Önemli Rus Hacker Grubu .NET Tabanlı Fidye Yazılımıyla Kullanıcılara Saldırıyor


2023’ün başlarından bu yana faaliyet gösteren Rus fidye yazılımı grubu Key Group, Telegram üzerinden fidye talep etmeden önce dosyaları şifreleyip veri çalarak dünya çapındaki kuruluşları hedef alıyor.

Grup, dünya çapındaki kuruluşlar için veri kaybı ve operasyonların aksaması potansiyeli nedeniyle önemli bir risk oluşturan kötü amaçlı yazılımlarını oluşturmak için .NET tabanlı Chaos fidye yazılımı oluşturucusunu kullanıyor.

Fidye yazılımı bulaşma döngüsü, dosyaların şifrelenmesi ve adlarına beş karakterli rastgele bir uzantı eklenmesiyle başlar. Hedeflenen dosya türleri ve sonlandırılacak işlemlerin bir listesi kötü amaçlı yazılımın içine gömülüdür.

– Reklamcılık –
DÖRTDÖRT
Hedeflenen dosyalar

Sistem kurtarma devre dışı bırakılırken, belirli dosyalar şifrelemeden muaf tutulur. Şifreleme işlemi tamamlandığında, masaüstünde şifre çözme için ödeme talep eden bir fidye mesajı görüntülenir.

Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın

Sistemin Keygroup777 fidye yazılımı tarafından tehlikeye atılmış olduğu anlaşılıyor; fidye mesajını içeren “keygroup777.txt” adlı bir gösterge dosyası C:\SystemID\ dizininde tespit edildi.

Mesaj iki URL’ye yönlendiriyor, ilki bir oturum açma sayfasına yönlendiriyor ancak otomatik olarak gerçek bir veri kurtarma işlevi olmayan bir aldatmaca olan veri kurtarma sayfasına yönlendiriyor.

İlk Github bağlantısı

İkinci bağlantı doğrudan Key Group’un fidye yazılımı bilgi sayfasına yönlendiriyor ve burada muhtemelen dosya şifre çözme ücretinin nasıl ödeneceğine dair talimatlar sağlanıyor.

Dikkatli olmak ve saldırganlarla etkileşime girmekten kaçınmak önemlidir.

Bu yöntemlerle veri kurtarma işlemi güvenilir olmayıp, ödeme yapıldıktan sonra bile verilerin kalıcı olarak kaybolma ihtimali oldukça yüksektir.

Bunun yerine alternatif veri kurtarma çözümlerini veya sistem geri yükleme seçeneklerini araştırmayı düşünün.

Fidye sayfası

@SpyWareSpyNet’e bağlı Telegram kanalı, kullanıcıları ЧИЧ’den TAti (feat. Ddeks) gibi ses parçalarının bulunduğu sayfalara yönlendiren bağlantılar içeren çeşitli operatörlerin iletişim bilgilerine açılan bir ağ geçidi görevi görüyor.

Bu sayfalardaki “Kendiniz Hakkında” ve “Satana” butonlarına tıklandığında muhtemelen belirli operatörlerle iletişim tetikleniyor.

Ayrıca Telegram’da keygroup777Rezerv1 kodu operatörlere ulaşmak için başka bir kanal veya iletişim noktası olabilir.

Operatör iletişimi için Telegram kanalı

Bu ses parçalarının ve düğmelerin varlığı operatörlerle etkileşim için yapılandırılmış bir sistemin varlığını düşündürmektedir.

Kullanıcıların konuşmaları başlatmak veya sürdürmek için belirli ses parçalarını çalması veya belirli düğmeleri seçmesi gerekebilir; bu, soruları filtrelemenin veya kategorilere ayırmanın bir yolu olabilir veya yetkisiz erişimi önlemek için bir güvenlik önlemi olarak kullanılabilir

Bireyleri ve kurumları olası her türlü zarardan korumak için imza, bu özel Truva atı tehdit türünü etkili bir şekilde tespit edip engelleyebilmektedir.

Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial



Source link