Cyble’daki güvenlik araştırmacıları kısa bir süre önce, fidye yazılımı yazarlarının artık çok sayıda dosya türünü şifreleme ve kullanılamaz hale getirme yeteneğine sahip yepyeni bir kötü amaçlı araç olan AXLocker’a erişebildiğini belirledi.
Tehdit Aktörleri için en karlı ve önemli kötü amaçlı yazılım ailelerinden biri olan fidye yazılımı, hızla en önemli tehdit türlerinden biri haline geldi.
Saldırı Akışı
Aşağıdakilerden üç yeni fidye yazılımı ailesi ortaya çıkarıldı: AXLocker, Octocrypt ve Alice Ransomware.
AXLocker fidye yazılımının arkasındaki saldırganlar, virüs bulaşmış kullanıcıların discord jetonlarını ve hesaplarını çalar. Kurbanın bilgisayarındaki dosyaları şifreledikten sonra bir fidye notu gösterilir. Bu not, kurbana şifre çözme aracını nasıl elde edeceğine ilişkin talimatlar verir. Cyble araştırmacıları teknik rapor aracılığıyla söyledi.
Bilgisayar korsanları tarafından çalınan Discord jetonları, aşağıdaki eylemleri gerçekleştirmek için kullanılabilir:
- kullanıcı olarak oturum açın
- API istekleri göndererek ilişkili hesap hakkında bilgi edinin
NFT platformları ve kripto para grupları, iletişim için tercih edilen bir topluluk olarak Discord’a yöneldi.
Bu nedenle, bir saldırganın Discord moderatör jetonunun yanı sıra diğer doğrulanmış topluluk üyelerinin jetonlarını dolandırıcılık yapmak ve hileli kullanım yoluyla fon çalmak için kullanabileceği açıktır.
Yeni AXLocker fidye yazılımı, kurbanlarının dosyalarını şifrelemenin yanı sıra kurbanlarının Discord jetonlarını da çaldığı için en gelişmiş kötü amaçlı yazılımlardan biri olarak işaretlendi.
Bu kötü amaçlı aracı kullanan tehdit aktörleri, eylemleri söz konusu olduğunda belirli bir karmaşıklığa sahip değildir.
Fidye yazılımı yürütüldükten sonra, dosyalarının özniteliklerini değiştirerek varlığını gizleyen sistemde startencryption() adlı bir işlevi çağırarak dosyaları şifreler.
Bir startencryption() işlevi, işlevde bulunan kodu kullanarak C:/ sürücüsündeki kullanılabilir dizinlerin numaralandırılmasından ve bunlardaki dosyaların bulunmasından sorumludur.
Şifreleme işlemi, şifrelenebilir dosya uzantıları aranarak ve bir dizin listesi şifrelenmekten hariç tutularak kontrol edilir.
Bunu, FileName’i bağımsız değişken olarak kullanarak kurbanın sistem dosyalarını şifreleyen EncryptFile işlevini yürütecek olan ProcessFile işlevini çağıran fidye yazılımı izler.
AES algoritması, dosyaları şifrelerken AXLocker tarafından kullanılır. Ancak, şifrelenmiş dosyaların dosya adlarına eklenmiş herhangi bir uzantısı yoktur, bu nedenle orijinal dosya adlarıyla aynı adlarla görünürler.
Ardından, aşağıdaki verileri tehdit aktörlerinin kontrolü altındaki Discord kanalına gönderdiği bir webhook URL’si kullanır:-
- kurban kimliği
- Sistem detayları
- Tarayıcılarda depolanan veriler
- Anlaşmazlık belirteçleri
Bunun dışında güvenlik analistleri ayrıca iki fidye yazılımı ailesi daha tespit etti ve burada bunlardan aşağıda bahsediliyor: –
- Octocrypt Fidye Yazılımı
- Alice Fidye Yazılımı
Bu fidye yazılımlarının her ikisinin de arkasında bir RaaS (Hizmet Olarak Fidye Yazılımı) iş modeli vardır. Tüm Windows sürümleri, bu yeni fidye yazılımı türleri tarafından hedef alınır.
Hedeflenen Dizinler
Discord belirteçlerini çalmak için kötü amaçlı yazılım tarafından hedeflenen dizinler arasında şunlar yer alır: –
- Discord\Yerel Depolama\leveldb
- discordcanary\Yerel Depolama\leveldb
- discordptb\leveldb
- Opera Software\Opera Stable\Local Storage\leveldb
- Google\Chrome\Kullanıcı Verileri\\Varsayılan\Yerel Depolama\leveldb
- BraveSoftware\Brave-Browser\Kullanıcı Verileri\Default\Local Storage\leveldb
- Yandex\YandexBrowser\Kullanıcı Verileri\Varsayılan\Yerel Depolama\leveldb
Bununla birlikte, bu fidye yazılımının öncelikle tüketicilere yönelik olmasına rağmen, yine de büyük topluluklar ve işletmeler için önemli bir tehdit oluşturabileceğini belirtmek önemlidir.
öneriler
Aşağıda, uzmanlar tarafından sunulan tüm önerilerden bahsetmiştik:-
- Yedeklemeler düzenli olarak yapılmalıdır.
- Yedeklerinizi bulutta veya ayrı bir ağda sakladığınızdan emin olun.
- Mümkün ve pratik olduğunda, bilgisayarınızda, cep telefonunuzda ve diğer bağlı cihazlarda otomatik yazılım güncellemelerini etkinleştirmeniz önerilir.
- Bilgisayarınız, dizüstü bilgisayarınız ve cep telefonunuz gibi bağlı cihazlarınız, saygın bir anti-virüs ve İnternet güvenliği yazılım paketi ile korunmalıdır.
- Açmadan önce e-posta eklerinin ve bağlantılarının gerçekliğini doğruladığınızdan emin olun.
- Aynı ağda virüs bulaşan cihazların bağlantısı kesilmelidir.
- Bağlıysa, harici depolama cihazlarının bağlantısının kesildiğinden emin olun.
- Sistem günlüklerinin şüpheli etkinlik açısından kontrol edildiğinden emin olun.
- Fidye Yazılımı Saldırılarına Müdahale ve Azaltma bölümünü okumanızı öneririz. Kontrol listesi.
Uygulamalar için Yönetilen DDoS Saldırı Koruması – Ücretsiz Kılavuzu İndirin