Eski Lockbit 3.0 bağlı kuruluşlarının yeni bir ‘Exfiltrator-22’ sömürü sonrası çerçevesini desteklediğine dair raporların yayınlanmasından günler sonra, fidye yazılımı çetesi onunla herhangi bir bağlantıyı reddetti.
LockBit sızıntı sitesindeki bir gönderiye göre, fidye yazılımı çetesi Exfiltrator-22’nin bazı acemiler tarafından yapılan bir PR gösterisi olduğunu iddia etti.
Bu hafta CYFIRMA’daki tehdit analistleri, yeni çerçevenin izini anti-analiz ve savunma kaçırma konusunda uzmanlaşmış eski Lockbit 3.0 bağlı kuruluşlarına kadar izleyen bir rapor yayınladı. teklif ediyorlar ömür boyu erişim için aylık 1.000 ABD Doları ile 5.000 ABD Doları arasında değişen yüksek bir abonelik ücreti.
Lockbit, yeni tehdit aktörü Exfiltrator-22 ile herhangi bir bağlantıyı reddediyor. Bir bilgisayar korsanı forumunda yayınlanan bir mesajda, herhangi bir ilişkilendirmeyi reddettiler ve yeni tehdit aktörü tarafından bir PR hilesi olarak bahsettiler.#Tehditçi#Tehdit mesajı#Tehdit İstihbaratı pic.twitter.com/T3wBslrk8f
— FalconFeedsio (@FalconFeedsio) 2 Mart 2023
Exfiltrator-22 hakkında bilmeniz gereken her şey
CYFIRMA’nın araştırmasına göre, EXFILTRATOR-22’nin ilk geliştirmesi 27 Kasım 2022’de veya daha önce tamamlandı. 7 Aralık 2022’ye kadar tehdit aktörü, kötü amaçlı yazılımı tanıtmak ve potansiyel alıcıları çekmek için bir telgraf kanalı kurdu.
13 Şubat 2023 itibarıyla çok sayıda dinamik taramadan geçmesine rağmen, kötü amaçlı yazılım 70 Çevrimiçi Korumalı Alandan yalnızca 5’i tarafından tespit edildi. Bu, tehdit aktörlerinin anti-analiz ve savunma kaçırma tekniklerinde yeterliliğe sahip olduğunu göstermektedir.
“Ocak 2023’te, olası alıcıları ilerleme hakkında bilgilendirmek için kanallarında resmi bir duyuru yapıldı. Ex22’nin %87 oranında kullanıma hazır olduğu ve ödeme modelinin abonelik bazlı olacağı belirtildi (aylık 1000$ ve ömür boyu erişim için 5000$).
“Satın aldıktan sonra, alıcıya kurşun geçirmez bir VPS’de (Sanal Özel Sunucu) barındırılan Ex22 sunucusuna erişmesi için bir oturum açma paneli verilecek.”
Son zamanlarda, Exfiltrator-22’nin arkasındaki tehdit aktörleri, yardımcı olan yeni özellikleri duyurdu.S güvenliği ihlal edilmiş cihazlardaki trafiği gizleyerek hasar verme yeteneklerini daha da artırır.
10 Şubat 2023’te, çerçevelerinin yanal hareketini ve fidye yazılımı yayma yeteneklerini sergilemek için YouTube’da iki tanıtım videosu yayınladılar.
Siber güvenlik uzmanları, siber suçluların artan karmaşıklığını ve artan fidye yazılımı saldırı tehdidini vurgulayan Exfiltrator-22’nin ortaya çıkmasından endişe duyuyor.
LockBit bağlantısı
CYFIRMA araştırması, diğer kötü amaçlı yazılım örneklerinden alınan verilerle ilişkilendirdikten sonra, bir LockBit3.0 örneğinin (sha256- d61af007f6c792b8fb6c677143b7d0e2533394e28c50737588e40da475c040ee) ve EXFILTRATOR-22 örneğinin C2 trafiğini gizlemek için aynı tekniği (Domain Fronting) ve ağ altyapısını paylaştığını ortaya çıkardı.
Raporda, “Araştırma araçlarına basit bir bakış, yukarıdaki örneğin LockBit3.0 kampanyalarında aktif olarak kullanıldığını gösteriyor” dedi.
“Daha fazla araştırma sonucunda, CYFIRMA araştırma ekibi LockBit3.0 örneğinin EX-22 ile aynı C2 altyapısını kullandığını belirledi.”
Exfiltrator-22, bir endişe konusu
CYFIRMA raporu, EX-22’nin yaratıcılarının kötü amaçlı yazılımın kaçma yeteneklerini geliştirmeye devam edecek olan gelişmiş tehdit aktörleri olma ihtimalinin yüksek olduğu konusunda uyarıyor. Sonuç olarak, EX-22, istismar sonrası araçlar arayan ancak yüksek tespit oranları nedeniyle geleneksel araçları kullanmakta tereddüt eden tehdit aktörleri için popüler bir seçenek haline geliyor.
CYFIRMA, tehdit aktörlerinin çeşitli nedenlerle istismar sonrası bir ortaklık modeli oluşturduğu sonucuna varıyor:
Genişletilmiş erişim: Bir ortaklık programı uygulayarak, tehdit aktörleri erişimlerini daha geniş bir kitleye genişletebilir ve bu da potansiyel kurbanların sayısını artırabilir. Bağlı kuruluşlar, kötü amaçlı yazılımı sosyal medya, forumlar ve diğer web siteleri gibi çeşitli kanallar aracılığıyla dağıtabilir.
Azaltılmış risk: Bağlı kuruluşlar, kötü amaçlı yazılımı tanıtma ve dağıtma sorumluluğunu üstlenerek tehdit aktörü riskini en aza indirir. Bir bağlı kuruluş yakalanır ve yargılanırsa, tehdit aktörü operasyondan uzaklaşabilir ve tespit edilmekten kurtulabilir.
Artan kaynaklar: Bir ortaklık programı, tehdit aktörlerine yeni araçlar ve uzmanlık da dahil olmak üzere ek kaynaklara erişim sunabilir.
Bağlı kuruluşlar, özel becerilere sahip olabilir veya tehdit aktörünün sahip olmadığı belirli ağlara veya teknolojilere erişime sahip olabilir ve bu da kampanyanın genel etkinliğini artırabilir.
Artan karlar: Bağlı kuruluşlar genellikle kötü amaçlı yazılımın dağıtımından elde edilen kârın bir yüzdesini alır ve bu da onları kötü amaçlı yazılımı olabildiğince yaygın bir şekilde yaymaya teşvik eder.