Symantec araştırmacıları, iki dilli (İngilizce ve İspanyolca) bir çift gasp fidye yazılımı grubuyla bağlantılı yeni bir Linux fidye yazılımı çeşidi tespit etti.
Bu yeni ortaya çıkan tehdit, hassas verileri şifreleyerek ve dışarı sızdırarak, şifre çözme ve veri koruması için fidye talep ederek kuruluşlar için önemli riskler oluşturuyor.
Çift gasp fidye savaşıve saldırganların kurbanın verilerini şifreleyip hassas bilgileri çaldığı, özellikle tehlikeli bir siber saldırı türüdür.
Bu ikili tehdit, siber suçlulara fidye ödemeleri talep etmek için ek bir kaldıraç sağlar. Yalnızca veri şifrelemesini içeren geleneksel fidye yazılımı saldırılarının aksine, veri sızdırma ek riski, tüm sektörlerdeki kuruluşlar için potansiyel hasarı önemli ölçüde artırır.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access
Fidye Yazılımı Davranışı
Symantec raporuna göre, çalışma biçimleri şu anda belirsizliğini koruyor. Fidye yazılımı, bir fidye notu bırakıyor /root/README.txt
Ve /user/[username]/README.txt
Mağdurlara sonraki adımlar konusunda talimat veriyor.
Saldırının herhangi bir müdahale olmadan ilerlemesini sağlamak için PostgreSQL, MongoDB, MySQL, Apache2, Nginx ve PHP-FPM gibi kritik süreçleri ve hizmetleri zorla durdurur.
Ek olarak, /etc/motd
dosya bir uyarı mesajıyla üzerine yazılır: “Dosyalarınız çalındı ve şifrelendi. Daha fazla bilgi için README.txt’yi okuyun.”
"Your files have been encrypted and downloaded to our servers.
Sus archivos han sido cifrados y descargados a nuestros servidores.
Decryption of your files is not possible without our decryption software.
El descifrado de sus archivos no es posible sin nuestro software de descifrado.
We have terabytes of your company data, including employee emails, employee passwords, and customer databases.
Tenemos terabytes de datos de su empresa, incluidos correos electrónicos de empleados, contraseñas de empleados y bases de datos de clientes.
To prevent the leaking of this data and to obtain the decryption software, contact us using one of these methods:
Para evitar la filtración de estos datos y obtener el software de descifrado, contáctenos utilizando uno de estos métodos:
Session (hxxps[:]//getsession[.]org)
ID: [REMOVED]
hxxps[:]//getsession[.]org/blog/session-for-beginners"
İngilizce ve İspanyolca fidye notu, kurbanlara dosyalarının şifrelendiğini ve dışarı sızdırıldığını bildiriyor. Saldırganların yazılımı olmadan şifre çözmenin imkansız olduğu konusunda uyarıyor. Ayrıca, gizlilik odaklı bir mesajlaşma uygulaması olan ‘Session’ aracılığıyla iletişime geçilmediği takdirde çalışan e-postaları, parolalar ve müşteri veritabanları dahil olmak üzere hassas şirket verilerini sızdırmakla tehdit ediyor.
Symantec bu tehdidi şu şekilde sınıflandırdı: Fidye.Gen ve Veri Merkezi Güvenliği (DCS) çözümleriyle güçlü koruma sağlar.
Kuruluşlar İçin Öneriler
Kuruluşlara şunlar tavsiye edilmektedir:
- Güvenlik Çözümlerini Uygulayın: Fidye yazılımı tehditlerine karşı korunmak için kapsamlı güvenlik çözümleri kullanın.
- Düzenli Yedeklemeler: Fidye ödemeden kurtarmayı garantilemek için kritik verilerinizin düzenli yedeklerini alın.
- Çalışan Eğitimi: Çalışanlarınızı kimlik avı girişimlerini ve diğer yaygın fidye yazılımı dağıtım yöntemlerini tanıma konusunda eğitin.
- Ağ Segmentasyonu: Enfeksiyon durumunda fidye yazılımının yayılmasını sınırlamak için ağları segmentlere ayırın.
Download Free Cybersecurity Planning Checklist for SME Leaders (PDF) – Free Download