Güvenlik araştırmacıları, Babuk fidye yazılımının bir türevi olan Dark Angels fidye yazılımının Dunghill Leak adlı yeni bir sürümünü ortaya çıkardığını buldu.
Amerikalı bir oyun sistemleri tasarımcısı ve üreticisi olan Incredible Technologies, Golden Tee Golf serisi için popülerdir. şirket ortaya çıktı siber güvenlik haberleri dün, bir fidye yazılımı kurbanı olarak listelendiğinde.
Kendisine Dunghill Leak adını veren fidye yazılımı çetesi, 500 GB şirket verisine erişimi olduğunu iddia ediyor.
58 slot makinesi oyunu için ikili dosyaları ve kaynak dosyaları, belgeleri ve bu oyunlarla ilgili gizli verileri içerir.
Veri seti ayrıca uygulama geliştirme için kaynak dosyaları, SolidWorks çizimleri, şemaları, 3D modelleri ve zuuma ve V55 gibi oyun istasyonları için parça listelerinin yanı sıra 2011-2022 yılları arasındaki muhasebe kayıtları ve vergi ödeme raporlarını içerir.
Ayrıca, 2005-2018 yılları arasında, çoğunlukla denetimlerle ilgili arşivler bulunmaktadır.
Falcon Feeds’teki araştırmacılar bayraklı grubun, Dark Angels fidye yazılımının yeniden markalanmış bir sitesi olduğu görülüyor.
Dunghill Leak, Dark Angels ve Babuk fidye yazılımı
Cyber Express, Dunghill Leak ve Dark Angels (birçok çevrede Dark Angels/Dark Angelss olarak da anılır) arasındaki bağlantıyı doğrulamak için bağımsız araştırmacılara ulaştı.
Cyble’daki araştırmacılar, Mayıs 2022’de Dark Angels fidye yazılımını fark ettiler. ileri analiz Babuk Ransomware ile arasındaki benzerlikleri ortaya çıkardı ve infazla bitmedi.
Raporda, “Babuk fidye yazılımı gibi, Kara Melekler de şifrelenmiş dosyanın sonuna “choung dong sosisliye benziyor” imzası ekleyerek fidye yazılımının Babuk ile bağlantılı olduğunu gösteriyor” dedi.
“Dark Angel Team Fidye Yazılımı, Babuk’un kaynak kodunu temel alır ve hemen hemen aynı şekilde çalışır.” onaylanmış bir SentinelOne analizi.
“Fidye yazılımı, sistem kurtarmayı engellemeye ve şifreleme sürecini engelleyebilecek herhangi bir işlemi sonlandırmaya çalışacak.”
Herhangi bir komut satırı seçeneğinin yokluğunda, kötü amaçlı yazılım tüm yerel sürücüleri sıralar ve hedeflenen tüm dosyaları şifreler.
Başka bir SentinelOne, şifreleme üzerine dosyalara .crypt uzantısının verildiğini belirtti. raporDark Angels’ı 2022’de dikkat edilmesi gereken üç fidye yazılımı türünden biri olarak listeledi.
“How_To_Restore_Your_Files.txt” adlı kötü amaçlı yazılım tarafından bırakılan fidye notu, kurbanlara şifre çözme aracı için fidye parasını ödeme talimatı verdi.
Ancak Cyble araştırmacılarının bulduğu Babuk ve Dark Angels arasında çok önemli bir fark vardı.
“Babuk fidye yazılımının aksine, Kara Melekler kötü amaçlı yazılımı belirli kuruluşları hedeflemek için kullanıyor. Bu yaklaşım, bazı tehdit aktörlerinin özellikle hedeflerini seçtiklerini gösteriyor” dedi.
“Şimdiye kadar DarkAngels sızıntı sitesi tespit edilmedi. Ancak, hedefli saldırılar göz önüne alındığında yakında ortaya çıkabilir.”
Dark Angels fidye yazılımı, çeteler ve TOR siteleri
Genellikle fidye yazılımı operatörleri, yasa dışı davranışlarını gizlemek için eylemlerini karanlık ağ ile sınırlar.
Kamuya açık sızıntı web sitelerini ve kurbanlar için iletişim platformlarını The Onion Router (TOR) ağında, yalnızca doğrudan ifşa yoluyla özel olarak erişilebilen belirli bir URL aracılığıyla erişilebilen gizli tutuyorlar.
Bir Cisco Talos, “Bu, bu tür siteleri izleyen ve keşfeden diğer operatörlere, kurbanlara ve güvenlik araştırmacılarına erişimi sınırlandırıyor” dedi. rapor karanlık web’deki fidye yazılımı etki alanlarının anonimleştirilmesi hakkında.
Uygun şekilde kullanıldığında, TOR ağı önemli ölçüde anonimlik sağlayabilir.
Bununla birlikte, bir tehdit aktörü yapılandırma hataları yaparsa, faaliyetleri herkes tarafından görülebilir hale gelir ve kolluk kuvvetlerinin veya güvenlik araştırmacılarının incelemesine neden olabilir.
Fidye yazılımı operatörleri, bu tür dikkat çekmeyi önlemek için operasyonlarını izlenemez ve anonim tutmak için kapsamlı önlemler alacaktır.
Cisco Talos araştırmacıları, TOR gizli hizmetleri web arama motorları tarafından doğrudan dizine eklenmediğinden, rakiplerin net web altyapılarını ortaya çıkarmak için çeşitli yöntemler kullandı.
Oyuncuların karanlık web siteleriyle ilişkili kendinden imzalı TLS sertifikalarını ve favicon’ları belirlediler ve bunların halka açık bir şekilde kullanılıp kullanılmadıklarını görmek için açık web’i indekslediler.
Araştırmacılar ayrıca, saldırganların, tehdit aktörleri tarafından fidye yazılımı sunucularını yönetmek için kullanılan belirli oturum açma konumlarının bir listesini elde etmelerine olanak tanıyan hassas sunucu verilerini istemeden açığa çıkardığı örnekler de buldu.
Bu yöntemi Dark Angels’a uyguladılar.
“Kurban verilerinin yayınlanması için geri sayım zamanlayıcısı ve ayrıca kurbanların Dark Angels ile bir sohbet odasına girmek için kullanabilecekleri bağlantılar içeren bir TOR gizli hizmeti olarak bir blog web sitesi kurdukları için diğer gruplarla hemen hemen aynı şekilde çalışıyorlar. bağlı kuruluşlar fidye ödeme müzakerelerini görüşecek” dedi.