KageNoHitobito adlı yeni bir fidye yazılımı, çeşitli ülkelerdeki Windows kullanıcılarını hedef alıyor.
Verilerini şifreliyor ve karmaşık yöntemlerle fidye talep ediyor.
Bu makale, KageNoHitobito fidye yazılımının mekanizmalarını ve saldırı metodolojisini ele alıyor ve ortaya çıkan başka bir tehdit olan DoNex fidye yazılımına kısa bir genel bakış sunuyor.
Enfeksiyon Vektörü/Kurbanoloji
KageNoHitobito fidye yazılımı Şili, Çin, Küba, Almanya, İran, Litvanya, Peru, Romanya, İsveç, Tayvan, Birleşik Krallık ve Amerika Birleşik Devletleri dahil olmak üzere birçok ülkede tespit edildi.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide
Yaygın dağıtım, fidye yazılımının meşru yazılım veya oyun hileleri gibi davranılarak dosya paylaşım hizmetleri aracılığıyla yayılmış olabileceğini gösteriyor.
Böylece kullanıcılar, kötü amaçlı dosyaları indirmeleri ve çalıştırmaları için kandırıldı.
Fortinet’in yakın tarihli bir raporuna göre, KageNoHitobito fidye yazılımı dünya çapındaki Windows kullanıcılarını hedef alıyor.
Saldırı, Windows sistemindeki güvenlik açıklarından yararlanarak güvenliğin tehlikeye atılmasına ve potansiyel veri kaybına neden olacak şekilde tasarlandı.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
Saldırı Yöntemi
KageNoHitobito, yerel sürücülerdeki dosyaları şifrelemek ve şifrelenmiş dosyalara bir “.hitobito” uzantısı eklemek için tasarlanmıştır.
Muhtemelen fidye görüşmeleri için kurbanla iletişimi kolaylaştırmak amacıyla sistemin çalışır durumda kalmasını sağlamak için .dat, .dll, .exe, .ini, .log ve .sys gibi kritik sistem dosyalarını şifrelemekten stratejik olarak kaçınır.
Fidye yazılımı, kurbanın masaüstünde bir fidye notu görüntülüyor ve metin tabanlı bir not bırakarak kurbanları, AbleOnion sohbet platformunu kullanarak bir TOR sitesi aracılığıyla saldırganlarla iletişime geçmeye teşvik ediyor.
İlginç bir şekilde, sohbet platformu yalnızca fidye görüşmelerine adanmış gibi görünmüyor, bu da tespit edilmekten kaçınmak için halka açık veya paylaşılan bir platformun olası kullanımına işaret ediyor.
DoNex Fidye Yazılımına Genel Bakış
KageNoHitobito’ya paralel olarak DoNex adlı başka bir fidye yazılımı da Mart 2024’ün başlarından bu yana ortalıkta dolaşıyor.
KageNoHitobito’dan farklı olarak DoNex’in bir veri sızıntısı sitesi var ve hem yerel hem de ağ sürücülerindeki dosyaları şifrelediği bildirildi.
Fidye yazılımı son derece yapılandırılabilir ve bulaştığı ortama göre operasyonlarını uyarlamasına olanak tanıyor.
DoNex, çok çeşitli dosya uzantılarını ve belirli kritik sistem klasörlerini şifrelemekten kaçınarak sistemin enfeksiyon sonrası kullanılabilirliğini sağlar.
Ayrıca çeşitli işlemleri ve hizmetleri sonlandırarak dosyaları müdahale olmadan şifreleme yeteneğini artırır.
DoNex’in fidye notu, başka bir fidye yazılımı olan DarkRace ile benzerlikler paylaşıyor ve kökenleri veya arkalarındaki tehdit aktörleri açısından ikisi arasında olası bir bağlantı olduğunu öne sürüyor.
Hem KageNoHitobito hem de DoNex fidye yazılımı, küresel siber güvenliğe yönelik önemli tehditleri temsil ediyor.
Gelişmiş saldırı yöntemleri ve uluslararası erişimleri, dünya çapındaki kullanıcılar ve kuruluşlar arasında daha fazla dikkat ve sağlam siber güvenlik önlemlerine duyulan ihtiyacın altını çiziyor.
IOC’ler
| SHA2 | Not |
| 8939bfe20bc6476806d22c8edfcaba5c36f936b893b3de1c847558502654c82f | Hitobito fidye yazılımı |
| 1940fcdb2561c2f7b82f6c44d22a9906e5ffec2438d5dadfe88d1608f5f03c33 | |
| 506e8753dd5ca1c8387be32f26367e26f242b7c65e61203f7f926506c04163aa | |
| 8a10e0dc4994268ea33baecd5e89d1e2ddabef30afa09961257a4329669e857a | |
| bec9d2dcd9565bb245f5c8beca4db627390bcb4699dd5da192cc8aba895e0e6a | |
| 0adde4246aaa9fb3964d1d6cf3c29b1b13074015b250eb8e5591339f92e1e3ca | DoNex fidye yazılımı |
| 6d6134adfdf16c8ed9513aba40845b15bd314e085ef1d6bd20040afd42e36e40 | |
| b32ae94b32bcc5724d706421f915b7f7730c4fb20b04f5ab0ca830dc88dcce4e | |
| 74b5e2d90daaf96657e4d3d800bb20bf189bb2cf487479ea0facaf6182e0d1d3 | DarkRace fidye yazılımı (DoNex’in öncüsü) |
| 0e60d49a967599fab179f8c885d91db25016be996d66a4e00cbb197e5085efa4 |
Combat Email Threats with Easy-to-Launch Phishing Simulations: Email Security Awareness Training -> Try Free Demo