AhnLab güvenlik araştırmacıları, ilk olarak 2018'de yaygın olan ve öncelikle kimlik avı e-postaları aracılığıyla yayılan AutoIt komut dosyası dili ile oluşturulan bir fidye yazılımı türü olan CryptoWire'ın yeniden dirilişini tespit etti.
Çoğu fidye yazılımının aksine, CryptoWire'ın şifre çözme anahtarını koduna dahil ettiği, şifrelenmiş dosyaları kurtarmanın ise muhtemelen karmaşık bir süreç gerektirdiği bildiriliyor.
.webp)
Ücretsiz Web Semineri: Güvenlik Açığı ve 0 Günlük Tehditlerin Azaltılması
Güvenlik ekiplerinin 100'lerce güvenlik açığını önceliklendirmesi gerekmediğinden, hiç kimseye yardımcı olmayan Yorgunluk Uyarısı.:
- Günümüzün kırılganlık yorgunluğu sorunu
- CVSS'ye özgü güvenlik açığı ile risk tabanlı güvenlik açığı arasındaki fark
- Güvenlik açıklarının iş etkisine/riskine göre değerlendirilmesi
- Uyarı yorgunluğunu azaltmak ve güvenlik duruşunu önemli ölçüde geliştirmek için otomasyon
Riski doğru bir şekilde ölçmenize yardımcı olan AcuRisQ:
Yerinizi ayırtın
Ana Özellikler:
Fidye yazılımı kalıcılığı sağlamak için kendisini ortak bir konuma (“C:\Program Files\Common Files”) yükler, sistemdeki varlığını sürdürmek için görevleri planlar ve ardından dosyaları şifrelemek için yerel ağı ve bağlı cihazları tarayarak potansiyel olarak güvenliği tehlikeye atar. tüm internet ağı.
.webp)
Şifrelenen dosyalar “.encrypted” uzantısıyla yeniden adlandırılır ve masaüstüne “domaincheck.txt” adlı, muhtemelen tehlikeye atılmış sistem bilgilerini içeren bir günlük dosyası kaydedilir.
.webp)
ASEC'e göre, kötü amaçlı yazılım geri dönüşüm kutusunu boşalttı ve veri kurtarmayı engellemek için gölge kopyaları sildi. Son olarak, şifre çözme için ödeme talep eden bir fidye mesajı görüntülenir.
Fidye yazılımı şifre çözme anahtarını kendi bünyesinde barındırabilir veya çalınan sistem bilgileriyle birlikte saldırganın sunucusuna gönderebilir.
Çoğu fidye yazılımı, kullanıcıları dosyalarına yeniden erişim kazanmak için karmaşık bir şifre çözme işlemine zorladığından, bu yöntem nadirdir.
.webp)
Enfeksiyonu önlemek için kullanıcılar bilinmeyen dosyaları açarken dikkatli olmalı ve şüpheli dosyaları taramak için güncel kötü amaçlı yazılımdan koruma yazılımı kullanmalıdır.
20 Ocak 2024'te başka kötü amaçlı yazılım indirmiş olabilecek bir Truva atı indiricisi (Trojan/Win.Kryptik.C5576563) tespit edildiğinden sisteme birden fazla tehdit bulaştı.
Daha yakın bir zamanda, 20 Şubat 2024'te, muhtemelen dosyaları şifreleyen ve şifrenin çözülmesi için fidye talep eden fidye yazılımı (Ransomware/Win.bcdedit.C5590639) da bulundu.
Ayrıca fidye yazılımının (MDP.Ransom.M1171) çalıştırılmasıyla tutarlı kötü amaçlı yazılım davranışı da tespit edildi.
Tehlike Göstergelerinin (IoC) analizi, kötü amaçlı dosyaları tanımlamak için kullanılabilecek iki MD5 karmasını (cd4a0b371cd7dc9dab6b442b0583550c ve a410d4535409a379fbda5bb5c32f6c9c) ortaya çıkardı.
Bir C2 sunucu adresi (hxxp://194.156.98[.]Bu kötü amaçlı yazılımı kaldırmak ve sistemi korumak için derhal harekete geçilmesi gerektiğinden, 51/bot/log.php) talimatları almak veya çalınan verileri göndermek için kötü amaçlı yazılımla iletişim kurduğu tespit edildi.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.