‘Agrius’ olarak bilinen İran devlet destekli şüpheli bir tehdit aktörü şimdi İsrail kuruluşlarına karşı ‘Moneybird’ adlı yeni bir fidye yazılımı kullanıyor.
Agrius, en az 2021’den beri İsrail ve Orta Doğu bölgesindeki varlıkları birden fazla takma adla aktif olarak hedeflerken, yıkıcı saldırılarda veri silecekleri konuşlandırıyor.
Yeni fidye yazılımı türünü keşfeden Check Point araştırmacıları, Agrius’un bunu operasyonlarını genişletmeye yardımcı olmak için geliştirdiğine inanıyor.
Moneybird saldırıları
Check Point araştırmacıları, tehdit aktörlerinin başlangıçta halka açık sunuculardaki güvenlik açıklarından yararlanarak kurumsal ağlara erişim elde ettiğini ve Agrius’a kuruluşun ağında bir ilk dayanak noktası sağladığını söylüyor.
Daha sonra bilgisayar korsanları, Agrius’un önceki kampanyalarda kullandığı bir taktik olan “Sertifika” metin dosyalarının içine gizlenmiş ASPXSpy web kabuklarının varyantlarını dağıtmak için İsrail merkezli ProtonVPN düğümlerinin arkasına saklanır.
Web kabuklarını konuşlandırdıktan sonra saldırganlar, SoftPerfect Network Scanner kullanarak ağ keşfine, yanal hareket etmeye, Plink/PuTTY kullanarak güvenli iletişime, ProcDump ile kimlik bilgilerini çalmaya ve FileZilla kullanarak veri hırsızlığına yardımcı olan açık kaynaklı araçları kullanmaya devam eder.
Saldırının bir sonraki aşamasında Agrius, Moneybird fidye yazılımını ‘ufile.io’ ve ‘easyupload.io’ gibi yasal dosya barındırma platformlarından çalıştırılabilir olarak getirir.
Başlatıldıktan sonra, C++ fidye yazılımı türü hedef dosyaları GCM (Galois/Sayaç Modu) ile AES-256 kullanarak şifreleyerek her dosya için benzersiz şifreleme anahtarları oluşturur ve bunların sonuna şifrelenmiş meta veriler ekler.
Check Point tarafından görülen vakalarda, fidye yazılımı yalnızca kurumsal belgeleri, veritabanlarını ve işbirliğiyle ilgili diğer dosyaları depolamak için kullanılan kurumsal ağlarda ortak bir paylaşılan klasör olan “F:\User Shares”i hedef aldı.
Bu dar hedefleme, Moneybird’ün etkilenen bilgisayarları kilitlemekten çok iş aksamasına neden olmayı amaçladığını gösterir.
Check Point, her dosyayı şifrelemek için kullanılan özel anahtarlar sistem GUID’sinden, dosya içeriğinden, dosya yolundan ve rasgele sayılardan elde edilen veriler kullanılarak üretildiğinden, veri geri yükleme ve dosya şifre çözmenin son derece zor olacağını açıklıyor.
Şifrelemeden sonra, etkilenen sistemlere fidye notları düşerek kurbanı verilerini geri yükleme talimatları için 24 saat içinde sağlanan bağlantıyı takip etmeye teşvik eder.
Moneybird fidye notunda “Merhaba BİZ MONEYBIRD’İZ! Tüm verileriniz şifrelendi! Onları geri yüklemek istiyorsanız 24 saat içinde bu bağlantıyı takip edin” yazıyor.
Agrius ile bağlantılı önceki saldırıların aksine, Moneybird’ün bir silici değil, tehdit aktörlerinin kötü niyetli operasyonlarını finanse etmek için gelir elde etmeyi amaçlayan bir fidye yazılımı olduğuna inanılıyor.
Ancak Check Point Research tarafından görülen vakada, fidye talebi o kadar yüksekti ki, en başından beri bir ödemenin yapılmayacağı biliniyordu, bu da saldırıyı esasen yıkıcı hale getiriyordu.
Eli Smadga, “Evet müzakereler mümkün olabilir, ancak talep son derece yüksekti, bu da bunun bir hilenin parçası olduğuna inanmamıza neden oluyor. Kimsenin ödemeyeceğini biliyorlardı, bu nedenle zarar ve veri sızdırılması bekleniyordu. Bu bir silici değildi,” dedi Eli Smadga, Check Point Research’teki Araştırma Grubu Yöneticisi, BleepingComputer’a söyledi.
Basit ama etkili bir fidye yazılımı
Check Point, Moneybird’ün kurbana özel yapılandırmalara ve daha fazla konuşlandırma çok yönlülüğüne izin veren komut satırı ayrıştırma yeteneklerinden yoksun olduğunu ve bunun yerine yerleşik bir yapılandırma bloğuna güvendiğini açıklıyor.
Bu, fidye yazılımının davranış parametrelerinin önceden tanımlandığı ve her hedef veya durum için kolayca ayarlanamayacağı anlamına gelir, bu da baskıyı toplu kampanyalar için uygunsuz hale getirir.
Bununla birlikte, Agrius için Moneybird hala etkili bir iş kesintisi aracıdır ve daha yeni, daha yetenekli sürümlerin piyasaya sürülmesine yol açan daha fazla gelişme, onu daha geniş bir İsrail kuruluşu yelpazesi için zorlu bir tehdit haline getirebilir.