Yeni ortaya çıkan bir fidye yazılımı türünün analizi RansomHub bunun Knight fidye yazılımının güncellenmiş ve yeniden markalanmış bir versiyonu olduğunu ve kendisinin de Cyclops olarak bilinen başka bir fidye yazılımının evrimi olduğunu ortaya çıkardı.
Knight (diğer adıyla Cyclops 2.0) fidye yazılımı ilk kez Mayıs 2023’te geldi ve finansal kazanç amacıyla kurbanların verilerini çalmak ve şifrelemek için çifte şantaj taktikleri kullandı. Windows, Linux, macOS, ESXi ve Android dahil olmak üzere birden fazla platformda çalışır.
RAMP siber suç forumunda reklamı yapılan ve satılan fidye yazılımı içeren saldırıların, kötü amaçlı ekler biçiminde bir dağıtım vektörü olarak kimlik avı ve hedef odaklı kimlik avı kampanyalarından yararlandığı tespit edildi.
Hizmet olarak fidye yazılımı (RaaS) operasyonu, kaynak kodunun satışa sunulduğu Şubat 2024’ün sonlarından itibaren kapatıldı; bu da, daha sonra bu aktörün başka bir aktöre el değiştirmiş olabileceği ihtimalini artırıyor. RansomHub markası altında güncelleyin ve yeniden başlatın.
Aynı ay ilk kurbanını açıklayan RansomHub, son haftalarda Change Healthcare, Christie’s ve Frontier Communications’ın da aralarında bulunduğu bir dizi fidye yazılımı saldırısıyla ilişkilendirildi. Ayrıca Bağımsız Devletler Topluluğu (BDT) ülkeleri, Küba, Kuzey Kore ve Çin’deki varlıkları hedeflemekten kaçınacağına söz verdi.
Broadcom’un bir parçası olan Symantec, The Hacker News ile paylaşılan bir raporda “Her iki veri de Go’da yazılıyor ve her ailenin çoğu varyantı Gobfuscate ile karıştırılıyor” dedi. “İki aile arasındaki kod örtüşmesinin derecesi önemli, bu da aralarında ayrım yapmayı çok zorlaştırıyor.”
Her ikisi de komut satırında aynı yardım menülerini paylaşıyor; RansomHub, yürütmeden önce belirli bir süre (dakika olarak) boyunca hareketsiz kalmasını sağlayan yeni bir “uyku” seçeneği ekliyor. Chaos/Yashma ve Trigona fidye yazılımı ailelerinde de benzer uyku komutları gözlemlendi.
Knight ve RansomHub arasındaki örtüşmeler aynı zamanda dizeleri kodlamak için kullanılan gizleme tekniğini, dosyaları şifreledikten sonra bırakılan fidye notlarını ve şifrelemeye başlamadan önce bir ana bilgisayarı güvenli modda yeniden başlatma yeteneklerini de kapsıyor.
Symantec, tek temel farkın cmd.exe aracılığıyla yürütülen komutlar dizisi olduğunu, ancak “diğer işlemlere göre çağrılma şekli ve sırasının aynı olduğunu” söyledi.
RansomHub saldırılarının, ilk erişimi elde etmek ve fidye yazılımı dağıtımından önce Atera ve Splashtop gibi uzak masaüstü yazılımlarını bırakmak için bilinen güvenlik kusurlarından (örneğin, ZeroLogon) yararlandığı gözlemlenmiştir.
Malwarebytes tarafından paylaşılan istatistiklere göre fidye yazılımı ailesi yalnızca Nisan 2024’te 26 doğrulanmış saldırıyla ilişkilendirilerek Play, Hunters International, Black Basta ve LockBit’in gerisinde kaldı.
Google’ın sahibi olduğu Mandiant, bu hafta yayınlanan bir raporda, RansomHub’ın LockBit ve BlackCat gibi yakın zamandaki kapanmalardan veya çıkış dolandırıcılıklarından etkilenen bağlı kuruluşları işe almaya çalıştığını ortaya çıkardı.
Symantec, “Notchy olarak bilinen eski bir Noberus bağlı kuruluşunun artık RansomHub ile çalıştığı bildiriliyor” dedi. Buna ek olarak, daha önce Scattered Spider olarak bilinen başka bir Noberus bağlı kuruluşuyla ilişkilendirilen araçlar, yakın zamanda yapılan bir RansomHub saldırısında kullanıldı.
“RansomHub’ın işini kurma hızı, grubun siber yeraltında deneyimi ve bağlantıları olan deneyimli operatörlerden oluşabileceğini gösteriyor.”
Bu gelişme, fidye yazılımı faaliyetlerinde 2022’deki “hafif düşüş”e kıyasla 2023’teki artışın ortasında gerçekleşti; hatta yıl içinde gözlemlenen 50 yeni ailenin yaklaşık üçte birinin daha önce tanımlanmış fidye yazılımı ailelerinin varyantları olduğu tespit edilmiş olup bu durum fidye yazılımı aktivitesinde 2022’deki artışa işaret etmektedir. Kodun yeniden kullanımının yaygınlığı, aktör örtüşmeleri ve yeniden markalama.
Mandiant araştırmacıları, “Olayların neredeyse üçte birinde fidye yazılımı, saldırganın ilk erişiminden sonraki 48 saat içinde dağıtıldı.” dedi. “Fidye yazılımı dağıtımlarının yüzde yetmiş altısı (%76) mesai saatleri dışında gerçekleşti ve çoğunluğu sabahın erken saatlerinde gerçekleşti.”
Bu saldırılar ayrıca, Cobalt Strike’a güvenmek yerine, izinsiz giriş operasyonlarını kolaylaştırmak için ticari olarak temin edilebilen ve yasal uzak masaüstü araçlarının kullanılmasıyla da karakterize edilir.
Mandiant, “Meşru araçlara olan bağımlılığın artması, muhtemelen saldırganların operasyonlarını tespit mekanizmalarından gizleme ve özel araçları geliştirmek ve sürdürmek için gereken zamanı ve kaynakları azaltma çabalarını yansıtıyor” dedi.
Fidye yazılımı saldırılarındaki toparlanma, BlackSuit, Fog ve ShrinkLocker gibi yeni fidye yazılımı türlerinin ortaya çıkmasının ardından geldi; bunlardan ikincisinin, şantaj saldırılarında izinsiz dosya şifreleme için Microsoft’un yerel BitLocker yardımcı programından yararlanan bir Visual Basic Komut Dosyası (VBScript) dağıttığı gözlemlendi. Meksika, Endonezya ve Ürdün’ü hedef alıyor.
ShrinkLocker, kullanılabilir her önyükleme dışı bölümün boyutunu 100 MB kadar küçülterek, ayrılmamış alanı yeni bir birincil bölüme dönüştürerek ve bunu etkinleştirmek amacıyla önyükleme dosyalarını yeniden yüklemek için kullanarak yeni bir önyükleme bölümü oluşturma yeteneği nedeniyle bu şekilde adlandırılmıştır. iyileşmek.
Kaspersky, ShrinkLocker analizinde “Bu tehdit aktörünün VBScript dilini ve WMI, diskpart ve bcdboot gibi Windows dahili ve yardımcı programlarını kapsamlı bir şekilde anladığını” belirterek, muhtemelen “hedef sistemin tam kontrolüne zaten sahip olduklarını” belirtti. Senaryo yürütüldüğünde.”