Dosyaları şifrelemek için yetenekleri içeren ve bunları kalıcı olarak silmek için ortaya çıkan bir fidye yazılımı gerginliği keşfedildi, bu da “nadir ikili tehdit” olarak tanımlanan bir gelişme.
Trend Micro Araştırmacılar Maristel Policarpio, Sarah Pearl Camiling ve Sophia Nilette Robles, geçen hafta yayınlanan bir raporda, “Fidye yazılımı, dosyaları kalıcı olarak silen, fidye ödenmiş olsa bile kurtarmayı imkansız hale getiren bir ‘silme modu’ içeriyor.
Söz konusu fidye yazılımı (RAAS) operasyonu, Aralık 2024’te aktif hale gelen Anubis olarak adlandırılır ve Avustralya, Kanada, Peru’daki sağlık hizmetleri, misafirperverlik ve inşaat sektörlerinde kurbanların, fidye yazılımlarının deneme örneklerinin analizi, geliştiricilerin başlangıçta final adını değiştirmeden önce adlandırıldığını göstermektedir.
E-suç ekibinin bir Android bankacılık Truva atı ve aynı adı taşıyan bir Python tabanlı arka kapı ile hiçbir bağı olmadığını belirtmek gerekir, ikincisi finansal olarak motive edilen FIN7 (aka Grayalpha) grubuna atfedilir.
Siber güvenlik şirketi, “Anubis, pazarlık edilebilir gelir bölünmeleri sunan ve veri gasp ve erişim satışları gibi ek para kazanma yollarını destekleyen esnek bir bağlı kuruluş programı yürütüyor.” Dedi.
Bağlı kuruluş programı 80-20 bölünmesini takip ederek bağlı aktörlerin ödenen fidye% 80’ini almasına izin veriyor. Öte yandan, Veri Gasp ve Erişim para kazanma şemaları sırasıyla 60-40 ve 50-50 bir bölünme sunmaktadır.
Anubis tarafından monte edilen saldırı zincirleri, ilk erişim vektörü olarak kimlik avı e -postalarının kullanılmasını içerir, tehdit aktörleri ayrıcalıkları yükseltmek, keşif yapmak ve hacim gölge kopyalarını silmek için, gereksinimleri silmek ve gerekçesiyle silmek için adımlar atar.
Bu, dosya adlarını veya uzantılarını dokunulmadan bırakırken dosya boyutlarının 0 kb’ye düşürüldüğü, bu nedenle iyileşmeyi imkansız hale getirdiği ve bu nedenle kurbanların ödemeleri için daha fazla baskı uyguladığı anlamına gelir.
Araştırmacılar, “Fidye yazılımı, bir dosyanın içeriğini kalıcı olarak silebilen ve herhangi bir kurtarma girişimini önleyebilen bir silecek özelliği içeriyor.” Dedi.
Diyerek şöyle devam etti: “Verileri hem şifreleme hem de kalıcı olarak yok etme yeteneği, kurbanların risklerini önemli ölçüde artırıyor ve tıpkı güçlü fidye yazılımı operasyonlarının yapmayı amaçladığı gibi, uyma baskısını artırıyor.”
Anubis’in yıkıcı davranışının keşfi, NetSupport sıçanını sunmak için tasarlanmış bir kampanyanın bir parçası olarak meşru yazılım ürünlerini ve hizmetlerini taklit etmek için kullanılan FIN7 grubuyla ilişkili gelecekteki ayrıntılı yeni altyapı olarak kaydedilmektedir.
MasterCard’a ait tehdit istihbarat firması, geçtiğimiz yıl boyunca sahte tarayıcı güncelleme sayfaları, sahte 7-ZIP indirme siteleri ve TAG-124 (diğer adıyla 404 TDS, CHAYA_002, Kongtuke ve Landupdate808) kullanan üç benzersiz dağıtım vektörünü tanımladığını söyledi.
Sahte tarayıcı güncelleme yöntemi, uzaktan erişim Truva atını yürütmek için Maskbat olarak adlandırılan özel bir yükleyici yüklerken, geri kalan iki enfeksiyon vektöründe, onu sıkıştıran ve yürüten başka bir özel PowerShell yükleyici kullanır.
“[MaskBat] Fakebat ile benzerliklere sahiptir, ancak gizlenmiştir ve Grayalpha ile bağlantılı dizeler içermektedir, “dedi Future’s Insikt Group,” üç enfeksiyon vektörünün hepsinin aynı anda kullanılmasına rağmen, sadece sahte 7 ZIP indirme sayfaları, yazma sırasında hala aktifti, yeni kayıtlı alanlar Nisan 2025’te yakın zamanda ortaya çıkıyor. “