AXLocker, Octocrypt ve Alice Ransomware

   Kasım 21, 2022  Posted in HackRead


Cyble Research and Intelligence Labs, kurbanın belgelerini şifreleyen ve Discord ATO’nun (hesap devralma) verileri çalmasını sağlayan üç yeni fidye yazılımı ailesi keşfetti.

Üç varyant AXLocker, Octocrypt ve Alice Ransomware’i içerir. Discord’un kripto ve oyun toplulukları arasında nispeten popüler olduğunu belirtmekte fayda var.

Araştırmacılar Yeni Tehditlerin Ayrıntılarını Açıkladı: AXLocker, Octocrypt ve Alice Ransomware
(1) AXLocker’ın kontrol paneli – (2) Octocrypt’in fidye notu (3) Alice’in fidye notu (4) AXLocker’ın fidye notu – Görüntüler: Cyble –

Fidye Yazılımı Ayrıntıları – AXLocker

AXLocker fidye yazılımının kod analizi, herhangi bir kötü amaçlı yazılım gibi çalıştığını ancak yalnızca AES şifrelemeli dosya uzantılarını hedef aldığını ortaya çıkardı. Startencryption() işlevi, sistemin C:\ sürücüsündeki kullanılabilir dizinleri numaralandırarak belgeleri aramasını sağlar. Diğer fidye yazılımlarından farklı olarak AXLocker, şifrelenmiş dosyaların adlarını veya uzantılarını asla değiştirmez.

Fidye yazılımı şifrelemeden önce Discord jetonlarını çalar. Platform, hesaplarında oturum açtıktan sonra kullanıcıların kimliğini doğrulamak için bu belirteçleri kullanır. Bu, saldırganların daha fazla kötü amaçlı yazılım yayma ve dolandırıcılık için hesapları ele geçirmesine olanak tanır.

Discord jetonları harici bir sunucuya gönderildikten ve dosyalar şifrelendikten sonra, fidye yazılımı fidye notunu içeren bir açılır pencere görüntüler. Şifre çözme anahtarı silinene kadar çalışmaya devam eden bir zamanlayıcı var.

Octocrypt

Cyble güvenlik araştırmacıları tarafından keşfedilen bir başka fidye yazılımı varyantı da Octocrypt idi. Windows tabanlı sistemleri hedefleyen bir hizmet olarak fidye yazılımıdır. Octocrypt, Ekim 2022’de bulundu ve siber suç forumlarından 400$’a satın alınabiliyor.

Değişkenin web paneli oluşturucusu, saldırganların API, URL, kripto adresi, kripto miktarı ve iletişim e-posta kimliğini girdikten sonra fidye yazılımı ikili yürütülebilir dosyaları oluşturmasına olanak tanır. Tehdit aktörleri, yük ayrıntıları altındaki web panelinde yer alan URL’ye tıklayarak yük dosyasını indirebilir.

alice

Keşfedilen üçüncü fidye yazılımı çeşidinin adı Alice veya Alice in the Land of Malware idi. Fidye yazılımı oluşturucu, ayda yalnızca 600 ABD Doları karşılığında kullanılabilir ve karşılığında alıcı, duyarlı destek, özelleştirme öğeleri ve daha hızlı şifreleme yetenekleri alır. Ayrıca, Asya/Arap PC’leri ile uyumluluk da sunar.

Cyble araştırmacıları blog gönderilerinde, kuruluşların olası saldırıları engellemek için yeni varyantların ve güvenliği ihlal edilmiş kimlik bilgilerinin erken uyarı işaretleri için taramalarını geliştirmeleri gerektiğini belirtti. Kuruluşlar, tehdit aktörlerinin sistemlerini hedeflemek için kullandıkları saldırı tekniklerinin bir adım önünde olmalıdır. Bu, yalnızca en iyi güvenlik uygulamalarının ve gelişmiş güvenlik kontrollerinin uygulanmasıyla mümkündür.

“Tehdit aktörleri, kolluk kuvvetlerinin dikkatini çekmekten kaçınmak için giderek daha fazla dikkat çekmemeye çalışıyor.”

  1. Holy Ghost Ransomware Saldırılarından Alınan Dersler
  2. Fidye Yazılım Çetesi Medibank Verilerini Dark Web’e Sızdırdı
  3. Royal Ransomware, Google Reklamlarını ve Crackli Yazılımları Kullanıyor



Source link