Sızan Babuk kodunu kullanan başka bir fidye yazılımı grubuna göz atıyoruz.
Uzun süredir yok olan fidye yazılımı grubu Babuk’un kemikleri, yeniden kullanılan kod biçiminde esintiyle sallanmaya devam ediyor. Cisco Talos’tan araştırmacılar, bu yeni ekibe, yalnızca geçen aydan beri faaliyette olan bir fidye yazılımı topluluğu olan “RA Grubu” adını verdiler.
Babuk, kolluk kuvvetleri verilerini sızdırmakla tehdit etti, rahatladı ve ardından şimdiye kadarki en tuhaf emeklilik sırasında fidye yazılımı oluşturucu aracını sızdırdı. Bu maskaralıklardan bazıları biraz komik gelse de, fidye yazılımının şakası yoktu. Babuk, Microsoft Exchange açıklarından yararlanmak gibi her türlü saldırıda ortaya çıktı. Babuk kodu, bu son gruptan önce, örneğin 2021’in sonundaki Rook fidye yazılımının temeli olarak yeniden kullanıldı.
Sızan oluşturucu, fidye yazılımı aleminde olanlar ve harekete geçmek isteyenler için çok yararlı olduğunu kanıtladı. Çok yönlülüğü ve göreceli kullanım kolaylığı, ne yazık ki, Babuk’un uzun bir süre fidye yazılımı geliştirmenin kenarlarında gizlendiğini görmemizi sağlıyor.
Babuk’tan en son faydalanıcımız olan RA Group’un halihazırda ABD ve Güney Kore’de bilinen dört tavizi var. Talos’a göre, diğer birçok fidye yazılımı türü gibi, saldırılar da çifte gasp taktiklerine dayanıyor. Burada hedef yalnızca şifrelenmiş, erişilemez dosyalarla sıkışıp kalmaz, aynı zamanda fidye ödenmezse çalınan verilerin sızdırılmasıyla da tehdit edilir.
Bu durumda RA Group, denenmiş ve test edilmiş sızıntı portalı tekniğine bağlı kalmaktadır. Gizli bilgilerin indirilmek üzere internete yayılmasını izlemek, kesinlikle bir işletmeyi ödeme yapmaya teşvik etmenin bir yolu ve etkili bir taktiktir. Talos, ana sızıntı sitesinin çeşitli kozmetik ayarlamalar ve değişikliklerden geçtiğini bildirerek, bunların gerçekten çok yeni olduğu izlenimini doğruluyor.
Sızıntı portalına düşecek kadar talihsizseniz, bilgileriniz şu şekilde düzenlenmiştir:
- Organizasyon Adı
- Çalınan verilerin listesi / dosya boyutu
- Kuruluş URL’si
Güvenliği ihlal edilmiş varlıklar için özelleştirilmiş fidye notları kullanılır ve ödeme yapmak veya verilerin kamuya açıklanma riskini almak için üç gün verilir. Üç günlük işarete ulaşıldığında, “örnek dosyalar” halka açılır. 7 gün sonra her şey halka açılır.
Fidye notunda çalınan verilerin bir listesi de bulunur, ki bu her zaman gördüğünüz bir şey değildir. İşin ciddiyetini göstermenin, güvenliği ihlal edilmiş her masaüstünde tedarikçi, vergi ve finans bilgilerine tam olarak ne yaptığınızı açıklamaktan daha iyi bir yolu yoktur. Talos, etkilenen kuruluşun yürütülebilir dosyanın kodunda da belirtildiğini belirtiyor.
Verileriniz sonunda satışa çıkarsa, aşağıdaki mesaj sonunda birçok uykusuz gece sağlayabilir:
Bu verileri satın almak istiyorsanız, lütfen qtox ile bizimle iletişime geçin.
qTox, özellikle de Hükümetinizin söylediklerinizi dinlemesini önlemek açısından, güvenli ve özel olarak faturalandırılan bir anlık mesajlaşma aracıdır. Kurbanlarla iletişim kurmak için anlık ileti kullanan fidye yazılımı grupları oldukça yaygındır ve bunu yapmak için genellikle güvenli araçlardan yararlanırlar.
Fidye yazılımından nasıl kaçınılır?
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde yamalamak için bir plan oluşturun; ve RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin.
- İzinsiz girişleri önleyin. Tehditleri, uç noktalarınıza sızmadan veya bulaşmadan erken durdurun. Fidye yazılımı dağıtmak için kullanılan açıkları ve kötü amaçlı yazılımları engelleyebilen uç nokta güvenlik yazılımını kullanın.
- İzinsiz girişleri tespit edin. Ağları bölümlere ayırarak ve ihtiyatlı bir şekilde erişim hakları atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı gerçekleşmeden önce olağandışı etkinliği algılamak için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını belirlemek için birden fazla farklı algılama tekniği ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımı geri dönüşü kullanan Malwarebytes EDR gibi Uç Nokta Tespiti ve Yanıtı yazılımını dağıtın.
- Tesis dışında, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri, saldırganların erişemeyeceği bir yerde, tesis dışında ve çevrimdışı tutun. Temel iş işlevlerini hızlı bir şekilde geri yükleyebildiğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğrama. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların tüm izlerini, kötü amaçlı yazılımlarını, araçlarını ve giriş yöntemlerini kaldırmalısınız.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmanızı engeller. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme alın.
ŞİMDİ DENE