Siber güvenlik manzarası, VanHelsing fidye yazılımı operasyonunun kaynak kodunun kamuya açık bir şekilde sızdırılması ile önemli bir güvenlik ihlali yaşadığını ortaya koyuyor.
Güvenlik araştırmacılarına göre, bu sızıntı, fidye yazılımı operatörleri tarafından serbestçe yayınlanmadan önce koddan para kazanmaya çalışan eski bir geliştirici ile iç anlaşmazlıktan sonra meydana geldi.
Sızan malzemeler, fidye yazılımı altyapısının kritik bileşenlerini içerir, ancak bazı unsurlar eksik kalır, bu da fırsatçı tehdit aktörleri tarafından derhal sömürüyü sınırlar.
.png
)
Tartışma, ‘Th30C0der’ olarak tanımlanan bir geliştiricinin Ramp siber suç forumundaki VanHelsing fidye yazılımı kaynak kodunu açık artırmaya çalıştığında başladı.
Açık artırmanın 10.000 dolardan başladığı bildirildi ve geliştiricinin fidye yazılımı operasyonu ile önceki çalışmalarından kâr etmeye çalıştığını gösteriyor.
Bununla birlikte, bu para kazanma girişimi, VanHelsing operatörlerinin kendileri kodu kamuya açık bir şekilde yayınladıklarında, geliştiricinin “aldatmaca” olarak tanımladıklarını öne çıkardıklarını iddia ederek hızla zayıflatıldı.
Bu olayların zamanlaması, fidye yazılımı grubunda dahili bir çatışmayı gösteriyor ve orijinal operatörler zaten “VanHelsing 2.0” adlı yeni bir versiyonda çalıştıklarını belirtiyor.
Diğer fidye yazılımı operasyonlarında kod sızıntılarına yol açan bu iç uyuşmazlık modeli gözlenmiştir ve genellikle grubun operasyonel güvenliğinde önemli bir bozulmaya işaret eder.
Sızan kaynak kodunun teknik analizi
Sızan materyalleri inceleyen güvenlik araştırmacıları, ilgi çekici birkaç teknik yönü not ederken özgünlüklerini doğruladılar.
Sızıntı, Windows şifreleme oluşturucusunu, fidye yazılımı kampanyalarını yönetmek için kullanılan bağlı kuruluş paneli ve kurbanları fidye ödemek için kullanılan veri sızıntısı blogu altyapısını kapsar.
Sızıntıda, Linux Builder bileşeni ve işlemin veritabanları, kodun potansiyel taklitçiler için derhal faydasını sınırlayan veritabanları bulunur.
Kaynak kodun analizi, aynı sistemin birden fazla enfeksiyonunu önlemeyi amaçlayan işlevselliği ortaya çıkarır:
textif (isForce == FALSE)
HANDLE hMutex = CreateMutexA(nullptr, TRUE, "Global\\VanHelsingLocker");
if (GetLastError() == ERROR_ALREADY_EXISTS)
{
return EXIT_FAILURE;
}
Bu Mutex uygulaması, fidye yazılımlarının aynı sistemde iki kez yürütülmesini önler. Kod ayrıca KOBİ protokolleri aracılığıyla yanal hareket yeteneklerinin kanıtını da göstermektedir:
textCreateThread(NULL, 0, (LPTHREAD_START_ROUTINE) MonitorAndKill, NULL, 0, NULL);
if (isSpreadSmb == TRUE)
{
net* _net = new net();
WCHAR temp_path[500];
WCHAR psexec_path[1500];
GetTempPathW(500,temp_path);
swprintf_s(psexec_path, L"%s\\psexec.exe", temp_path);
}
Araştırmacılar ayrıca, grubun sistemin önyükleme kaydını bir kilit ekranı mesajıyla değiştirmek için tasarlanmış bir MBR (ana çizme kaydı) dolap geliştirdiğini keşfettiler ve enfekte olmuş sistemleri ödemeye kadar tamamen kullanılamaz hale getirdi.
Siber güvenlik manzarası için çıkarımlar
Bu kaynak kodu sızıntısı, daha önce Babuk, Conti ve Lockbit gibi diğer fidye yazılımı işlemleriyle görülen ilgili bir modeli takip eder.
Tarihsel olarak, bu tür sızıntılar yeni tehdit aktörlerinin minimum teknik uzmanlıkla türev saldırılar başlatmasını sağladı.
Vanhelsing sızıntısı eksik olmasına ve değişikliklerin tamamen operasyonel olmasını gerektirse de, yine de kötü niyetli aktörlere inşa edebilecekleri bir temel sağlar.
Siber güvenlik topluluğu artık sızdırılan koda dayalı potansiyel yeni varyantları izliyor.
VanHelsing operatörlerinin yaklaşan bir “VanHelsing 2.0” versiyonunu duyurması, potansiyel olarak gelecekteki sızıntıları önlemek için iyileştirilmiş güvenlik önlemleriyle bu gerilemeye rağmen operasyonlara devam etmeyi planladıklarını gösteriyor.
Kuruluşlar ve siber güvenlik profesyonelleri için, bu gelişme, sağlam güvenlik duruşlarının sürdürülmesinin ve sızdırılan fidye yazılımı üreticisinin bileşenlerinden yararlanabilecek ortaya çıkan tehditler hakkında bilgilendirilmenin öneminin altını çizmektedir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!