Siyasi motivasyona sahip bir hacktivist grup olan CyberVolk, Rusya’nın çıkarlarına karşı çıkan hedeflere karşı DDoS ve fidye yazılımı saldırıları başlatmak için AzzaSec, Diamond, LockBit ve Chaos gibi hazır fidye yazılımı oluşturucularından yararlandı.
Grubun yüksek vasıflı üyeleri bu araçları değiştirip geliştiriyor, bu da onların karmaşıklık seviyelerinin artmasına neden oluyor ve bunların izini sürmeyi zorlaştırıyor.
Mayıs 2024’te Rusya yanlısı bir hacktivist grup ortaya çıktı ve Haziran 2024’te sızdırılan, başlangıçta Rusya yanlısı, İsrail karşıtı ve Ukrayna karşıtı bir grup tarafından geliştirilen ve çeşitli uyumlu gruplar tarafından benimsenip değiştirilen AzzaSec fidye yazılımı kodundan yararlandı. CyberVolk dahil.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
CyberVolk’un operasyonları çeşitli dağıtılmış hizmet reddi saldırıları, tahrifatlar ve fidye yazılımlarından oluşuyor ve sıklıkla Rusya ile ittifak içindeki ülkelerdeki kuruluşları hedef alıyor.
Bir hizmet olarak fidye yazılımı (RaaS) grubu olan CyberVolk, Haziran 2024’ün sonlarında ortaya çıktı ve değiştirilmiş AzzaSec fidye yazılımından yararlandı; çünkü C++ ile yazılmış Windows’a özgü yükleri, AES ve SHA512 gibi şifreleme algoritmaları kullanıyor.
Bir geri sayım sayacı görüntülenir, dosyalar şifrelenir ve dosya adına.CyberVolk uzantısı eklenir.
Operasyonları fidye yazılımı dağıtımını, kurbanları gasp etmeyi ve sosyal medya platformlarında aktif tanıtımları içerdiğinden, son zamanlarda “#OpJP” kampanyasının bir parçası olarak devlet kurumları ve araştırma kurumları da dahil olmak üzere Japonya’daki kuruluşları hedef aldı.
AzzaSec fidye yazılımının bir çeşidi olan Görünmez/Çift Yüzlü fidye yazılımı, CyberVolk ile dosyalar için AES-256 şifreleme ve anahtar sarma için RSA-2048 şifreleme kullanan Doubleface Team arasındaki işbirliğinden ortaya çıktı.
Fidye yazılımı, kurban eylemi için bir zamanlayıcı mekanizması tarafından uygulanan 5 saatlik bir zaman aşımı uygular.
Kamuya sızdırılan kaynak kodu, şifreleme yöntemleri, zaman aşımı uygulaması ve fidye notu oluşturma hakkındaki ayrıntıları ortaya koyuyor.
LAPSUS$ ile bağlantılı bir fidye yazılımı grubu olan HexaLocker, Temmuz 2024’te “Lock” hedefiyle ortaya çıktı. Talep etmek. Hakim ol.
Grubun Golang tabanlı fidye yazılımı Windows sistemlerini hedef alıyordu ve CyberVolk topluluğu içinde aktif olarak geliştirilip tanıtılıyordu.
Ekim 2024’te HexaLocker’ın baş geliştiricisi ZZART3XX, grubun kapatıldığını duyurdu ve fidye yazılımı kaynak kodunu ve altyapısını satmayı teklif ederek tehdit ortamında potansiyel bir değişimin sinyalini verdi.
Aktif bir tehdit aktörü olan CyberVolk, yakın zamanda güçlü anti-analiz önlemleri ve AES-128/RSA-4096 şifrelemesi içeren yeni bir fidye yazılımı çeşidi olan Parano Ransomware’i tanıttı.
Grup ayrıca tarayıcı verilerini, Discord kimlik bilgilerini, kripto para cüzdanlarını ve sistem bilgilerini hedef alan Python tabanlı bir bilgi hırsızı olan Parano Stealer’ı da piyasaya sürdü.
Tehlike altındaki sistemlerin uzaktan erişimi ve kontrolü için PHP tabanlı bir web kabuğu geliştirdi; bu, devam eden faaliyetleriyle birleştiğinde, grubun gelişen yeteneklerini ve dünya çapındaki kuruluşlara yönelik kalıcı tehdidi ortaya koyuyor.
CyberVolk ve diğer hacktivist gruplar, Telegram’ın Hizmet Koşullarını kanalları yasaklamak için manipüle etme yeteneğine sahip olduğunu iddia eden bir aktörün tehditlerinin ardından yakın zamanda Telegram’dan yasaklandı.
Sentinel Labs’e göre, bu kişinin muhtemelen bu tehditleri diğer gruplara şantaj yapmak için kullanan eski bir AzzaSec veya Doubleface üyesiyle ilişkili olduğu düşünülüyor.
Sonuç olarak, birçok hacktivist grup daha güvenli platformlara geçiş yapıyor ve bu da Telegram’ın platform politikalarının giderek silah haline getirildiğinin altını çiziyor.
Analyze cyber threats with ANYRUN's powerful sandbox. Black Friday Deals : Get up to 3 Free Licenses.