Bu hafta oldukça fazla fidye yazılımı haberi olsa da, öne çıkan hikaye, Jon DiMaggio’nun Ransomware Diaries serisindeki üçüncü makalesinin yayınlanmasıydı ve bu makalenin odak noktası LockBit fidye yazılımı operasyonuydu.
LockBit bir süredir fidye yazılımı “endüstrisinin” zirvesinde yer alıyor ve genellikle operasyonun veri sızıntısı sitesine göre kurban sayısında başı çekiyor.
Bununla birlikte, DiMaggio’nun açıkladığı gibi, çetenin çalınan verileri serbest bırakma ve kurbanları gasp etme yeteneğini etkileyen ciddi bir depolama altyapısı sorunu olması nedeniyle LockBit operasyonu kayıyor gibi görünüyor.
Tüm kurumsal hedefli fidye yazılımı operasyonlarında olduğu gibi, saldırılar gerçekleştirirken, tehdit aktörleri önce bir ağı ihlal eder ve daha sonraki şantaj taleplerinde kullanılmak üzere verileri sessizce toplar. Ancak tüm değerli veriler çalındıktan ve yedekler silindikten sonra, tehdit aktörleri dosyaları şifrelemeye başlamak için fidye yazılımını dağıtır.
Bu çalınan veriler, bir fidye ödenmediği takdirde bir veri sızıntısı sitesinde yayınlanarak kurbanlara şantaj yapılırken kaldıraç olarak kullanılır.
Ancak DiMaggio, LockBit’in ciddi bir depolama sorunu olduğunu öğrendi, bu da operasyonun düzgün şekilde veri sızdırmasını engelliyor ve veri sızıntısı sitesini gasp stratejilerinin bir parçası olarak kullanmak isteyen bağlı kuruluşları sinirlendiriyor.
Araştırmacı raporunda, “Çalıntı verileri tutarlı bir şekilde yayınlayamadığı gerçeğini gizlemek için sızıntı sitesinde propaganda ve suç forumlarında güçlü bir anlatı kullandı” dedi.
“Bunun yerine, kurbanları ödemeye ikna etmek için boş tehditlere ve kamuoyundaki itibarına güveniyor. Bir şekilde, bağlı ortaklar dışında kimse fark etmedi. Bu sorun, arka uç altyapısındaki ve kullanılabilir bant genişliğindeki sınırlamalardan kaynaklanıyor.
Daha da kötüsü, halka açık LockBit temsilcisi LockBitSupp bir süre ortadan kayboldu, Tox’ta görünmedi veya bağlı kuruluşların sorularını yanıtlamadı.
Bu, bağlı kuruluşların operasyonun tehlikeye atıldığından endişe duymasına yol açtı ve bazıları DiMaggio’ya yeni fidye yazılımı operasyonlarına geçmeye başladıklarını söyledi.
LockBit operasyonundaki bu kaos, diğer güvenlik analistlerinin de dikkatinden kaçmadı. Alan Liska ayrıca operasyonun aktivitesinde keskin bir düşüş olduğu konusunda uyarıda bulundu.
Diğer fidye yazılımı haberleri
Diğer fidye yazılımı haberlerinde, yeni şifreleyicilerle ilgili bu derin dalışları yayınlayan bazı harika araştırmalar gördük:
MOVEit veri hırsızlığı saldırıları, Colorado’nun bu saldırıların bir parçası olarak 4 milyon kişinin verilerinin çalındığına dair uyarıda bulunmasıyla, dünya çapındaki kuruluşlar için bir diken olmaya devam ediyor.
Sonunda, TripAdvisor şikayetleri olarak yeni Knight fidye yazılımını zorlayan yeni bir kimlik avı kampanyası keşfedildi.
Katkıda bulunanlar ve bu hafta yeni fidye yazılımı bilgileri ve hikayeleri sağlayanlar şunları içerir: @malwrhunterteam, @LawrenceAbrams, @fwosar, @BleepinBilgisayar, @billtoulas, @serghei, @Seifreed, @demonslay335, @Jon__DiMaggio, @security_score, @vxunderground, @MsftSecIntel, @TrendMicro, @IBMSecurity, @felixw3000, @uptycs, @BushidoToken, @adluminVe @pcrisk.
12 Ağustos 2023
Sahte Tripadvisor şikayet e-postalarında dağıtılan Knight fidye yazılımı
Knight fidye yazılımı, TripAdvisor şikayetleriymiş gibi davranan, devam eden bir spam kampanyasında dağıtılıyor.
14 Ağustos 2023
Monti fidye yazılımı, yeni Linux dolabıyla VMware ESXi sunucularını hedefliyor
Monti fidye yazılımı çetesi, veri sızıntısı sitelerinde kurbanları yayınlamaktan iki aylık bir aradan sonra, VMware ESXi sunucularını, hukuk kurumlarını ve devlet kurumlarını hedeflemek için yeni bir Linux dolabı kullanarak geri döndü.
Colorado, IBM MOVEit ihlalinde çalınan 4 milyon veriyi uyardı
Colorado Sağlık Hizmetleri Politikası ve Finansmanı Departmanı (HCPF), dört milyondan fazla kişiyi, kişisel ve sağlık bilgilerini etkileyen bir veri ihlali konusunda uyarıyor.
Storm-0978 tarafından dağıtılan ve CVE-2023-36884’ten yararlanan Yeraltı Fidye Yazılımı
Underground fidye yazılımı, Industrial Spy fidye yazılımının halefidir ve Storm-0978 adlı bir tehdit aktörü tarafından dağıtılmıştır. Kötü amaçlı yazılım bir hedef hizmeti durdurur, Birim Gölge Kopyalarını siler ve tüm Windows olay günlüklerini temizler.
Yeni STOP fidye yazılımı çeşitleri
kişisel bilgisayar riski ekleyen yeni STOP fidye yazılımı türevleri buldu. .tas Ve .kişi uzantılar.
15 Ağustos 2023
Fidye Yazılımı Günlükleri: Cilt 3 – LockBit’in Sırları
Fidye Yazılımı Günlüklerinin bu cildinde, LockBit’in örtbas etmek için çok uğraştığı LockBit fidye yazılımı operasyonunun daha önce bilinmeyen ilginç ayrıntılarını paylaşacağım. Şimdiye kadar, LockBit’in gerçek kapasitesi hakkında size yalan söylendi. Bugün size suç programının gerçek mevcut durumunu göstereceğim ve kanıta dayalı analizlerle LockBit’in fark edilmeyen birkaç kritik operasyonel sorunu olduğunu göstereceğim.
Yeni Allahu Ekber fidye yazılımı çeşidi
PCrisk, ekleyen yeni bir STOP fidye yazılımı çeşidi buldu. .Allahü ekber uzantısı ve adlı bir fidye notu bırakır how_to_decrypt.txt.
Yeni Retch fidye yazılımı çeşidi
PCrisk, ekleyen yeni bir fidye yazılımı varyantı buldu. .Öğürmek uzantısı ve adlı bir fidye notu bırakır DOSYALARINIZI NASIL KURTARABİLİRSİNİZ.txt.
16 Ağustos 2023
Düşmanları Takip Etmek: BlackCat iştiraki Scattered Spider
Siber suç tehdit ortamını dört yılı aşkın bir süredir günlük olarak takip ettikten sonra, artık bir şey beni o kadar sık şaşırtmıyor. Ancak, CrowdStrike tarafından Scattered Spider veya Group-IB tarafından 0ktapus olarak takip edilen ve BlackCat (veya ALPHV) olarak bilinen Rusça konuşan bir fidye yazılımı grubuyla ekip oluşturan, İngilizce konuşan büyük oyun avcısı olduğundan şüphelenilen bir siber suç grubunun son trendi yakalandı. benim dikkatim.
17 Ağustos 2023
Microsoft: BlackCat’in Sphynx fidye yazılımı Impacket, RemCom’u yerleştiriyor
Microsoft, BlackCat fidye yazılımının Impacket ağ çerçevesini ve Remcom bilgisayar korsanlığı aracını içine alan ve her ikisi de ihlal edilmiş bir ağda yanal olarak yayılmaya olanak tanıyan yeni bir sürümünü keşfetti.
PlayCrypt Fidye Yazılımı Grubu, Yönetilen Hizmet Sağlayıcılara Karşı Kampanyada Ortalığı Karıştırdı
Adlumin Tehdit Araştırması ekibi, gelişmiş Play fidye yazılımı (PlayCrypt olarak da tanımlanır) kullanan yoğun bir küresel kampanyayı ortaya çıkardı. Kampanya şu anda ABD, Avustralya, İngiltere ve İtalya’daki devlet, yerel, kabile ve bölgesel (SLTT) kuruluşlarının yanı sıra finans, yazılım, hukuk, nakliye ve lojistik sektörlerindeki orta ölçekli işletmeleri hedefliyor. PlayCrypt fidye yazılımı grubu daha önce Mart 2023’teki City of Oakland saldırısıyla bağlantılıydı.
Yeni Retch fidye yazılımı çeşidi
PCrisk, ekleyen yeni bir fidye yazılımı varyantı buldu. .Öğürmek uzantısı ve adlı bir fidye notu bırakır DOSYALARINIZI NASIL KURTARABİLİRSİNİZ.txt.