İsrail karşıtı bir ajandası olduğu açıklanan yeni bir tehdit grubu olan DarkBit’in İsrail’in en iyi teknoloji okulu Technion Üniversitesi’nin sunucularını kilitlemesinden günler sonra, araştırmacılar fidye yazılımının kökeninin izini sürdüler: LockBit soygunu!
Cyble Research and Intelligence Labs (CRIL) tarafından kötü amaçlı yazılımın analizi, iyi bilinen LockBit fidye yazılımının değiştirilmiş bir sürümüdür, bazı ek özelliklerle.
Örneğin, şifrelenmiş dosyalara “.DECODE_” uzantısı verilir ve fidye notu, tehdit aktörleriyle iletişim ve müzakere için benzersiz bir URL içerir.
DarkBit grubunun Twitter hesabına göre, fidye yazılımı saldırısının arkasındaki tehdit aktörleri her türlü ırkçılık, faşizm ve apartheid’a karşı.
“HackForGood” etiketini tanıtıyorlar. Bu, grubun siyasi motivasyonları olabileceğini ve İsrail’in Filistin’e yönelik politikalarını eleştiren Filistin yanlısı aktivistlerle aynı çizgide olabileceğini gösteriyor.
DarkBit fidye yazılımı: Fidye yazılımı gruplarının rahatsız edici dünyası
DarkBit fidye yazılımı çetesinin gerçek kimlikleri ve amaçları hala bilinmiyor. Tehdit aktörünün tweet’i, DarkBit fidye yazılımı saldırısının arkasında hoşnutsuz bir eski çalışanın olabileceğini öne sürse de, gerçeği ortaya çıkarmak için daha fazla araştırma yapılması gerekiyor.
TA’ları çevreleyen belirsizliğe rağmen, DarkBit grubu tarafından bırakılan fidye notu, onların siyasi motivasyonlarını ve niyetlerini gösteriyor.
Mesaj, apartheid, savaş suçları ve vasıflı çalışanların haksız yere işten çıkarılması iddialarını içeriyor. Grubun İsrail’in Technion üniversitesini hedef almış olması mümkün. İsrail’in politikalarına karşı bir protesto biçimi olarak.
DarkBit Ransomware: Teknik analizine daha yakından bakış
DarkBit Fidye Yazılımı, Windows işletim sistemlerini hedef alan ve kurbanın bilgisayarındaki dosyaları şifreleyerek şifre çözme anahtarı karşılığında fidye talep eden bir tür yıkıcı kötü amaçlı yazılımdır.
Fidye yazılımı, belirli dosya türleri, dosya adları ve dizinler dışında dosyaları şifrelemek için çoklu iş parçacığı kullanır ve büyük dosyaları daha küçük parçalara ayırarak şifrelemek için benzersiz bir yaklaşım kullanır.
DarkBit Ransomware, kurbanların TOX messenger ve bir TOR web sitesi aracılığıyla saldırganlarla iletişim kurması için talimatlar içeren bir fidye notu bırakır. Saldırganlar, fidye miktarına %30 ek ücret koydular ve talepleri beş gün içinde karşılanmazsa çalınan verileri en yüksek teklifi verene satmakla tehdit ettiler.
DarkBit, fidye yazılımı ve jeopolitik
Fidye yazılımı gruplarının tipik Telegram kanallarını ve sızıntı sitelerini kullanma yaklaşımından sapan DarkBit grubu, Technion Ransomware saldırısı hakkında bilgi yaymak için Twitter ve Reddit gibi sosyal medya platformlarını kullandı.
İsrail siber suç istihbarat şirketi Hudson Rock’ın kurucu ortağı ve CTO’su Alon Gal, The Cyber Express’e daha önce verdiği demeçte, bu stratejinin, grubun bir devlet tarafından desteklenebilecek bir etki kampanyası yürüttüğünü öne sürdüğünü söyledi.
Ancak, fidye yazılımı grubunun bağlantısı hakkında kesin bir açıklama yapmak için erken olduğunu da sözlerine ekledi.
Gal’e göre kampanyanın iki amacı var: birincisi, İsrail’in prestijli teknik üniversitesinin güvenliğini aşmak ve böylece ülkeyi teknoloji açısından utandırmak; ikincisi, bilgisayar korsanını haksız bir işverene karşı intikam arayan eski bir teknoloji çalışanı olarak tasvir ederek İsrail halkından destek toplamak.