LostTrust fidye yazılımı operasyonunun, neredeyse aynı veri sızıntısı siteleri ve şifreleyicileri kullanan MetaEncryptor’ın yeniden markalanmış hali olduğuna inanılıyor.
LostTrust, Mart 2023’te kuruluşlara saldırmaya başladı ancak bir veri sızıntısı sitesi kullanmaya başladıkları Eylül ayına kadar geniş çapta tanınmadı.
Veri sızıntısı sitesi şu anda dünya çapında 53 kurbanı listeliyor; bazılarının verileri fidye ödemedikleri için zaten sızdırılmış durumda.
Fidye yazılımı çetesinin yalnızca Windows cihazlarını mı hedef aldığı yoksa Linux şifreleyici mi kullandıkları belli değil.
MetaEncryptor’ın yeniden markalanması
MetaEncryptor, Ağustos 2022’de başlatıldığına inanılan bir fidye yazılımı operasyonudur ve Temmuz 2023’e kadar on iki kurbanı veri sızıntısı sitesinde toplamış, ardından siteye yeni kurban eklenmemiştir.
Bu ay ‘LostTrust’ çetesi için yeni bir veri sızıntısı sitesi açıldı ve siber güvenlik araştırmacısı Stefano Favarato bu sitenin MetaEncryptor’ın veri sızıntısı sitesiyle aynı şablonu ve biyografiyi kullandığını hemen fark etti.
Hem MetaEncryptor hem de LostTrust veri sızıntısı sitelerinde “Kendilerini ağ güvenliği alanında en az 15 yıllık deneyime sahip uzman olarak tanımlayan bir grup genç insanız” yazıyor.
“Bu blog ve bu çalışma YALNIZCA ticari amaçlıdır, üstelik ana blog değil. Politikayla, istihbarat teşkilatlarıyla ve NSB’yle hiçbir ilgimiz yok.”
BleepingComputer ayrıca hem LostTrust’un hem de [VirusTotal] ve MetaEncryptor [VirusTotal] fidye notlarında, yerleşik genel anahtarlarda, fidye notu adlarında ve şifrelenmiş dosya uzantılarında bazı küçük değişiklikler dışında şifreleyiciler neredeyse aynıdır.
Ayrıca siber güvenlik araştırmacısı MalwareHunterTeam BleepingComputer’a LostTrust ve MetaEncryptor’ın SFile2 fidye yazılımı şifreleyicisini temel aldığını söyledi. Bu ilişki, LostTrust ve SFile şifreleyicileri arasında çok sayıda kod örtüşmesini gösteren bir Intezer taramasıyla da desteklenmektedir.
İki operasyon arasındaki önemli örtüşme nedeniyle LostTrust’un MetaEncryptor operasyonunun yeniden markalandığına inanılıyor.
LostTrust şifreleyici
BleepingComputer, LostTrust şifreleyicisinin bir örneğini buldu ve aşağıda kısa bir analiz gerçekleştirdi.
Şifreleyici iki isteğe bağlı komut satırı argümanıyla başlatılabilir, –sadeceyol (belirli bir yolu şifreleyin) ve –paylaşımları etkinleştir (ağ paylaşımlarını şifreleyin).
Şifreleyici başlatıldığında, aşağıda gösterildiği gibi şifreleme işleminin mevcut durumunu gösteren bir konsol açacaktır.
Kaynak:BleepingComputer
‘ not edinMETAŞİFRELEME‘ dizesi, şifreleyicinin değiştirilmiş bir MetaEncryptor şifreleyicisi olduğunu gösterir.
Çalıştırıldığında LostTrust, Firebird, MSSQL, SQL, Exchange, wsbex, postgresql, BACKP, Tomcat, SBS ve SharePoint dizelerini içeren hizmetler de dahil olmak üzere tüm dosyaların şifrelenebilmesini sağlamak için çok sayıda Windows hizmetini devre dışı bırakacak ve durduracaktır.
Şifreleyici ayrıca Microsoft Exchange ile ilişkili ek hizmetleri de devre dışı bırakacak ve durduracaktır.
Dosyaları şifrelerken, şifreleyici .losttrustencoded Aşağıda gösterildiği gibi şifrelenmiş dosya adlarının uzantısı.
Kaynak: BleepingComputer
Adlandırılmış fidye notları !LostTrustEncoded.txt Cihazdaki her klasörde, tehdit aktörlerinin kendilerini önceki beyaz şapkalı hackerlar olarak tanıtacağı bir klasör oluşturulacak. Ancak düşük maaş aldıktan sonra siber suçlara geçmeye karar verdiler.
LostTrust fidye notunda şöyle yazıyor: “Ekibimizin yasal ve sözde beyaz şapka korsanlığı konusunda geniş bir geçmişi var. Ancak müşteriler genellikle bulunan güvenlik açıklarının küçük olduğunu ve hizmetlerimiz için düşük ücret ödendiğini düşünüyorlardı.”
“Bunun üzerine iş modelimizi değiştirmeye karar verdik. Artık BT güvenliğine iyi bir bütçe ayırmanın ne kadar önemli olduğunu anlıyorsunuz.”
Kaynak: BleepingComputer
Bu fidye notları, şirketin dosyalarına ne olduğu hakkında bilgi içeriyor ve fidye yazılımı çetesinin Tor müzakere sitesine benzersiz bir bağlantı içeriyor.
Müzakere sitesi, şirket temsilcilerinin tehdit aktörleriyle pazarlık yapmasına olanak tanıyan yalnızca bir sohbet özelliğinin bulunduğu çıplak kemiklerden oluşuyor.
Kaynak: BleepingComputer
BleepingComputer’a LostTrust saldırıları için fidye taleplerinin 100.000 dolardan milyonlara kadar değiştiği söylendi.
Kurbanlara şantaj yapmak için kullanılan veri sızıntısı sitesi
Diğer fidye yazılımı operasyonları gibi LostTrust da fidye ödenmediği takdirde çalınan verilerini sızdırmakla tehdit ederek şirketleri şantaj yapmak için kullanılan bir Tor veri ihlali sitesi kullanıyor.
LostTrust’un veri sızıntısı sitesinde 53 kurban var ve bazı şirketlerin verileri zaten sızdırılmış durumda.
Kaynak: BleepingComputer
Şu anda, fidye talebinin ödenmesinin verilerin silinmesine ve çalışan bir şifre çözücüye yol açıp açmayacağı bilinmiyor.