Çifte gasp fidye yazılımı Oyuncu, iki hafta içinde çok sayıda saldırı gerçekleştirerek sahneye çıktı; yenilikçi kilitleyici kötü amaçlı yazılımlar ve izlerini örtmek ve güvenlik uzmanlarının araştırmasını zorlaştırmak için bir dizi kaçınma taktiği kullandı.
Halcyon’daki araştırmacılar tarafından “Volkan Şeytanı” olarak adlandırılan yeni keşfedilen saldırgan, kurban dosyalarını .nba dosya uzantısıyla şifreleyen LukaLocker adlı daha önce hiç görülmemiş bir kilitleyici kötü amaçlı yazılımla karakterize ediliyor. bir blog yazısı Bu hafta yayımlandı.
Saldırganın kaçınma taktikleri arasında, istismardan önce sınırlı kurban kaydı ve izleme çözümleri kurmak ve fidye almak veya pazarlık etmek için “Arayan Kimliği Olmayan” numaralardan “tehdit edici” telefon aramaları kullanmak yer alıyor.
Halcyon Araştırma Ekibi gönderide “Kayıtlar istismardan önce temizlendi ve her iki durumda da izlerini örtmedeki başarıları nedeniyle tam bir adli değerlendirme mümkün olmadı” diye yazdı. Ekip, Volcano Demon’ın saldırıları sırasında çaldığı verileri yayınlamak için bir sızıntı sitesi olmadığını, ancak bir taktik olarak çift gasp kullandığını söyledi.
Volcano Demon, saldırılarında kurbanlarının ağlarından toplanan genel yönetim kimlik bilgilerini kullanarak LukaLocker’ın Linux sürümünü yükledi ve ardından hem Windows iş istasyonlarını hem de sunucularını başarıyla kilitledi. Saldırganlar ayrıca ağdan kendi komuta ve kontrol sunucusuna (C2) veri sızdırdı. fidye yazılımı dağıtımı böylece çift taraflı gasp yapılabilirdi.
Halcyon’a göre fidye notunda, kurbanlara qTox mesajlaşma yazılımı aracılığıyla saldırganlarla iletişime geçmeleri ve ardından teknik desteğin kendilerini geri aramasını beklemeleri talimatı veriliyor; bu da taraflar arasındaki iletişimin izlenmesini zorlaştırıyor.
Conti’nin kalıntıları mı?
Halycon araştırmacıları, gönderiye göre, ilk olarak 15 Haziran’da LukaLocker olarak adlandırdıkları bir örneği keşfettiler. Ekip, “Fidye yazılımı, C++ kullanılarak yazılmış ve derlenmiş bir x64 PE ikili dosyasıdır” diye yazdı. “LukaLocker fidye yazılımı, kötü amaçlı işlevlerini gizlemek için API gizleme ve dinamik API çözümlemesi kullanır; tespit, analiz ve tersine mühendislikten kaçınır.”
Çalıştırma sırasında, “–sd-killer-off” belirtilmediği sürece, LukaLocker ağda bulunan ve benzeri bazı güvenlik ve izleme hizmetlerini derhal sonlandırır. muhtemelen kopyalanmış üretken ama artık var olmayan Fidye yazılımı hesaplarıgönderiye göre. Bu hizmetler arasında çeşitli antivirüs ve uç nokta koruması; yedekleme ve kurtarma araçları; Microsoft, IBM ve Oracle’ın veritabanı yazılımları ve diğerleri; Microsoft Exchange Server; sanallaştırma yazılımı; ve uzaktan erişim ve izleme araçları yer alır. Ayrıca Web tarayıcıları, Microsoft Office ve TeamViewer gibi bulut ve uzaktan erişim yazılımları dahil olmak üzere diğer süreçleri de sonlandırır.
Dolap, toplu veri şifrelemesi için Chacha8 şifresini kullanır ve Curve25519 üzerindeki Eliptik Eğri Diffie-Hellman (ECDH) anahtar anlaşma algoritması aracılığıyla Chacha8 anahtarını ve rastgele değeri üretir. Dosyalar tamamen şifrelenebilir veya %50, %20 veya %10 gibi değişen yüzdelerde şifrelenebilir.
Dikkat Gerekli
Volcano Demon’un kapsamlı olması nedeniyle kaçınma yetenekleriHalcyon ekibinin saldırıların tam bir adli analizini yapması zordu; ayrıca araştırmacılar tehdit aktörü tarafından hedef alınan organizasyonların türünü açıklamadı. Ancak Halcyon, saldırganların çeşitli tehlikeye atma (IoC) göstergelerini belirlemeyi başardı; bunlardan bazıları Virus Total’e yüklendi.
Bu IoC’ler bir Trojan, Protector.exe ve Locker.exe şifreleyicisini içerir. Linux locker/bin adlı bir Linux şifreleyici dosyası ve şifrelemeden önce gelen komut satırı betikleri, Reboot.bat, aynı zamanda yeni fidye yazılımı aktörü tarafından yapılan bir saldırının ayırt edici özellikleridir.