Doğuştan gelen tehdit aktörleri Buhti fidye yazılımları, Windows ve Linux sistemlerini vurmak için sızan LockBit ve Babuk fidye yazılımı aileleri lehine özel yüklerinden kaçındı.
The Hacker News ile paylaşılan bir raporda Symantec, “Grup kendi fidye yazılımını geliştirmese de, özel olarak geliştirilmiş bir araç gibi görünen, belirli dosya türlerini aramak ve arşivlemek için tasarlanmış bir bilgi hırsızı kullanıyor” dedi.
Siber güvenlik firması, siber suç grubunu adı altında takip ediyor Siyah kuyruk. Buhti ilk olarak Şubat 2023’te Palo Alto Networks Unit 42 tarafından vurgulandı, açıklayan Linux platformunu hedefleyen bir Golang fidye yazılımı olarak.
Aynı ayın ilerleyen saatlerinde Bitdefender, kritik uzaktan kod yürütme kusurlarına (CVE-2022-47966) karşı savunmasız olan Zoho ManageEngine ürünlerine karşı konuşlandırılan bir Windows varyantının kullanıldığını ortaya çıkardı.
O zamandan beri operatörlerin, fidye yazılımını kaldırmak için IBM’in Aspera Faspex dosya değişim uygulamasını (CVE-2022-47986) ve PaperCut’u (CVE-2023-27350) etkileyen diğer ciddi hataları hızla kullandıkları gözlemlendi.
Symantec’in en son bulguları, Blacktail’in çalışma biçiminin değişiyor olabileceğini gösteriyor; aktör sırasıyla Windows ve Linux’u hedeflemek için sızdırılmış LockBit 3.0 ve Babuk fidye yazılımı kaynak kodunun değiştirilmiş sürümlerinden yararlanıyor.
Hem Babuk hem de LockBit’in fidye yazılımı kaynak kodu Eylül 2021 ve Eylül 2022’de çevrimiçi olarak yayınlandı ve birden çok taklitçi ortaya çıktı.
Halihazırda LockBit fidye yazılımı oluşturucusunu kullanan dikkate değer bir siber suç grubu, yakın zamanda ABD devlet kurumları tarafından ülkedeki eğitim sektörüne yönelik saldırılarda savunmasız PaperCut sunucularından yararlandığı ortaya çıkan Bl00dy Ransomware Gang’dir.
Yeniden markalama değişikliklerine rağmen, Blacktail’in şifrelemeden önce bir ZIP arşivi biçimindeki belirli uzantılara sahip dosyaları çalmak için tasarlanmış, Go’da yazılmış özel bir veri sızdırma yardımcı programını kullandığı gözlemlendi.
“Sızan yüklerin yeniden kullanımı genellikle daha az beceriye sahip bir fidye yazılımı operasyonunun ayırt edici özelliği olsa da, Blacktail’in saldırı gerçekleştirme konusundaki genel yetkinliği ve yeni keşfedilen güvenlik açıklarının faydasını fark etme yeteneği, bunun hafife alınmaması gerektiğini gösteriyor.” Symantec dedi.
Fidye yazılımı, işletmeler için kalıcı bir tehdit oluşturmaya devam ediyor. Fortinet FortiGuard Labs, bu ayın başlarında, Linux sistemlerinde çalışmak üzere özel olarak tasarlanmış Maori adlı Go tabanlı bir fidye yazılımı ailesini ayrıntılı olarak açıkladı.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Koltuğumu Kurtar!
Go ve Rust’ın kullanımı, tehdit aktörlerinin bir kısmının platformlar arası “uyarlanabilir” fidye yazılımı geliştirmeye ve saldırı yüzeyini en üst düzeye çıkarmaya yönelik bir ilgiye işaret ederken, aynı zamanda yeni tekniklerin sürekli olarak benimsendiği, sürekli gelişen bir siber suç ekosisteminin de bir işaretidir. .
Kaspersky, 2023 için fidye yazılımı trendleri raporunda, “Önemli fidye yazılımı çeteleri, kendi kötü amaçlı yazılımlarının işlevselliğini artırabilecek şekilde, sızdırılan koddan veya diğer siber suçlulardan satın alınan koddan yetenekler ödünç alıyor.”
Gerçekten de, Cyble’a göre, Obsidian ORB adlı yeni bir fidye yazılımı ailesi, BlackSnake ve Onyx gibi diğer fidye yazılımı suşlarının da temeli olan Chaos’tan bir yaprak alıyor.
Fidye yazılımını öne çıkaran şey, oldukça farklı bir fidye ödeme yöntemi kullanması ve kurbanların fidyeyi kripto para ödemeleri yerine hediye kartları yoluyla ödemelerini talep etmesi.
Siber güvenlik firması, “Bu yaklaşım, kodu tercihlerine göre değiştirebildikleri ve özelleştirebildikleri için tehdit aktörleri (TA’lar) için etkili ve uygundur” dedi.