Tehdit aktörleri, Cobalt Strike ve FreeWorld adlı bir fidye yazılımı türü sunmak için güvenliği zayıf Microsoft SQL (MS SQL) sunucularından yararlanıyor.
Kampanyaya adını veren siber güvenlik firması Securonix DB#JAMbunun araç seti ve altyapının kullanılma şekliyle öne çıktığını söyledi.
Güvenlik araştırmacıları Den Iuzvyk, Tim Peck ve Oleg Kolesnikov, etkinliğin teknik bir dökümünde “Bu araçlardan bazıları numaralandırma yazılımı, RAT yükleri, istismar ve kimlik bilgileri çalma yazılımları ve son olarak fidye yazılımı yüklerini içeriyor” dedi.
“Tercih edilen fidye yazılımı yükü, FreeWorld adı verilen Mimic fidye yazılımının daha yeni bir çeşidi gibi görünüyor.”
Kurban ana bilgisayarına ilk erişim, MS SQL sunucusunu kaba kuvvetle zorlayarak, veritabanını numaralandırmak için kullanarak ve kabuk komutlarını çalıştırmak ve keşif yürütmek için xp_cmdshell yapılandırma seçeneğinden yararlanarak elde edilir.
Bir sonraki aşama, sistem güvenlik duvarını bozmak ve uzak bir SMB paylaşımına bağlanarak kurban sisteme/sistemden dosya aktarmak ve ayrıca Cobalt Strike gibi kötü amaçlı araçları yüklemek suretiyle kalıcılık oluşturmak için adımlar atmayı gerektirir.
Bu da AnyDesk yazılımının dağıtımının sonunda FreeWorld fidye yazılımını zorlamasının önünü açıyor, ancak bunu daha önce yanal bir hareket adımı gerçekleştirmeden yapmıyor. Bilinmeyen saldırganların ayrıca Ngrok aracılığıyla RDP kalıcılığı sağlamaya çalıştıkları da söyleniyor.
Araştırmacılar, “Saldırı başlangıçta MS SQL sunucusuna yapılan kaba kuvvet saldırısı sonucunda başarılı oldu” dedi. “Özellikle kamuya açık hizmetlerde güçlü şifrelerin önemini vurgulamak önemlidir.”
Açıklama, Rhysida fidye yazılımı operatörlerinin yarısından fazlası Avrupa’da bulunan 41 kurbanı iddia etmesiyle geldi.
Rhysida, Mayıs 2023’te ortaya çıkan yeni fidye yazılımı türlerinden biri. Giderek daha popüler hale gelen, kuruluşlardaki hassas verileri şifreleme ve sızdırma taktiğini benimseyen ve kurbanların ödemeyi reddetmesi halinde bilgileri sızdırmakla tehdit eden bir yazılım.
Aynı zamanda, programdaki birden fazla şifreleme hatası nedeniyle Key Group adlı bir fidye yazılımı için ücretsiz bir şifre çözücünün piyasaya sürülmesinin ardından geldi. Ancak Python betiği yalnızca 3 Ağustos 2023’ten sonra derlenen örneklerde çalışır.
Hollandalı siber güvenlik şirketi EclecticIQ Perşembe günü yayınlanan bir raporda, “Key Group fidye yazılımı, kurbanların verilerini şifrelemek için base64 kodlu bir statik anahtar N0dQM0I1JCM= kullanıyor.” dedi.
“Tehdit aktörü, tuzlama adı verilen bir şifreleme tekniği kullanarak şifrelenmiş verilerin rastgeleliğini artırmaya çalıştı. Tuz statikti ve her şifreleme işlemi için kullanılıyordu, bu da şifreleme rutininde önemli bir kusur teşkil ediyordu.”
Algıla, Yanıtla, Koru: Eksiksiz SaaS Güvenliği için ITDR ve SSPM
Kimlik Tehdit Algılama ve Yanıtının (ITDR) SSPM’nin yardımıyla tehditleri nasıl tanımladığını ve azalttığını keşfedin. Kurumsal SaaS uygulamalarınızın güvenliğini nasıl sağlayacağınızı ve ihlal sonrasında bile verilerinizi nasıl koruyacağınızı öğrenin.
Becerilerinizi Güçlendirin
Coveware’in Temmuz 2023’te paylaştığı istatistiklere göre, mağdurun ödeme yapmasıyla sonuçlanan olayların yüzdesi %34 gibi rekor düşük bir seviyeye düşmüş olsa da, 2022’deki durgunluğun ardından 2023 yılında fidye yazılımı saldırılarında rekor bir artış yaşandı.
Ödenen ortalama fidye miktarı ise 2023’ün ilk çeyreğine göre %126 artışla 740.144 dolara ulaştı.
Para kazanma oranlarındaki dalgalanmalara, fidye yazılımı tehdit aktörlerinin, kurbanlarının neden siber sigorta ödemesi almaya uygun olmadığını göstermek için saldırı tekniklerinin ayrıntılarını paylaşma da dahil olmak üzere şantaj ticaret becerilerini geliştirmeye devam etmesi eşlik ediyor.
Emsisoft güvenlik araştırmacısı Brett Callow, X’te (eski adıyla Twitter) paylaşılan bir gönderide, “Snatch, sigorta şirketlerinin olayların sigorta fidye yazılımı tarafından kapsanmaması gerektiğine karar vermeleri umuduyla ödeme yapmayan mağdurlara yönelik saldırıların nasıl başarılı olduğuna dair ayrıntıları açıklayacaklarını iddia ediyor” dedi. ) geçen ay.