Bilgisayar korsanları öncelikle fidye yazılımını kurbanlarına şifrelenmiş dosya ve sistemlerini kurtarmak için ödeme yapmaları için şantaj yaparak mali kazanç elde etmek amacıyla kullanır.
Ancak fidye yazılımı, kritik altyapılarda kafa karışıklığı yaratan yıkıcı bir siber silah olarak da silah haline getirilebilir.
Megazord fidye yazılımı aktif olarak sağlık hizmetlerine ve devlet kurumlarına saldırıyor.
Megazord Fidye Yazılımı Saldırısı
Ayrıca fidye yazılımları, verileri çalan ve daha sonra derin web pazarlarında satılan veya daha fazla gasp gerçekleştirmek için kullanılan bazı tehdit aktörleri tarafından da kullanılabilir.
Bazı bilgisayar korsanları, siyasi nedenlerden dolayı, düşman ülkelere veya ideolojik düşmanlara karşı fidye yazılımı dağıtmaya yönelebilir.
Megazord, sağlık, eğitim ve hükümeti hedef alan Rust kodlu bir fidye yazılımıdır. İlk erişim, hedef odaklı kimlik avı ve güvenlik açıklarından yararlanılmasından kaynaklanır.
Ücretsiz Web Semineri | WAAP/WAF ROI Analizinde Uzmanlaşma | Yerinizi Ayırın
Kurbanların yanal hareketlerini tespit etmek için RDP ve IP tarayıcılarını kullanır. Güvenliği ihlal sonrası, yerel veri depolama alanı ve dosyalar şifrelenmeden önce işlemler ve hizmetler sonlandırılır.
Öncelikle sağlık gibi kritik sektörlere yönelik saldırılara odaklanıyor.
“POWERRANGES” uzantısıyla şifrelenen dosyalar, etkilenen her klasörde “powerranges.txt” adlı bir fidye notu içerir. Not, kurbanları benzersiz bir Telegram kanal bağlantısı kullanarak TOX messenger aracılığıyla tehdit aktörüyle iletişime geçmeye yönlendiriyor.
Hedef odaklı kimlik avı ve güvenlik açıklarından yararlanma gibi teknikler yoluyla ilk girişin peşinde olan Megazord operatörleri tarafından çeşitli sektörler ayrım gözetmeksizin hedef alınmaktadır.
Uzak Masaüstü Protokolü (RDP), Gelişmiş IP Tarayıcı ve yatay hareket için NET.EXE kullanarak ağdaki kalış sürelerini uzatmak için LOLBINS’i ve mevcut altyapıyı kullanırlar.
Megazord, ayrı CMD.EXE örnekleri tarafından gerçekleştirilen şifrelemeyi kolaylaştırmak için yürütme sırasında çok sayıda işlemi ve hizmeti sonlandırır ve bunları sonlandırmak amacıyla yerel sanal makineleri arar.
Bunun dışında Megazord, Akira ile birçok kod benzerliği paylaşıyor, bu yüzden Akira fidye yazılımıyla bağlantılı olduğu düşünülüyor.
Ayrıca Symantec algılaması aşağıdaki gibi imzaları kapsar:
Dosya Tabanlı
- Fidye.Akira!g2
- Trojan.Gen.MBT
- W97M.İndirici
- WS.Malware.1
Makine Öğrenimi Tabanlı
- Hour.AdvML.A!300
- Time.AdvML.B
- Hour.AdvML.B!100
- Hour.AdvML.B!200
Looking to Safeguard Your Company from Advanced Cyber Threats? Deploy TrustNet to Your Radar ASAP.