BlackCat fidye yazılımı operatörleri, kötü niyetli faaliyetlerinde sürekli bir adaptasyon ve yenilik sergileyerek tehditlerini azaltmayı güvenlik uzmanları için zorlaştırıyor.
Munchkin gibi BlackCat operatörleri, yüklerini kurban ağları arasında yaymaya yönelik güncellemeleri açıkladı. Son iki yıldır fidye yazılımı araçlarını sürekli olarak geliştiriyorlar.
Palo Alto Networks’ün 42. Birimindeki siber güvenlik araştırmacıları, BlackCat operatörleri yakın zamanda, yüklerini kurban ağları arasında yaymaya yönelik Munchkin gibi güncellemeleri ortaya çıkardı. Son iki yıldır fidye yazılımı araçlarını sürekli olarak geliştiriyorlar.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Birim 42 araştırmacıları, özelleştirilmiş bir Alpine VM’ye yüklenen Munchkin’in benzersiz bir örneğini elde etti; bu, fidye yazılımı tehdit aktörleri arasında, kötü amaçlı yazılım dağıtımında güvenlik çözümlerinden kaçınmak için VM’leri kullanma yönünde artan bir eğilimin altını çizdi.
BlackCat’in zaman içindeki gelişimi, karmaşık yapılandırmaları ve ek güvenlik için komut satırı parametrelerinin kullanılmasını içeriyordu.
En son araçları ‘Munchkin’, BlackCat’i uzak makinelerde çalıştırmak ve SMB/CIFS paylaşımlarını şifrelemek için Linux tabanlı bir işletim sistemi kullanıyor.
Munchkin, kompakt yapısı nedeniyle VirtualBox aracılığıyla kullanılan, Alpine işletim sistemi yüklü bir ISO dosyası olarak gelir. Kötü amaçlı yazılım, VM’nin kök parolasını değiştirir, tmux ile yeni bir terminal oturumu başlatır, ‘kontrolör’ ikili dosyasını çalıştırır ve ardından VM’yi kapatır.
Denetleyici kötü amaçlı yazılımı, aşağıdaki ilgili dosyalarla birlikte /app dizininde bulunur: –
- /uygulama/denetleyici
- /uygulama/yapılandırma
- /uygulama/yük
- /scripts/smb_common.py
- /scripts/smb_copy_and_exec.py
- /scripts/smb_exec.py
Aşağıda /usr/bin dizininde bulunan tüm Python komut dosyalarından bahsettik: –
- DumpNTLMInfo.py
- Get-GPPPassword.py
- GetADUsers.py
- GetNPUsers.py
- GetUserSPNs.py
- addcomputer.py
- atexec.py
- changepasswd.py
- dcomexec.py
- dpapi.py
- esentutl.py
- exchanger.py
- findDelegation.py
- şişe
- geleceğe dönüştürmek
- getArch.py
- getPac.py
- getST.py
- getTGT.py
- altınPac.py
- karmaSMB.py
- keylistattack.py
- kintercept.py
- ldapdomaindump
- ldd2bloodhound
- ldd2pretty
- Lookupsid.py
- machine_role.py
- mimikatz.py
- mqtt_check.py
- mssqlclient.py
- mssqlinstance.py
- net.py
- netview.py
- nmapAnswerMachine.py
- normalleştirici
- ntfs-read.py
- ntlmrelayx.py
- pastörize etmek
- ping.py
- ping6.py
- pip
- pip3
- pip3.11
- psexec.py
- RaiseChild.py
- rbcd.py
- rdp_check.py
- reg.py
- kayıt defteri-read.py
- rpcdump.py
- rpcmap.py
- sambaPipe.py
- samrdump.py
- secretsdump.py
- hizmetler.py
- smbclient.py
- smbec.py
- smbpasswd.py
- smbrelayx.py
- smbserver.py
- sniff.py
- sniffer.py
- split.py
- ticketConverter.py
- biletçi.py
- tstool.py
- wmiexec.py
- wmipersist.py
- wmiquery.py
BlackCat’e benzeyen denetleyici kötü amaçlı yazılımı, dizelerin şifresini çözer ve /app dizinindeki yapılandırma ve yük dosyalarını kontrol eder. /app/payload dosyasındaki şablonu temel alarak özel BlackCat örnekleri için /payloads/ dizinini oluşturur ve bağlar.
Yürütmenin ardından VM kapanır. Kötü amaçlı yazılımın içine bir mesaj dahil edildi ancak kullanılmadı; muhtemelen bağlı kuruluşları, onu güvenliği ihlal edilmiş ortamlardan kaldırmaya teşvik ediyordu.
BlackCat fidye yazılımı geliştiricileri, diğer birçok kötü amaçlı yazılım yaratıcısı gibi, stratejilerini sürekli olarak geliştiriyor. Munchkin, güvenlik kısıtlamalarını aşmak ve güvenlik topluluğunun önünde kalmak için sanal makineleri (VM’ler) kullanan, yükselen bir trendin parçası olan yeni araçlarıdır.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.