OldGremlin (aka TinyScouts) adlı Rusça konuşan bir fidye yazılımı grubu tarafından 16 kötü amaçlı kampanya yürütüldüğü görülüyor.
Bu kampanyaların bir kombinasyonu, operatörler tarafından kıtalararası Avrasya ülkesinde faaliyet gösteren kuruluşları hedefleyen iki buçuk yıl boyunca başlatıldı.
Group-IB’deki siber güvenlik analistleri, özellikle Rus şirketlerine birinci öncelik olarak saldıran OldGremlin gibi finansal motivasyonlarla doğrudan yönlendirilen çok az siber suç grubu olduğunu doğruladı.
Grup üyelerinin kötü niyetli saldırılarını gerçekleştirmek için kendi yaptıkları kötü amaçlı yazılımları kullandıkları ve bu çeteyi Mart 2020’den beri yasadışı olarak işlettikleri doğrulandı.
Ayrıca Okuyun: Fidye Yazılım Saldırı Müdahalesi ve Azaltma Kontrol Listesi
kurbanlar
Grubun, aşağıdakiler de dahil olmak üzere çeşitli sektörlerdeki şirketleri içeren geniş bir mağdur yelpazesine sahip olduğu açıktır:-
- Bankalar
- Lojistik
- Üretici firmalar
- sigorta şirketleri
- Perakendeciler
- gayrimenkul geliştiricileri
- Yazılım şirketleri
Group-IB tarafından GBHackers’a OldGremlin’in 2022’de aşağıdaki varlıklar kisvesi altında beş kötü amaçlı kampanya yürüttüğü bildirildi:-
- Vergi ve hukuk hizmetleri şirketleri
- Ödeme sistemleri
- BT şirketleri
OldGremlin fidye yazılımı grubu yılda yalnızca birkaç kampanya yürütüyor, ancak büyük finansal kazanç için milyonlarca dolarlık fidye talep ediyorlar.
Bu grup tarafından 2020’de bir kimlik avı e-posta kampanyası gerçekleştirildi, ardından 2021’de son derece başarılı bir kimlik avı e-posta kampanyası şeklinde mükemmel bir saldırı daha yapıldı. 2022 boyunca grup, beş fidye planı daha başlattı ve fidye talebinde 16,9 milyon dolarlık rekor bir miktara ulaştı.
OldGremlin kurbanlarını etraflıca incelemek için kapsamlı araştırma ve analizler yapıyor. Bu nedenle, ortalama fidye, şirketin büyüklüğü ve ne kadar gelir elde ettiği ile orantılıdır.
Özel Linux Fidye Yazılımı
OldGremlin çetesinin operatörleri, Linux sistemlerini hedeflemek ve şifrelemek için TinyCrypt fidye yazılımı grubunun bir Go varyantını kullandı.
TinyCrypt, Windows işletim sistemini çalıştıran sistemleri hedeflemek için kullandı. Linux varyantı ile Windows muadili arasında işlevsellik açısından hiçbir fark yoktur.
Dosyaları Linux varyantıyla şifrelemek için, AES algoritmasını kullanarak şifreli bir anahtar oluşturmak için RSA-2048 asimetrik şifreleme sistemi kullanılarak şifrelenen CBC blok şifreleme moduyla birlikte 256 bitlik bir anahtar kullanılır.
En son siber güvenlik trendlerini takip etmek için tehdit aktörü en son teknolojiyi takip eder.
Sonuç olarak, yeni geliştirilen yöntemler, hedeflerine ulaşmak için Kobalt Strikes gibi denenmiş ve test edilmiş sızma araçlarıyla da etkili bir şekilde birleştirildi.
Ultimate Packer (UPX) programını kullanarak, yürütülebilir kötü amaçlı yazılım bir kabuk komut dosyasına sarılır ve şifrelenen dosyalar .crypt uzantısıyla eklenir.
Group-IB, Cisco AnyConnect güvenlik açıklarından yararlanmanın, saldırganların ayrıcalıkları yükseltmek için kullandığı yöntemlerden biri olduğunu belirledi. OldGremlin, saldırıların daha kolay gerçekleştirilmesini sağlayan birkaç Tiny çerçevesi geliştirdi.
Ortalama bir senaryoda, bir fidye yazılımı saldırısı, saldırganların kurbanın ağına erişmesinden 49 gün sonra gerçekleşir.
Grubun kendi kullanımı için geliştirdiği çeşitli araçlar vardır: –
- TinyCrypt fidye yazılımı
- Kimlik bilgileri çıkarıcılar
- Kötü amaçlı LNK dosyaları
- MinikPosh
- Küçük Düğüm
- minik tüy
- TinyShell
- keşif aracı
- AV atlama aracı
- izolasyon aracı
Araçlar listesi, OldGremlin tehdit aktörlerinin ne kadar yetenekli olduğunu açıkça gösteriyor. Bunun dışında saldırganlar saldırılarını o kadar karmaşık bir şekilde planlıyorlar ki, kurbanlarına talep edilen fidyeyi ödemek yerine başka seçenek kalmıyor.
Uygulamalar için Yönetilen DDoS Saldırı Koruması – Ücretsiz Kılavuzu İndirin