Tanımlanamayan bir tehdit aktörü, 4 Haziran 2023’ten bu yana Yashma fidye yazılımı türevini konuşlandırarak aşağıdakiler gibi İngilizce konuşulan ülkeleri aktif olarak hedef alıyor:-
Yashma fidye yazılımının bu yeni çeşidi, geçen yıl bir şifre çözücünün piyasaya sürülmesinden bu yana düzeltildikten sonra yeniden ortaya çıktı.
Bu operasyon, kısa bir süre önce Cisco Talos’taki siber güvenlik araştırmacıları tarafından tespit edildi ve bu operasyon, orta düzeyde bir güvenle muhtemelen Vietnam kökenli bir tehdit aktörüne bağlandı.
Tehdit Aktörünün kökeni
Talos, ‘nguyenvietphat’ GitHub hesabındaki fidye yazılımı notları nedeniyle tehdit aktörünün İngilizce konuşulan ülkeleri hedef aldığına inanıyor.
Bunun yanı sıra, İngilizce versiyonu, tehdit aktörünün gerçek niyetinin çeşitli coğrafi bölgeleri hedef aldığını göstermektedir.
Fidye notlarındaki GitHub hesap adı ve e-posta kişisi, Vietnam kuruluşlarını taklit ederek tehdit aktörünün kökenini ima eder. Fidye notu, Vietnam saat dilimine göre 19:00-23:00 UTC+7 temas saatini belirtir.
Fidye notu WannaCry Tarzını Taklit Eder
Saldırganın fidye notu, WannaCry’ın tarzını taklit ediyor ve fidye üç gün sonra ikiye katlanıyor. İletişim için tehdit aktörü bir Gmail adresi ve fidye miktarının olmamasını sağlarken, nottaki Bitcoin operasyonun erken aşamada olduğunu gösteriyor.
Sistemler şifrelendikten sonra, kurbanın duvar kağıdı bir şifreleme notuna dönüşür. Yashma fidye yazılımı, Mayıs 2022’den itibaren Chaos fidye yazılımının yeniden markalanmış halidir ve bu yeni varyant çoğunlukla orijinal fidye yazılımının özelliklerini korur.
Fidye notu, potansiyel olarak hedeflerin kafasını karıştırmayı ve tehdit aktörünün kimliğini gizlemeyi amaçlayan WannaCry fidye yazılımının stilini taklit eder.
Ancak yeni varyant, fidye notunu fidye yazılımı içinde depolamak yerine bir tehdit aktörünün GitHub deposundan indirir.
Bu dönüşüm, tipik olarak gömülü fidye notu dizilerini tespit eden uç nokta algılama ve AV araçlarından kaçınır.
Bu varyantta tehdit aktörü, Yashma’nın kurtarma önleme yeteneğini korur. Şifrelemeden sonra dosyalar silinir, tek bir karakter ‘?’ yazılır ve ardından dosya silinir, bu da kurtarmayı zorlaştırır.
Ayrıca, araştırmacılar tarafından çeşitli fidye yazılımı türlerinin ortaya çıkmasında önemli bir artış gözlemlendi.
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.