Tehdit aktörlerinin, kurban verilerini sızdırmak ve kontrolleri altındaki S3 klasörlerine yüklemek için tasarlanan fidye yazılımı saldırılarının bir parçası olarak Amazon S3 (Basit Depolama Hizmeti) Transfer Hızlandırma özelliğini kötüye kullandıkları gözlemlendi.
Trend Micro araştırmacıları Jaromir Horejsi ve Nitesh Surana, “Golang fidye yazılımını kötü şöhretli LockBit fidye yazılımı olarak gizlemeye yönelik girişimlerde bulunuldu” dedi. “Ancak durum böyle değil ve saldırgan, kurbanlarının üzerindeki ilmiği daha da sıkılaştırmak için LockBit’in kötü şöhretinden yararlanıyor gibi görünüyor.”
Fidye yazılımı eserlerinin, buluta veri sızdırmayı kolaylaştırmak için sabit kodlu Amazon Web Hizmetleri (AWS) kimlik bilgilerini yerleştirdiği tespit edildi; bu, saldırganların popüler bulut hizmeti sağlayıcılarını kötü amaçlı planlar için giderek daha fazla silah haline getirdiğinin bir işareti.
Kampanyada kullanılan AWS hesabının ya kendisine ait olduğu ya da ele geçirildiği varsayılıyor. AWS güvenlik ekibine yapılan sorumlu açıklamanın ardından, belirlenen AWS erişim anahtarları ve hesapları askıya alındı.
Trend Micro, AWS Erişim Anahtarı Kimlikleri ve Gizli Erişim Anahtarları içeren 30’dan fazla örnek tespit ettiğini ve bu durumun aktif gelişmenin sinyalini verdiğini söyledi. Fidye yazılımı hem Windows hem de macOS sistemlerini hedef alabiliyor.
Platformlar arası fidye yazılımının hedef ana bilgisayara nasıl teslim edildiği tam olarak bilinmiyor, ancak yürütüldükten sonra makinenin evrensel benzersiz tanımlayıcısını (UUID) elde ediyor ve dosyaları şifrelemek için gereken ana anahtarı oluşturmak için bir dizi adım gerçekleştiriyor.
Başlatma adımını, saldırganın kök dizinleri numaralandırması ve belirli bir uzantı listesiyle eşleşen dosyaları şifrelemesi takip eder, ancak daha önce bunları daha hızlı veri aktarımı için S3 Transfer Acceleration (S3TA) aracılığıyla AWS’ye sızdırmaz.
“Şifrelemeden sonra dosya aşağıdaki formata göre yeniden adlandırılır:
Son aşamada fidye yazılımı, kurbanları ödeme yapmaya zorlamak amacıyla cihazın duvar kağıdını LockBit 2.0’dan bahseden bir resim gösterecek şekilde değiştiriyor.
Araştırmacılar, “Tehdit aktörleri, fidye yazılımı örneklerini daha iyi bilinen başka bir varyant olarak da gizleyebilir ve bunun nedenini anlamak zor değil: yüksek profilli fidye yazılımı saldırılarının kötü şöhreti, kurbanları saldırganın emirlerini yerine getirmeye daha fazla baskı yapıyor” dedi.
Bu gelişme, Gen Digital’in, kriptografik şemadaki bir kusurdan yararlanarak Ocak 2023 ile Şubat 2024 arasında tespit edilen Mallox fidye yazılımı varyantı için bir şifre çözücü yayınlamasıyla ortaya çıktı.
Araştırmacı Ladislav Zezula, “Fidye yazılımının kurbanları, bu özel Mallox varyantının saldırısına uğramaları durumunda dosyalarını ücretsiz olarak geri yükleyebilirler” dedi. “Kripto kusuru Mart 2024 civarında giderildi, dolayısıyla Mallox fidye yazılımının sonraki sürümleri tarafından şifrelenen verilerin şifresini çözmek artık mümkün değil.”
Mallox operasyonunun TargetCompany olarak da bilinen bir bağlı kuruluşunun, Linux sistemlerini ihlal etmek için Kryptina fidye yazılımının biraz değiştirilmiş bir versiyonunu (kod adı Mallox v1.0) kullanan keşfedildiğini belirtmek gerekir.
“Mallox’un Kryptina’dan türetilmiş varyantları bağlı kuruluşlara özeldir ve Mallox’un o zamandan beri ortaya çıkan diğer Linux varyantlarından farklıdır; bu, fidye yazılımı ortamının nasıl çapraz polenlenmiş araç setleri ve doğrusal olmayan kod tabanlarından oluşan karmaşık bir menüye dönüştüğünün bir göstergesidir.” SentinelOne araştırmacısı Jim Walter geçen ayın sonlarında şunu belirtti.
Symantec’in fidye yazılımı sızıntı sitelerinden alınan veriler üzerinde yaptığı analize göre, fidye yazılımı büyük bir tehdit olmaya devam ediyor; 2024’ün üçüncü çeyreğinde iddia edilen saldırı sayısı önceki çeyrekteki 1.325’ten 1.255’e düştü.
Microsoft, Haziran 2023’ten Haziran 2024’e kadar olan bir yıllık dönemi kapsayan Dijital Savunma Raporu’nda, insan tarafından çalıştırılan fidye yazılımı bağlantılı karşılaşmalarda yıldan yıla 2,75 kat artış gözlemlediğini, saldırıların yüzdesinin ise gerçek şifreleme seviyesine ulaştığını söyledi. son iki yılda üç kat azaldı.
Şubat 2024’te altyapısını hedef alan uluslararası kolluk kuvvetleri operasyonunun ardından LockBit’in düşüşünden en çok yararlananlardan bazıları RansomHub, Qilin (diğer adıyla Agenda) ve sonuncusu veri sızdırmayla kısa bir süre flört ettikten sonra çifte şantaj taktiklerine geri dönen Akira oldu. ve 2024’ün başlarında tek başına gasp saldırıları.
Talos, “Bu dönemde, Akira hizmet olarak fidye yazılımı (RaaS) operatörlerinin, ESXi şifreleyicilerinin bir Rust versiyonunu geliştirdiklerini, C++’tan uzaklaşırken yükün işlevlerini yinelemeli olarak geliştirdiklerini ve farklı programlama teknikleri denediklerini görmeye başladık.” söz konusu.
Akira’nın dahil olduğu saldırılar ayrıca, ağlara sızmak için ele geçirilen VPN kimlik bilgilerinden ve yeni açıklanan güvenlik kusurlarından yararlandı, ayrıca daha derin bir dayanak oluşturma çabalarının bir parçası olarak ayrıcalıkları yükseltti ve güvenliği ihlal edilmiş ortamlarda yanal olarak hareket etti.
Akira bağlı şirketlerinin istismar ettiği bazı güvenlik açıkları aşağıda listelenmiştir:
Talos araştırmacıları James Nutland ve Michael Szeliga, “2024 yılı boyunca Akira, imalat ve profesyonel, bilimsel ve teknik hizmet sektörlerindeki kuruluşları açıkça tercih ederek önemli sayıda kurbanı hedef aldı” dedi.
“Akira, Rust tabanlı Akira v2 varyantının kullanımından geçiş yapıyor ve C++ ile yazılmış Windows ve Linux şifreleyicilerini kullanan önceki TTP’lere geri dönüyor olabilir.”