Snatch fidye yazılımı grubu, bir akıllı telefon oyun uygulaması üreticisi olan Saipress’ten çalınan verileri sızdırdı. İddia edilen Saipress veri sızıntısı, 17 Nisan’da Snatch’in sızıntı sitesi sayfasında yayınlandı.
İddia edilen veri ihlali olayı 21 Kasım 2022’de gerçekleşmiş olsa da şirket bunu henüz resmi olarak doğrulamadı.
Blogger.com’daki mağdur edilen web sitesi – www.saipress.com bu yazının yazıldığı sırada erişilebilir durumdaydı. Ancak oyunların indirilmesi sürekli olarak kesintiye uğradı.
Saipress veri sızıntısı iddiası
Bağımsız siber güvenlik analisti Dominic Alvieri, geçen yıl gerçekleştirilen veri sızıntısını doğruladı.
Saipress veri sızıntısı gönderisinde, iddia edilen Saipress veri sızıntısından sonra indirilmek üzere yüklenen 4 dosya vardı. Saipress oyun uygulaması üreticisine ait verilerin ekran görüntülerini içeriyordu.
Japonya’dan Saipress oyun yapma uygulaması Eylül 2012’de piyasaya sürüldü.
Web sitesindeki ‘Günlük Dosyaları’ bölümünde, “Günlük dosyaları tarafından toplanan bilgiler, internet protokolü (IP) adreslerini, tarayıcı türünü, İnternet Servis Sağlayıcısını (ISP), tarih ve zaman damgasını, yönlendiren/çıkış sayfalarını ve muhtemelen numarayı içerir. tıklama sayısı. Bunlar kişisel olarak tanımlanabilir herhangi bir bilgi ile bağlantılı değildir.”
Bölüm ayrıca, bilgilerin trendlerin analizi, kullanıcıların web sitesindeki hareketlerinin takip edilmesi ve demografik bilgilerin tutulması için kullanıldığını okur.
Aynı şey barındırma şirketi için de geçerli, web sitesi okudu. Black Jack Win, 5-Draw Poker Win, Contract Bridge Win ve Speed Win, Saipress tarafından başlatılan oyunlardan bazılarıdır.
Fidye yazılımı grubunu kapma
Snatch fidye yazılımı grubu, virüslü ana bilgisayarları Güvenli Mod’da yeniden başlatmaya zorlayarak tespit edilmekten kurtulur.
Yükü, fidye yazılımı ve veri hırsızlarından oluşur. Kuruluşlardaki savunmasız uygulamalara kaba kuvvet saldırıları uygularlar.
Snatch’in, hedeflenen cihazlarda dosyaları şifrelemeden önce güvenli modda yeniden başladığı bilinmektedir. Sistemler arasında yatay olarak hareket eder ve Windows Yönetim Araçları dosyaları olarak kamufle edilmiş kötü amaçlı dosyaları dağıttığı görülmüştür.
“Yedekleme sunucusuna RDP yaptılar, Windows Defender’ı kapattılar ve safe.exe’yi çalıştırdılar. Bunu, alandaki her makine için yaptılar ve 15 dakika içinde, DC’ler dahil tüm makinelere fidye verildi,” diyen The DFIR Report tarafından yapılan araştırma.
Safe.exe, Go dilinde yapılmıştır. Güvenli yürütülebilir dosya, fidye yazılımını başlatan 4 yarasa dosyasını çalıştırır.
Uzak Masaüstü Protokolü (RDP), masaüstü bilgisayarları uzaktan kontrol etmeye yardımcı olur. Ancak bu, geliştiriciler tarafından kullanıcıların cihazlarda karşılaştıkları sorunları çözmek için kullanılır. Bir fidye yazılımı olayında Snatch, şifrelenmiş dosyaların şifresini çözmek için 40.000 dolar talep etti.
Ancak kurbanlar, 15.000 dolardan daha az bir fiyata verilmesi için pazarlık yaptı.