Alpha fidye yazılımı yükünü ve işleyiş tarzını analiz eden güvenlik araştırmacıları, artık kullanılmayan Netwalker fidye yazılımı operasyonuyla çakışmalar keşfetti.
Netwalker, Ekim 2019 ile Ocak 2021 arasında etkin olan üretken bir hizmet olarak fidye yazılımıydı (RaaS). Bu dönemde kolluk kuvvetleri karanlık web sitelerini ele geçirerek operatörlerinin sessiz kalmasına neden oldu.
Alpha fidye yazılımı operasyonu (ALPHV/BlackCat ile karıştırılmamalıdır) Şubat 2023’te ortaya çıktı ancak dikkat çekmedi, hacker forumlarında tanıtım yapmadı ve operatörleri çok fazla saldırı gerçekleştirmedi.
Bu durum yakın zamanda grubun kurbanları listelemek ve ihlal edilen ağlardan çalınan dosyaları yayınlamak için bir veri sızıntısı sitesi başlatmasıyla değişti.
Bu yazının yazıldığı sırada Alpha, gasp portalında dokuz kurbanı gösteriyor ve tehdit aktörü bunlardan sekizinin çalınan dosyalarını zaten yayınlamış durumda.
29 Ocak tarihli bir Neterich raporu, Alpha’nın giderek daha karmaşık hale geldiğini söylüyor.
En son sürümde, fidye yazılımı şifrelenmiş dosyalara rastgele 8 karakterlik alfasayısal bir uzantı ekler.
Ayrıca, birçok fidye notu yinelemesinden sonra, en sonuncusu, kurbanların bir mesajlaşma hizmeti üzerinden tehdit aktörüyle iletişim kurmaları için talimatlar içeriyor.
Neterich’e göre bildirilen fidye talebi, muhtemelen kurbanın iş büyüklüğüne bağlı olarak 0,272 BTC (bugünkü döviz kuruyla 13.200 dolar) ile 100.000 dolar arasında değişiyor.
Netwalker’a bağlantılar
Symantec’in tehdit analistleri tarafından bugün yayınlanan yeni bir rapor, saldırılarda kullanılan araçlara ve taktiklere, tekniklere ve prosedürlere dayanarak Alpha’yı artık kullanılmayan Netwalker fidye yazılımıyla ilişkilendiriyor.
Symantec’in öne çıkardığı temel benzerlikler arasında şunlar yer alıyor:
- Hem Netwalker hem de Alpha fidye yazılımı, yüklerini iletmek için benzer bir PowerShell tabanlı yükleyici kullanıyor.
- Ana işlevlerin genel yürütme akışı, süreçlerin ve hizmetlerin sonlandırılması ve sistem API’lerinin çağrılmasındaki benzerlikler de dahil olmak üzere veri yükünde önemli kod çakışmaları.
- Atlanacak klasörler, dosyalar ve uzantıların yanı sıra sonlandırılacak işlemler ve hizmetler listesindeki yapılandırma benzerlikleri.
- Her ikisi de, şifreleme işleminin tamamlanmasının ardından geçici bir toplu iş dosyası kullanarak kendilerini siler.
- Hem Netwalker hem de Alpha’nın ödeme portalları aynı mesajı içeriyor: “Giriş için lütfen kullanıcı kodunu kullanın.”
Symantec ayrıca son Alpha saldırılarının, kaçırmak için Taskkill, PsExec, Net.exe ve Reg.exe gibi arazi dışı araçları yoğun şekilde kullandığını da bildirdi. Ancak bu, birçok fidye yazılımı çetesinin ortak özelliğidir.
Yukarıdaki benzerlikler NetWalker ile Alpha geliştiricileri arasında güçlü bir bağ olduğunu gösteriyor; bu da NetWalker’ın Alpha markası altında yeniden canlandırılması veya kodunun yeni bir tehdit grubu tarafından yeniden kullanılması anlamına gelebilir.
Symantec, yeni bir saldırganın NetWalker yükünü ele geçirip onu fidye yazılımı operasyonları için uyarlamış olabileceğini belirtiyor.
Şu anda fidye yazılımı sahnesinde önemli bir oyuncu olmasa da Alpha, kuruluşların dikkat etmesi gereken yeni ortaya çıkan bir tehdit olarak görülüyor.