Aralık 2022’de başlayan, finansal olarak motive edilmiş yeni bir kampanya, arkasındaki kimliği belirsiz tehdit aktörünün, adı verilen yeni bir fidye yazılımı türü dağıttığını gördü. Ölümüne kavga ve Laplas olarak bilinen bir kırpıcı kötü amaçlı yazılım.
Cisco Talos, “aktörün, açık bir uzak masaüstü protokolü (RDP) bağlantı noktası 3389 ile kurban makineler için interneti taradığını gözlemlediğini” söyledi.
Siber güvenlik şirketine göre saldırılar, öncelikle ABD’de ve daha az ölçüde İngiltere, Türkiye ve Filipinler’de bulunan bireylere, küçük işletmelere ve büyük kuruluşlara odaklanıyor.
Çok aşamalı saldırı zincirini başlatan başlangıç noktası, kesme makinesini veya fidye yazılımını iletmek için bir yol olarak kullanılan kötü amaçlı bir ZIP dosyası içeren bir kimlik avı e-postasıdır.
CoinPayments’ın kimliğine bürünen kripto para temalı e-posta tuzaklarını kullanmanın yanı sıra, tehdit aktörünün izlerini örtmek amacıyla enfeksiyon işaretlerini sildiği de biliniyor.
İlk olarak Ocak 2023’te tespit edilen MortalKombat, güvenliği ihlal edilmiş sistemdeki sistem, uygulama, yedekleme ve sanal makine dosyalarını şifreleyebiliyor. Windows Gezgini’ni daha da bozar, Çalıştır komut penceresini devre dışı bırakır ve uygulamaları ve klasörleri Windows başlangıcından kaldırır.
Cisco Talos araştırmacısı Chetan Raghuprasad, fidye yazılımının kaynak kodu analizinin, bunun Xorist fidye yazılımı ailesinin bir parçası olduğunu ortaya çıkardığını söyledi.
Laplas kesme aracı, Kasım 2022’de ortaya çıkan kötü amaçlı yazılımın bir Golang çeşididir. Panoyu herhangi bir kripto para cüzdanı adresi için izlemek ve hileli işlemler gerçekleştirmek için onu aktör kontrollü bir cüzdanla değiştirmek için tasarlanmıştır.
Raghuprasad, “Kırpıcı, kurban makinenin pano içeriğini okur ve kripto para birimi cüzdan adresini algılamak için düzenli ifade modeli eşleştirmesi gerçekleştirme işlevini yürütür.”
“Bir kripto para cüzdan adresi tanımlandığında, kesme makinesi, cüzdan adresini kesme robotuna geri gönderir. Buna karşılık, kesme makinesi, kurbanınkine benzer bir saldırgan tarafından kontrol edilen cüzdan adresini alır ve panodaki orijinal kripto para cüzdan adresinin üzerine yazar.”