ESXi sunucularını hedef alan devam eden saldırılardan Conti/TrickBot üyelerine yönelik yaptırımlara kadar, fidye yazılımı konusunda oldukça yoğun bir hafta geçirdik.
Dünya çapındaki ESXiArgs fidye yazılımı saldırıları, hafta sonu ve hafta boyunca VMware ESXi sunucularını rahatsız etmeye devam etti. Yöneticilerin sunucularını kurtarmalarına yardımcı olmak için CISA, sanal makineleri şifrelenmiş sunuculardaki düz dosyalardan kurtaracak bir komut dosyası yayınladı.
Ancak bir gün sonra, ESXiArgs fidye yazılımının daha fazla veriyi şifreleyerek önceden bilinen kurtarma yöntemlerini önleyen yeni bir sürümü yayınlandı.
Fidye yazılımı çeteleri için çok cazip bir hedef olan ESXi ile Royal Ransomware grubunun Linux şifreleyicisi, sanal makineleri şifrelemek için kendi Linux şifresini de geliştirdi.
Ayrıca, yedi TrickBot/Conti siber suç örgütü üyesine yaptırım uygulayan ve Kuzey Kore fidye yazılımı saldırılarının DRPK’nin operasyonlarını finanse etmek için nasıl kullanıldığını ayrıntılarıyla açıklayan bir rapor yayınlayan ABD hükümetinden haberler aldık.
Uzun bir süre birkaç kurban ve veri sızıntısı sitesindeki faaliyetlerden sonra, GoAnywhere MFT’deki sıfır gün güvenlik açığını kullanarak saldırıların arkasında olduğunu iddia eden Clop fidye yazılımı çetesi (TA505) geri döndü.
Fidye yazılımı çetesi, 130 şirketten veri çalmak için güvenlik açığından yararlandıklarını söylüyor, ancak bunu bağımsız olarak doğrulayamadık.
Ayrıca çeşitli (muhtemel) fidye yazılımı saldırıları hakkında bazı haberler de öğrendik; LockBit’in sonunda Royal Mail’e yapılan saldırıyı üstlenmesi, Kanada’nın Indigo kitapçılarına yapılan bir saldırı ve Play fidye yazılımı saldırısından sonra bir veri ihlaline maruz kaldıklarını doğrulayan A10 Networks.
Bununla birlikte, Huntress Labs tarafından hazırlanan bir rapor, Clop’un bu saldırılara muhtemelen karıştığını da gösteriyor.
Katkıda bulunanlar ve bu hafta yeni fidye yazılımı bilgileri ve hikayeleri sağlayanlar şunları içerir: @LawrenceAbrams, @malwrhunterteam, @billtoulas, @demonslay335, @shaggygel, @PolarToffee, @fwosar, @BleepinBilgisayar, @Ionut_Ilascu, @serghei, @Seifreed, @jfslowik, @CISAgov, @LabsSentinel, @BushidoToken, @ASEC_Analiz, @pcrisk, @ValeryMarchiveVe @BrettCallow.
5 Şubat 2023
Royal Ransomware’in Linux sürümü, VMware ESXi sunucularını hedefliyor
Royal Ransomware, özellikle VMware ESXi sanal makinelerini hedef alan en yeni kötü amaçlı yazılım türevlerine Linux cihazlarını şifreleme desteği ekleyen en son fidye yazılımı operasyonudur.
6 Şubat 2023
VMware, yöneticileri ESXi sunucularına yama yapmaları ve OpenSLP hizmetini devre dışı bırakmaları konusunda uyarır
VMware bugün müşterilerini en son güvenlik güncellemelerini yüklemeleri ve İnternet’e açık ve savunmasız ESXi sunucularına yönelik büyük ölçekli bir fidye yazılımı saldırısı kampanyasında hedeflenen OpenSLP hizmetini devre dışı bırakmaları konusunda uyardı.
AD Ortamlarında Kendi Kendine Yayılma Özelliğine Sahip DarkSide Fidye Yazılımı
DarkSide fidye yazılımı, analiz ve sanal alan tespitinden kaçınmak için yalnızca yükleyici ve veri dosyasının her ikisi de mevcut olduğunda çalışır. “msupdate64.exe” adlı yükleyici, şifrelenmiş fidye yazılımını içeren aynı yol içindeki “config.ini” veri dosyasını okur ve fidye yazılımını normal bir işlemin bellek alanında çalıştırır. Fidye yazılımı, yalnızca belirli bir argüman eşleştiğinde çalışacak şekilde yapılandırılmıştır. Daha sonra kendisini görev zamanlayıcıya kaydedecek ve periyodik olarak çalışacaktır.
7 Şubat 2023
LockBit fidye yazılımı çetesi, Royal Mail siber saldırısını üstlendi
LockBit fidye yazılımı operasyonu, İngiltere’nin önde gelen posta dağıtım hizmeti Royal Mail’e yapılan ve şirketi “ciddi hizmet kesintisi” nedeniyle uluslararası nakliye hizmetlerini durdurmaya zorlayan siber saldırıyı üstlendi.
Clop fidye yazılımı kusuru, Linux kurbanlarının dosyaları aylarca kurtarmasına izin verdi
Clop fidye yazılımı çetesi artık açıkça Linux sunucularını hedefleyen bir kötü amaçlı yazılım çeşidi kullanıyor, ancak şifreleme planındaki bir kusur, kurbanların dosyalarını aylarca sessizce ve ücretsiz olarak kurtarmasına izin verdi.
Rus adam Ryuk fidye yazılımı parasını aklamaktan suçunu kabul etti
Rus vatandaşı Denis Mihaqlovic Dubnikov, Salı günü kötü şöhretli Ryuk fidye yazılımı grubu için üç yılı aşkın süredir kara para aklamaktan suçunu kabul etti.
CISA, ESXiArgs fidye yazılımı kurbanları için kurtarma komut dosyası yayınladı
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), son zamanlarda yaygın olan ESXiArgs fidye yazılımı saldırıları tarafından şifrelenen VMware ESXi sunucularını kurtarmak için bir komut dosyası yayınladı.
Yeni Chaos fidye yazılımı çeşidi
kişisel bilgisayar riski rastgele uzantılar (.1iyT6bav7VyWM5) gibi görünen uzantıları ekleyen ve adında bir fidye notu bırakan yeni bir Chaos fidye yazılımı varyantı buldu. adrianov.txt.
8 Şubat 2023
Yeni ESXiArgs fidye yazılımı sürümü, VMware ESXi kurtarma işlemini engelliyor
Yeni ESXiArgs fidye yazılımı saldırıları artık daha kapsamlı miktarda veriyi şifreliyor ve şifrelenmiş VMware ESXi sanal makinelerini kurtarmayı imkansız değilse bile çok daha zor hale getiriyor.
İlgi Çekici İstismarlardan Kaynaklanan İzinsiz Girişleri Araştırmak
Huntress, söz konusu olayı araştırarak ve temel neden analizini (RCA) takip ederek, bu saldırıyı yakın zamanda duyurulan bir güvenlik açığına ve ayrıca önde gelen fidye yazılımı gruplarıyla bağlantılı uzun süredir devam eden bir istismar sonrası çerçeveye bağlamayı başardı.
9 Şubat 2023
Kanada’nın en büyük kitapçısı Indigo, siber saldırının ardından siteyi kapattı
Kanada’nın en büyük kitapçı zinciri olan Indigo Books & Music, dün bir siber saldırıya uğradı ve şirketin web sitesini müşterilerin kullanımına kapatmasına ve yalnızca nakit ödeme kabul etmesine neden oldu.
ABD ve İngiltere, TrickBot ve Conti fidye yazılımı operasyon üyelerine yaptırım uyguluyor
Amerika Birleşik Devletleri ve Birleşik Krallık, kötü amaçlı yazılımları Conti ve Ryuk fidye yazılımı operasyonunun saldırılarını desteklemek için kullanılan TrickBot siber suç grubuna dahil oldukları için yedi Rus kişiye yaptırım uyguladı.
Yeni STOP fidye yazılımı varyantı
PCrisk, ekleyen yeni bir STOP fidye yazılımı çeşidi buldu. .vvmm eklenti.
10 Şubat 2023
A10 Networks, Play fidye yazılımı saldırısından sonra veri ihlalini doğruladı
Kaliforniya merkezli ağ donanımı üreticisi ‘A10 Networks’, BleepingComputer’a Play fidye yazılımı çetesinin kısa süreliğine BT altyapısına erişim sağladığını ve verileri ele geçirdiğini doğruladı.
GoAnywhere sıfır gün saldırılarının arkasında Clop fidye yazılımı olduğunu iddia ediyor
Clop fidye yazılımı çetesi, 130’dan fazla kuruluştan veri çaldıklarını söyleyerek, GoAnywhere MFT güvenli dosya aktarım aracındaki sıfır günlük bir güvenlik açığından yararlanan son saldırıların arkasında olduğunu iddia ediyor.
Sağlık fonu hükümet operasyonlarına Kuzey Kore fidye yazılımı saldırıları
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’ndan (CISA) yeni bir siber güvenlik danışmanlığı, halk sağlığı ve diğer kritik altyapı sektörlerine karşı Kuzey Kore fidye yazılımı operasyonlarında gözlemlenen yakın zamanda gözlemlenen taktikleri, teknikleri ve prosedürleri (TTP’ler) açıklıyor.
Yeni STOP fidye yazılımı varyantı
PCrisk, ekleyen yeni bir STOP fidye yazılımı çeşidi buldu. .vvoo eklenti.