Alias $$$ tarafından bilinen kötü şöhretli bir fidye aktör, Global Group’u tanıttı ve onu Hizmet Olarak Enaylı Bir Fidye Yazılımı (RAAS) operasyonu olarak konumlandırdı.
Vaat eden otomatik müzakereler, platformlar arası yükler ve kazançlı bağlı kuruluşlar, grup ölçeklenebilir gaspta inovasyon olduğunu iddia ediyor.
Bununla birlikte, kötü amaçlı yazılım örneklerinin, altyapı kurulumlarının ve operasyonel mantığın derin adli analizi, Global’in aynı tehdit oyuncusu tarafından devam ettirilen mamona RIP ve Black Lock fidye yazılımı ailelerinin sadece yeniden markalı bir evrimi olduğunu ortaya çıkarır.
Bu süreklilik, paylaşılan kod eserleri, barındırma kalıpları ve davranışsal özelliklerde belirgindir, bu da gerçek yenilikten ziyade yeni bağlı kuruluşları çekmek için stratejik bir yenileme önermektedir.
Yeniden markalı tehdit
Güvenlik araştırmacıları, sızan API meta verilerini, tersine mühendislik ikili dosyaları ve aktör etkileşimlerini inceleyerek Global’in ekosistemini haritaladılar ve tanıdık temeller üzerinde olgun tradecraft katmanlı olgun tradecraft ortaya çıkardılar.
Özünde, Global’in fidye yazılımı, Windows, Linux ve macOS üzerinde sorunsuz bir şekilde yürütülen, Go’nun hızlı, büyük ölçekli şifreleme için eşzamanlılığından yararlanan monolitik ikili dosyalar için Golang’ı kullanıyor.
Kalıtımın temel göstergesi, Mamona RIP örneklerindekilerle aynı olan, tek-kurumun yürütülmesini ve sürecin üst üste binmesini önleyen “global \ fxo16jmdgujs437” mutex dizesidir.
Şifreleme, Chacha20-Poly1305 algoritmasını kullanır, sağlam gizlilik ve bütünlük sağlarken, goroutinler sürücüler arasında dosya kilitlemesini paralelleştirir.
İştirakler, dosya adlarını şifreleme seçenekleriyle “.Lockbitloch” gibi uzantıları özelleştirebilir ve kolay kurtarmayı engelleyebilir.
Teknik diseksiyon
İkili olarak sabitlenen fidye notu, G/Ç fonksiyonları ile monte edilir ve Zorlayıcı Dil, Tor tabanlı sızıntı siteleri ve veri sızıntıları ve müzakereler için çift portal kurulum içeren ReadMe.txt olarak yazılır.
PICUS Güvenlik Raporuna göre, bu, kurban doğrulaması için sert kodlanmış bir Tor soğan adresi içerir ve sıkı son teslim tarihlerinde veri yayınlama tehditleri ortasında yanlış güven oluşturma tekliflerini yerleştirir. Daha fazla inceleme, Global’in altyapısında operasyonel güvenlik turlarını ortaya koymaktadır.
Torlu özel sızıntı sitesi (DLS), “[email protected]: 22” gibi SSH kimlik bilgilerini ortaya çıkaran korunmasız /yayın API uç noktası aracılığıyla arka uç ayrıntılarını yanlışlıkla sızdıran bir JavaScript ön uç kullanır.
Daha önce Mamona ile bağlantılı Rus VPS sağlayıcısı IPServer’a bağlı olan bu IP, zayıf bölünmeyi vurgulayarak, pesfiltrated veriler için merkezi bir düğüm görevi görüyor.
Masaüstü ve mobil cihazlarda erişilebilen RAAS Builder portalı, ayrıntılı konfigürasyon sunar: şifreleme yüzdeleri, kendi kendine aşınma bayrakları, AV/EDR kaçırma işlemi, WEVTUTIL gibi araçlar aracılığıyla günlük silme ve ESXI, BSD ve NAS sistemlerini hedefleyen Multi-OS derlemesi.
Bu modüler bloklar, kaçış için ikili dosyaları optimize ederek dinamik derleme zamanı montajı önermektedir.
Global’in müzakere paneli, AI güdümlü bir chatbot’u ayrı bir TOR alanına entegre eder, psikolojik manipülasyonu zamanlayıcılarla otomatikleştirir, şifre çözme kanıtları için dosya yükleme istemleri ve talepleri 9.5 BTC gibi yedi rakamda sıklıkla artırmaktadır.
Bu, manuel gözetimi azaltarak bağlı kuruluş operasyonlarını ölçeklendirir. Başlangıç Erişim, $$$ ‘nin kar paylaşım anlaşmalarına katılan RDP kimlik bilgilerini ve VPN’ler ve Microsoft hizmetleri için kaba kuvvet araçlarını satan Huanebashes gibi brokerlere dayanır.
Atıf, yeniden kullanılan muteksler, IP’ler, inşaatçı UI’ler ve hatta “küresel siyah kilit” e QTOX referansları yoluyla, küresel, yerleşik fidye yazılımı soylarının cilalı bir devamı olarak, çeşitli ortamları rafine, platformlar arası kötülüklerle kullanmaya hazır hale getirir.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now