Rus Wagner Grubu – Yeni Fidye Yazılımı Varyantı

   Haziran 29, 2023  Posted in CyberSecurityNews


Yeni Fidye Yazılımı Varyantı Rus Wagner Grubu için kullanıcı toplayın

Yeni Fidye Yazılımı Varyantı Rus Wagner Grubu için kullanıcı toplayın. Son zamanlarda, Cyble Research and Intelligence Labs’deki (CRIL) siber güvenlik araştırmacıları, “Wagner” olarak adlandırılan Chaos fidye yazılımının bir çeşidi olan yeni bir fidye yazılımı belirlediler.

Analiz sırasında güvenlik analistleri, bu fidye yazılımından gelen fidye notunun para istemediğini, ancak kullanıcıları PMC Wagner’e katılmaya teşvik ettiğini keşfetti.

CSN

Fidye notu, şu anda 2012’den beri Rusya Savunma Bakanı olarak görev yapan önemli Rus politikacı ve askeri subay Shoigu’ya savaş çağrısı yapıyor.

Fidye Notunun İçeriği

Fidye notunun açılış cümlesi şöyle diyor: –

“Resmi Wagner PMC İstihdam Virüsü”

içerik
Wagner Fidye Notu (Kaynak- Cyble)

Fidye notu, WAGNER GROUP Telegram kanalının biyografi bölümü ayrıntılarıyla eşleşiyor. PMC Wagner olarak da adlandırılan Wagner Grubu, bir Rus paramiliter gücüdür.

Wagner
Wagner Group Telegram Kanalı (Kaynak- Cyble)

Rusya Devlet Başkanı Vladimir Putin’in eski bir müttefiki olan Yevgeny Prigozhin ile bağlantılı, fiili bir özel ordu olarak kabul edilen, paralı askerlerden oluşan özel bir askeri şirket.

Wagner grubu bu fidye yazılımının sorumluluğunu resmi olarak üstlenmedi ve bu varyantın suçlularını belirsiz bıraktı.

Siber güvenlik uzmanları, fidye notu Rusça yazıldığı için bu fidye yazılımı operatörlerinin esas olarak Rusya’da bulunan kurbanları hedef aldığını varsaydılar.

not defteri
Rusça bir fidye notu yazıldı (Kaynak – Cyble)

İşe Alım Yapan Fidye Yazılımı Varyantı

Windows için tasarlanmış 32 bitlik bir ikili dosya olan Wagner fidye yazılımı, operasyonlarını kontrol etmek için yürütüldükten sonra çeşitli değişkenleri etkinleştirir.

analiz
Dosya detayları (Kaynak – Cyble)

Fidye yazılımı, birden çok örneği önlemek için çalışan işlemleri kontrol eder ve GetProcesses() yöntemiyle elde edilen yinelenen bir işlem bulursa kendini sonlandırır.

kod
Tek Bir Örnek Çalıştırma (Kaynak – Cyble)

Fidye yazılımı ikili dosyası “checkSleep” bayrağını değerlendirir. Doğruysa, %APPDATA% klasöründen yürütmeyi onaylar; aksi takdirde Tehdit Aktörü tarafından yönlendirildiği şekilde uyku moduna girer.

Fidye yazılımı ikili dosyası, girişimi belirleyen “checkAdminPrivilage” ile tehdit aktörlerinin belirlenmiş bayrak değişkenlerini kullanarak Kalıcılık ve Ayrıcalık Yükseltmesi için çabalar.

Kalıcılık için, başlangıç ​​klasöründe “svchost.exe” olarak çoğalır, geçerli örneği sonlandırır ve kopyalanan dosyayı komut olarak çalıştır’ı kullanarak tekrar tekrar yükseltilmiş ayrıcalıklarla çalıştırmayı dener.

“checkAdminPrivilage” false olduğunda, fidye yazılımı kalıcılık için yalnızca ikili dosyasının başlangıç ​​klasörüne dahil edilip edilmeyeceğini belirlemek için “checkCopyRoaming”i inceler.

kod - 1
Kalıcılık ve Ayrıcalık Yükseltmesi (Kaynak – Cyble)

Ardından, fidye yazılımı sürücü türlerini getirmek için DriveInfo.GetDrives()’ı kullanır ve sürücülerdeki tüm dizinleri şifrelerken “C” sürücüsündeki belirli dizinleri hariç tutar.

C Drive’da Hedeflenen Dizinler

Aşağıda, C sürücüsünde hedeflenen tüm dizinlerden bahsetmiştik: –

  • Bağlantılar
  • Kişiler
  • İndirilenler
  • OneDrive
  • Kayıtlı Oyunlar
  • Favoriler
  • aramalar
  • videolar
  • C:\Kullanıcılar\Kullanıcı Adı\AppData\Roaming
  • C:\Kullanıcılar\Genel\Belgeler
  • C:\Kullanıcılar\Genel\Resimler
  • C:\Kullanıcılar\Genel\Müzik
  • C:\Kullanıcılar\Genel\Videolar
  • C:\Kullanıcılar\Genel\Masaüstü

Yaklaşık 200 MB’ın üzerindeki dosyalar için, Wagner fidye yazılımı, 200 MB ila 300 MB arasında değişen, farklı bir rasgele bayt kümesi oluşturur. Önceki duruma benzer şekilde, bu baytlar dosya içinde Base-64 biçiminde depolanır ve onları tamamen kullanılamaz hale getirir.

Fidye yazılımı, dosya şifreleme için benzersiz bir anahtar oluşturmak üzere AES algoritmasını kullanır. Dosyayı şifreledikten sonra fidye yazılımı, AES anahtarını şifrelemek için RSA algoritmasını kullanır.

“ ile çevrelenmiş şifreli anahtar” etiketleri ve Base64 kodlu RSA anahtarı dosya içinde kaydedilir. Wagner fidye yazılımı çıkarılabilir medya yoluyla yayılır ve DriveInfo.GetDrives() yoluyla mantıksal sürücüler hakkında bilgi toplar.

“C” sürücüsü hariç tüm sürücülerde kendisini “surprise.exe” olarak kopyalarken. Şifreleme sonrası, fidye yazılımı, yeniden adlandırılan dosyalara “.Wagner” uzantısını ekler. Şifrelenmiş dosyalar ve “Wagner.txt” fidye notu her dizinde bırakılır.

“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.tions

Aşağıda, Cyble’daki siber güvenlik araştırmacıları tarafından sunulan tüm önerilerden bahsetmiştik:-

  • Korsan yazılım indirmekten kaçındığınızdan emin olun.
  • Dosyaları indirmeden önce, kaynağın güvenilirliğinden ve gerçekliğinden emin olun.
  • Birden çok konumdaki veri yedeklemelerini güvenli hale getirin ve İş Sürekliliği Planlaması (BCP) oluşturun.
  • Kurumsal varlıklar üzerinde düzenli olarak denetimler, güvenlik açığı değerlendirmeleri ve sızma testleri gerçekleştirin.
  • Güvenli bir bağlantı için VPN kullandığınızdan emin olun.
  • Güvenlik farkındalığını artırmak ve ortaya çıkan tehditler hakkında onları bilgilendirmek için şirket çalışanlarını düzenli olarak eğittiğinizden emin olun.
  • Fidye yazılımı-kötü amaçlı yazılım davranışını analiz etmek, kötü amaçlı yükleri engellemek ve ciddi siber saldırılara karşı koymak için sağlam bir güvenlik çözümü kullandığınızdan emin olun.
  • Herhangi bir kripto para birimi işlemi gerçekleştirmeden önce, kopyala-yapıştır işlemi sırasında hataları önlemek için cüzdan adreslerini dikkatlice doğrulayın.
  • Gelişmiş koruma için cüzdan tohumlarını herhangi bir cihazda güvenli bir şekilde saklayın ve şifreleyin.

“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.



Source link