Phobos fidye yazılımı tarafından çerçevelenen VX-Underground kötü amaçlı yazılım topluluğu


VX-Yeraltı

Yeni bir Phobos fidye yazılımı çeşidi, popüler VX-Underground kötü amaçlı yazılım paylaşım kolektifini çerçeveliyor ve bu, şifreleyiciyi kullanan saldırıların arkasında grubun olduğunu gösteriyor.

Phobos, 2018 yılında Crysis fidye yazılımı ailesinden türetilen bir hizmet olarak fidye yazılımı olduğuna inanılan bir yazılımla piyasaya sürüldü. Bu operasyonun bir parçası olarak, bir grup tehdit aktörü fidye yazılımının geliştirilmesini yönetiyor ve ana şifre çözme anahtarını elinde tutuyor; diğer tehdit aktörleri ise ağları ihlal etmek ve cihazları şifrelemek için bağlı kuruluşlar olarak hareket ediyor.

Phobos uzun süredir ortalıkta olmasına rağmen hiçbir zaman büyük saldırılar düzenleyen ve milyonlarca dolar talep eden “elit” bir operasyona dönüşmedi.

Ancak bu, bunun büyük bir operasyon olmadığı anlamına gelmiyor çünkü birçok bağlı tehdit aktörü aracılığıyla geniş bir dağıtıma sahip ve 2023’te ID Ransomware hizmetine yapılan tüm gönderimlerin %4’ünü oluşturuyor.

Phobos'un geçen ay ID Ransomware'e yaptığı gönderimler
Phobos’un geçen ay ID Ransomware’e yaptığı gönderimler
Kaynak: ID Ransomware

VX’i çerçevelemek

Bugün, fidye yazılımı avcısı PC riski bulundu Phobos fidye yazılımının yeni bir çeşidi, VX-Underground topluluğunun çerçevesini çizin.

Kötü amaçlı yazılım, dosyaları şifrelerken .İD[[unique_id].[[email protected]].VXUG sicim, e-posta meşrudur ve son uzantı ‘VXUG’, VX-Underground anlamına gelir.

Tarafından şifrelenen dosyalar
Phobos’un “VX-Underground” versiyonu tarafından şifrelenen dosyalar
Kaynak: BleepingComputer

Bittiğinde Phobos, Windows Masaüstünde ve başka yerlerde iki fidye notu oluşturacak.

Bunlardan ilki, ‘Black Mass Volume II.txt Satın Alın’ adlı bir metin fidye notu; bu not, tüm VX kötü amaçlı yazılım arşivlerinde kullanılan şifre çözme şifresinin “virüslü” olmadığını söyleyerek VX’te biraz eğlence yaratıyor.

“!!! Tüm dosyalarınız şifrelenmiştir !!!
Bunların şifresini çözmek için şu adrese e-posta gönderin: [email protected].
48 saat içinde cevap vermezsek, şu twitter’a mesaj gönderin: @vxunderground
ve hayır, şifre çözme şifresi “virüslü” değil”

Metin fidye notu
Metin fidye notu
Kaynak: BleepingComputer

İkincisi, VX-Underground logosunu, adını ve iletişim bilgilerini kullanacak şekilde özelleştirilmiş standart Phobos fidye notunuz olan ‘Black Mass Volume II.hta Satın Alın’ adlı bir HTA dosyasıdır. Black Mass, VX-Underground tarafından yazılan ve Amazon’da satılan kitaplardır.

VX-Underground'dan olduğu iddia edilen HTA fidye notu
VX-Underground’dan olduğu iddia edilen HTA fidye notu
Kaynak: BleepingComputer

İzleyenleri izlemek

Güvenlik araştırmacıları gibi, tehdit aktörleri de çevrimiçi bilgi güvenliği ve siber güvenlik topluluklarında yer alıyor, tartışmalara aktif olarak katılıyor veya sessizce izliyor. Ancak bu izleme, geçmişte kötü amaçlı yazılımlara ve fidye yazılımlarına benzer alay hareketlerinin eklenmesine yol açtı.

Örneğin, REvil’in öncüsü GandCrab piyasaya sürüldüğünde, tehdit aktörleri komuta ve kontrol sunucularına BleepingComputer, Emsisoft, ESET ve NoMoreRansom’un adını verdiler.

Bu, fidye yazılımı izleme ve araştırmasında yer alan kişiler için iyi huylu bir alay konusu olsa da, diğer örnekler daha karanlık bir hal aldı.

2016 yılında Apocalypse fidye yazılımının geliştiricisi, Wosar’ın şifrelemede zayıf noktalar bulmaya devam etmesinden duyduğu hayal kırıklığı nedeniyle fidye yazılımı uzmanı Fabian Wosar hakkında kötü niyetli yorumları ‘Fabiansomware’ şifreleyicilerine yerleştirmeye başladı.

2020 yılında Maze fidye yazılımının geliştiricisi, adını merhum güvenlik araştırmacısı Vitali Kremez ve Sentinel One’dan alan bir veri temizleme aracı/MBR Locker oluşturdu.

Maze geliştiricisi, şifre çözme anahtarlarını yayınladıklarında BleepingComputer’a, fidye yazılımı operasyonu hakkında olumsuz tweetler atan Kremez’i kızdırmak için sileceği dağıttıklarını söyledi.

Daha yakın zamanlarda, ‘Azov Ransomware’ olarak bilinen fidye yazılımı, dünya çapında korsan yazılımlar, anahtar oluşturucular ve reklam yazılımı paketleri aracılığıyla yoğun bir şekilde dağıtıldı.

Bu fidye yazılımının benim tarafımdan, BleepingComputer, Hasherazade, MalwareHunterTeam, Michael Gillespie ve Vitali Kremez tarafından oluşturulduğu iddia edildi ve kurbanlara şifre çözme anahtarı için bizimle iletişime geçmeleri söylendi.

Kötü amaçlı yazılım geliştiricileriyle etkileşimde bulunanlar için her zaman onların projelerinden birine dahil olma riskiyle karşı karşıya kalırsınız.

Alay etmeler çoğunlukla iyi huylu olsa da, Azov ve Kremez Silecek’te gördüğümüz gibi bazı durumlarda biraz çirkinleşebiliyor.





Source link