sağlamak için belirli dosya uzantılarını ve dizinleri şifrelemekten kaçınıyor.

Enfeksiyon Vektörü

Abyss Locker’ın bulaşma vektörü belirtilmedi ancak muhtemelen diğer fidye yazılımı gruplarına benzer.

Abyss Locker fidye yazılımının fidye pazarlığı sitesi
Abyss Locker fidye yazılımının fidye pazarlığı sitesi

Fidye yazılımı örneklerinin çeşitli bölgelerden gönderilmesi, yaygın bir saldırının varlığına işaret ediyor.

Güncel hiçbir veri sızıntısı sitesi kurbanların isimlerini açığa çıkarmazken, TOR’da bir fidye müzakere sitesi mevcuttur. Fidye talepleri farklılık gösteriyor ve genellikle tüketiciler için daha yüksek miktarlar belirleniyor.

Abyss Locker fidye yazılımı, Windows ve Linux kullanıcıları, özellikle de VMware ESXi sistemlerini kullananlar için önemli bir tehdit oluşturuyor.

IOC’ler

Abyss Locker Fidye Yazılımı Dosyası IOC’leri

SHA2 Not
72310e31280b7e90ebc9a32cb33674060a3587663c0334daef76c2ae2cc2a462 Abyss Locker v2 (Linux)
3fd080ef4cc5fbf8bf0e8736af00af973d5e41c105b4cd69522a0a3c34c96b6d Abyss Locker v2 (Windows)
9243bdcbe30fbd430a841a623e9e1bcc894e4fdc136d46e702a94dad4b10dfdc Abyss Locker v1 (Windows)
0763e887924f6c7afad58e7675ecfe34ab615f4bd8f569759b1c33f0b6d08c64 Abyss Locker v1 (Windows)
dee2af08e1f5bb89e7bad79fae5c39c71ff089083d65da1c03c7a4c051fabae0 Abyss Locker v1 (Windows)
e6537d30d66727c5a306dc291f02ceb9d2b48bffe89dd5eff7aa2d22e28b6d7c Abyss Locker v1 (Windows)
1d04d9a8eeed0e1371afed06dcc7300c7b8ca341fe2d4d777191a26dabac3596 Abyss Locker v1 (Windows)
1a31b8e23ccc7933c442d88523210c89cebd2c199d9ebb88b3d16eacbefe4120 Abyss Locker v1 (Windows)
25ce2fec4cd164a93dee5d00ab547ebe47a4b713cced567ab9aca4a7080afcb7 Abyss Locker v1 (Windows)
b524773160f3cb3bfb96e7704ef31a986a179395d40a578edce8257862cafe5f Abyss Locker v1 (Windows)
362a16c5e86f13700bdf2d58f6c0ab26e289b6a5c10ad2769f3412ec0b2da711 Abyss Locker v1 (Windows)
e5417c7a24aa6f952170e9dfcfdf044c2a7259a03a7683c3ddb72512ad0cd5c7 Abyss Locker v1 (Windows)
056220ff4204783d8cc8e596b3fc463a2e6b130db08ec923f17c9a78aa2032da Abyss Locker v1 (Windows)
877c8a1c391e21727b2cdb2f87c7b0b37fb7be1d8dd2d941f5c20b30eb65ee97 Abyss Locker v1 (Windows)
2e42b9ded573e97c095e45dad0bdd2a2d6a0a99e4f7242695054217e2bba6829 Abyss Locker v1 (Windows)

Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.





Source link