Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
ABD Ajansı Danışmanlığı Grubun Faaliyetlerine Işık Tutuyor
Prajeet Nair (@prajeetspeaks) •
21 Eylül 2023
ABD yetkilileri tarafından yayınlanan yeni bir uyarıya göre Snatch fidye yazılımı grubu, savunma sanayi üssü, gıda ve tarım ve bilgi teknolojisi sektörleri de dahil olmak üzere çok çeşitli kritik altyapı sektörlerini hedef alıyor.
Ayrıca bakınız: İsteğe Bağlı Web Semineri | Üçüncü Taraf Riski, ChatGPT ve Deepfakes: Günümüzün Tehditlerine Karşı Savunma
Grup ilk olarak 2018’de ortaya çıktı ve hizmet olarak fidye yazılımı modeli üzerinde çalışıyor ve veri sızdırma ve çifte gasp içeren operasyonlar yürütüyor.
Siber Güvenlik ve Altyapı Güvenliği Ajansı ile FBI’ın Çarşamba günü ortak bir danışma belgesinde, grubun daha önce GandCrab üyesi olarak faaliyet gösteren önemli bir grup üyesi olan Truniger’in takma adına dayanarak Truniger Takımı olarak anıldığı belirtildi (bkz.: GandCrab Dağıtıcısı İddiası Belarus’ta Tutuklandı).
Snatch tehdit aktörleri, kurbanın ağına erişim sağlamak ve bu ağı kalıcı kılmak için farklı yöntemler kullanır. Bağlı kuruluşları, kaba kuvvet uygulamak ve kurbanların ağlarına yönetici kimlik bilgileri kazandırmak için öncelikle Uzak Masaüstü Protokolündeki zayıflıklardan yararlanmaya güveniyor.
Bazı durumlarda, Snatch üyeleri, suç forumlarından veya pazar yerlerinden güvenliği ihlal edilmiş kimlik bilgilerini araştırdı ve bir yönetici hesabını tehlikeye atarak ve Rusya’nın kurşun geçirmez bir barındırma hizmetinde bulunan bir komuta ve kontrol sunucusuna HTTPS üzerinden bağlantılar kurarak kurbanın ağında kalıcılık kazandı.
Grup ayrıca, diğer fidye yazılımı aktörlerinden satın alınan daha önce çalınan verileri, verileri sızıntı sitesinde yayınlamakla tehdit ederek mağdurları haraç ödemeye zorlamak için kullandı.
Snatch, verileri keşfetmek, yana doğru hareket etmek ve sızdırılacak verileri aramak için farklı taktikler, teknikler ve prosedürler kullanır. Windows kayıt defteri yardımcı programını kullanır sc.exe Metasploit ve Cobalt Strike gibi işletim sistemi hizmetlerini ve araçlarını eklemek için.
Fidye yazılımını dağıtmadan önce, Snatch tehdit aktörleri kurbanın sisteminde üç aya kadar saklanabilir.
Fidye yazılımının dağıtımı sırasında, tehdit aktörleri antivirüs yazılımını devre dışı bırakmaya ve adlı bir yürütülebilir dosyayı çalıştırmaya çalışır. safe.exe. Yürütülebilir dosyanın adı, kural tabanlı algılamayı engellemek için onaltılık karakterlerden oluşan bir diziden oluşur.
“Başlatıldığında, Snatch fidye yazılımı yükü kayıt defteri anahtarlarını sorgular ve değiştirir, sistemi numaralandırmak için çeşitli yerel Windows araçlarını kullanır, işlemleri bulur ve Windows toplu dosyalarını yürütmek için zararsız işlemler oluşturur. Bazı durumlarda program, tüm birim gölge kopyalarını kaldırmaya çalışır. Federal araştırmacılar, toplu iş dosyalarının yürütülmesinden sonra, yürütülebilir dosyanın toplu iş dosyalarını kurbanın dosya sisteminden kaldırdığını söyledi.
Tehdit aktörleri kurbanlarıyla e-posta ve fidye notlarında bırakılan tanımlayıcılara dayalı Tox iletişim platformu veya gasp blogları aracılığıyla iletişim kuruyor.