Geçen ay tedarik zinciri yönetimi platformu Blue Yonder’a yapılan saldırı, “Termit” olarak bilinen yeni bir fidye yazılımı grubuna atfedildi.
Fidye yazılımı saldırısı, perakende ve üretim operasyonları da dahil olmak üzere birçok alt müşteriyi vurdu ve Blue Yonder, hepsini tekrar çevrimiçi hale getirmek için çalışmaya devam ediyor.
Cyble araştırmacıları yeni fidye yazılımı türünü teknik bir blogda incelediler ve bunun “esasen kötü şöhretli Babuk fidye yazılımının yeniden markalanması” olduğunu söyledi. Yeni fidye yazılımı grubu şimdiye kadar ABD ve Fransa’da ikişer, Umman, Almanya ve Kanada’da birer olmak üzere yedi kurban talep etti.
Termit Fidye Yazılımı İkili Analizi Yapıldı
Cyble araştırmacıları, ilk olarak PCrisk tarafından tanımlanan bir Termite fidye yazılımı ikili dosyasını incelediler ve bunun mevcut Babuk fidye yazılımına büyük ölçüde benzediğini belirlediler.
Fidye yazılımı çalıştırıldıktan sonra, ProcessShutdownParameters’ı Ayarla(0, 0) Cyble, API’nin “sistem kapatma sırasında işlemin sonlandırılacak son işlemlerden biri olmasını sağlamak için” dedi. “Bu taktik, fidye yazılımının şifreleme sürecini tamamlaması için mevcut süreyi en üst düzeye çıkarmak için kullanılıyor.”
Fidye yazılımı daha sonra şifreleme işlemi sırasında kesintileri önlemek için kurbanın makinesindeki hizmetleri sonlandırıyor ve eğer bunlar da çalışıyorsa yedekleme işlemlerini de sonlandırıyor.
Kötü amaçlı yazılım vssadmin.exe işlem, dosyalar şifrelendikten sonra sistem kurtarmayı önlemek için tüm Gölge Kopyaları siler ve fidye yazılımı, oradaki dosyaların kurtarılmasını önlemek için geri dönüşüm kutusunu da boşaltır.
Fidye yazılımının bıraktığı fidye notu, kurbanlara ek bilgi için soğan sitesini ziyaret etmeleri talimatını veriyor (aşağıdaki resim).
Kötü amaçlı yazılım, fidye notunu bıraktıktan sonra kurbanın makinesindeki dosyaları şifreler ve “.termite” uzantısını ekler.
Termite fidye yazılımı aynı zamanda ağ paylaşımlarının yerini tespit edebilir ve bir sunucudaki paylaşılan kaynaklar hakkındaki bilgileri alarak, $YÖNETİCİ Dosyaları paylaşın ve şifreleyin. Fidye yazılımı ayrıca virüslü makineye bağlı ağ sürücülerini de tanımlayabilir ve dosyaları şifreleyebilir.
‘Yeni ve Büyüyen Bir Tehdit’
Cyble araştırmacıları, Termite fidye yazılımının “siber ortamda yeni ve büyüyen bir tehdit olduğunu ve kurbanlar üzerindeki etkisini en üst düzeye çıkarmak için çifte gasp gibi gelişmiş taktiklerden yararlandığını” söyledi. … Termite’ın ortaya çıkışı, fidye yazılımı gruplarının gelişen taktiklerine karşı koymak için sağlam siber güvenlik önlemlerine, proaktif tehdit istihbaratına ve olay müdahale stratejilerine olan kritik ihtiyacın altını çiziyor.”
Blue Yonder fidye yazılımı saldırısı aynı zamanda tek bir saldırıda çok sayıda şirkete bulaşma veya işleri aksatma yetenekleriyle yazılım tedarik zincirinin tehdit aktörleri için çekiciliğini de yeni bir şekilde hatırlatıyor.
Cyble blogunun tamamı, tehlike göstergeleri (IoC’ler) ve MITRE ATT&CK teknikleri de dahil olmak üzere Termite fidye yazılımının süreçlerini derinlemesine inceliyor.
İlgili