Son fidye yazılımı saldırılarında konuşlandırılan yeni tanımlanmış özel bir arka kapı, en az bir RansomHub fidye yazılımı (RAAS) operasyon üyesi ile ilişkilendirilmiştir.
Bu kötü amaçlı yazılım betrager adını veren Symantec araştırmacıları, bunu fidye yazılımı saldırılarında kullanılmak üzere tasarlanmış “çok fonksiyonlu bir arka kapının nadir bir örneği” olarak tanımlamaktadır.
Kötü amaçlı yazılımların yetenekleri, anahtarlama, ağ taraması, ayrıcalık artış, kimlik bilgisi dökümü, ekran görüntüsü, ekran görüntüleme ve bir komut ve kontrol (C2) sunucusuna yükleme dahil olmak üzere fidye yazılımı yüklerini dağıtmadan önce bırakılan kötü amaçlı araçlarda yaygın olarak bulunan özelliklerle örtüşen çok çeşitli özellikleri içerir.
Symantec’in tehdit avcısı ekibi, “Betruger’ın işlevselliği, bir fidye yazılımı saldırısı hazırlanırken hedeflenen bir ağa düşen yeni araçların sayısını en aza indirmek için geliştirilmiş olabileceğini gösteriyor.” Dedi.
Symantec’in tehdit avcısı ekibi, “Fidye yazılımı saldırılarında yükleri şifrelemekten başka özel kötü amaçlı yazılım kullanımı nispeten olağandışıdır. Çoğu saldırgan, Mimikatz ve Cobalt Strike gibi meşru araçlara, arazide yaşama ve halka açık kötü amaçlı yazılımlara güveniyor.” Dedi.
Betrager Backdoor’un arkasındaki saldırganlar, postayla ilgili bir uygulama olarak kamuflaj yapmak için ‘Mailer.exe’ ve ‘TurBoMailer.exe’ dosya adlarını kullanarak bırakıyor.
Diğer fidye yazılımı çeteleri de özel kötü niyetli araçlar geliştirmiş olsa da, esas olarak kurbanların tehlikeye atılan sistemlerinden hassas verileri sunmaya yardımcı olmak için tasarlanmıştır. Bu tür araçlar arasında Blackmatter’ın Exmatter Stealer ve Blackbyte’nin çalınan dosyaları mega.co.nz bulut depolama hizmetine yüklemek için Exbyte Veri hırsızlığı aracı yer alır.
Ransomhub fidye yazılımı çetesi
Ransomhub Hizmet Olarak Fidye Yazılımı (RAAS) operasyonu (daha önce Cyclops ve Knight olarak bilinir) bir yıl önce, Şubat 2024’te ortaya çıktı ve kurbanların ihlal edilen sistemlerindeki verileri şifrelemek yerine veri-hırsızlığı tabanlı gasp ile bağlantılı.
Fidye yazılımı çetesi ortaya çıktığından beri, petrol hizmetleri devi Halliburton, Christie’nin açık artırma evi, ABD telekom sağlayıcısı sınır iletişimi, Kawasaki’nin AB bölümü, planlanan ebeveynlik cinsel sağlık kar amacı gütmeyen kuruluş ve bologna futbol kulübü de dahil olmak üzere birçok yüksek profilli kurban talep etti.
RansomHub, 190 milyondan fazla kişiyi etkileyen son yıllarda en önemli sağlık hizmeti ihlalini takiben Blackcat/Alphv Fidye Yazılım Operasyonu’nun 22 milyon dolarlık çıkış aldatmacasından sonra Change Healthcare’in çalınan verilerini de sızdırdı.
Daha yakın zamanlarda, Kuzey Amerika’nın en büyük ABD bağımlılık tedavisi sağlayıcısı Baymark Health Services’in ihlali olduğunu iddia etti. Baymark Health Services, 35 ABD eyaletinde ve üç Kanada eyaletinde 400’den fazla hizmet alanında günde 75.000’den fazla hastaya ilaç destekli tedavi (MAT) hizmetleri sunmaktadır.
FBI, Ransomhub iştiraklerinin Ağustos 2024’e kadar hükümet, kritik altyapı ve sağlık hizmetleri de dahil olmak üzere birçok kritik ABD altyapı sektöründen 200’den fazla kurbanı ihlal ettiğini söyledi.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.