Hizmet Olarak Fidye Yazılımı (RaaS) olarak tanınan RansomHouse grubu, 2021’in ikinci yarısında ortaya çıktı ve kurumsal ağları tehlikeye atmak için fidye yazılımı çeşitlerini aktif olarak kullanıyor.
RansomHouse fidye yazılımı, birincil saldırı vektörleri olarak kimlik avı ve hedef odaklı kimlik avı e-postalarını kullanır. Ayrıca saldırı yeteneklerini geliştirmek için Vatet Loader, Metasploit ve Cobalt Strike gibi üçüncü taraf çerçevelerden yararlanırlar.
Grup kurbanlarından iki kez şantaj yapıyor: ilk olarak dosyalarını şifreleyerek ve fidye talep ederek, ardından da kurbanın çalınan verilerini ifşa ettikleri sitelerinde ödeme yapmayan kurbanların isimlerini vererek ve onları utandırarak.
Son zamanlarda grubun, fidye yazılımının sürekli ve yaygın dağıtımını kolaylaştıran yeni geliştirilmiş bir araç olan MrAgent’ı kullandığı belirlendi.
Canlı saldırı simülasyonu Web Semineri, hesap ele geçirmenin çeşitli yollarını gösterir ve web sitelerinizi ve API’lerinizi ATO saldırılarına karşı korumaya yönelik uygulamaları gösterir.
Yerinizi Ayırın
Trellix, Cyber Security News ile şunları paylaştı: “Taktikleri, teknikleri ve prosedürleri (TTP’ler), sızma için içerik dağıtım ağı (CDN) sunucularından yararlanarak ve kurban müzakereleri için Tor tabanlı bir sohbet odasından yararlanarak olgun ve sofistike bir uygulama düzeyi gösteriyor” .
“Bu grubun, hem Windows hem de Linux tabanlı sistemleri hedeflemek için MrAgent ile birlikte Mario ESXi adı verilen benzersiz bir fidye yazılımı çeşidi kullandığı belirlendi.”
MrAgent Kötü Amaçlı Yazılımları Nasıl Dağıtıyordu?
MrAgent, birçok hipervizör sistemini içeren büyük ayarlarda fidye yazılımı dağıtımını otomatikleştirmek ve izlemek amacıyla hipervizörler üzerinde çalışacak şekilde tasarlanmış bir ikili programdır.
İkili dosya, bir komut satırı argümanı olarak belirtilmesi gereken bir komut ve kontrol sunucuları koleksiyonuna bağlanır. Başlatma sonrasında aracı, benzersiz bir sistem ana bilgisayar kimliği oluşturur, yerel IP adresini alır ve sistemin güvenlik duvarını kapatır.
Ayrıca, ikili sistem daha sonra bir kalp atışı gönderecek, her bir komut ve kontrol sunucusuna döngüsel olarak bağlanacak ve komutları bekleyecek sonsuz bir döngü başlatacaktır.
İkili dosya, bir fidye yazılımı ikili dosyasının yayınlanmasını planlayabilir ve izleyebilir. İkili dosya ayrıca, sanal makineler ve bunların hipervizörde yürütülen özellikleri gibi hipervizör ortamı hakkındaki bilgileri uzaktan almak için ekstra yeteneklere de sahiptir.
Ek olarak, tüm aktif (root olmayan) SSH oturumlarını sisteme bırakmak, dosyaları kaldırmak, hipervizörün monitöründe gösterilen karşılama mesajını değiştirmek ve komutları makinede yerel olarak çalıştırmak için kullanılabilir.
Araştırmacılar, RansomHouse grubunun yıllık geliri 10 milyon ila 50 milyon dolar arasında olan firmalara yönelik saldırılarının 2022’de bir iken 2023’te on bire yükseldiğini fark etti. Aynı kazanımlar, gelirleri 1 milyon ila 500 milyon dolar arasında değişen şirketler için de geçerli; bu da odak noktasının orta ölçekli kuruluşlara doğru değiştiğini gösteriyor.
Malwarebytes araştırmacılarına göre fidye yazılımı grupları, diğer fidye yazılımı gruplarına benzer şekilde kurbanlar, gazeteciler ve onların faaliyetlerini izlemekle ilgilenen kişilerle etkileşim kurmak için bir Telegram hesabı ve bir sızıntı sitesi de dahil olmak üzere iletişim kanalları kurdu.
Bu nedenle savunmacılardan, tehdit aktörlerinin nasıl çalıştığını gözlemlemeleri ve güvenlik çevrelerini bu tür saldırıları hem öngörecek hem de bunlara yanıt verecek şekilde uyarlamaları isteniyor.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.