Snatch Ransomware Grubu Konum ve Dahili Verileri Sızdırdı

Snatch Ransomware grubu, gelişmiş teknikleri ve tespitten kaçma yeteneği nedeniyle tehlikeli olarak kabul ediliyor.

Güvenlik sistemleri, tespit edilmekten kaçınmak için dosya şifreleme ve bellek enjeksiyonu gibi teknikler kullandıklarından bu tür saldırıları tespit etmekte ve durdurmakta zorluk çekmektedir.

Son zamanlarda KrebsOnSecurity’deki siber güvenlik analistleri, Snatch fidye yazılımı grubunun kurbanları utandıran sitesinin konumunu, operasyonlarını ve ziyaretçi IP adreslerini açığa çıkardığını ve kötü amaçlı yazılım dağıtımı için Google reklamlarını kullandığını keşfetti.

Snatch Verileri Açığa Çıkarıyor

Kötü amaçlı yazılım dağıtımı sırasında, kötü amaçlı yazılım, aşağıdaki gibi ücretsiz popüler yazılımlar olarak gizlendi:

2018’den bu yana görülen Snatch fidye yazılımı, Tor aracılığıyla hem açık hem de karanlık ağ sitelerindeki ödeme yapmayan kurbanlardan veri sızdırıyor. Snatch’in darknet sitesi, ‘sunucu durumu’ sayfasında kullanıcı IP adreslerini gösteriyor.

Snatch’in darknet sitesi, başta net web alan adlarını barındıran Rus IP adresleri olmak üzere binlerce ziyaretçinin ilgisini çekiyor.

Fidye Yazılımını Yakala Veriye Maruz Kalma

En aktif IP, 193.108.114[.]Rusya’nın Yekaterinburg kentindeki 41, çeşitli Snatch alan adlarına ev sahipliği yapıyor. Başka bir sık ​​kullanılan IP, 194.168.175[.]Matrix Telekom ile 226, aynı zamanda aşağıdaki gibi markalar için Snatch alan adlarına ve kimlik avı sitelerine de ev sahipliği yapıyor:

IP 80.66.64[.]Moskova’daki 15 kişi, Snatch’in darknet sitesine sık sık erişiyor ve benzer görünümlü alan adlarını barındırıyordu. Bu alan adları, kötü amaçlı Google reklamlarından gelen kimlik avı alan adlarıyla bağlantılı bir isim olan Mihail Kolesnikov’a kayıtlıydı.

Muhtemelen 1.300’den fazla alan adıyla ilişkilendirilen bir takma ad olan Kolesnikov’un ABD şehirlerinde bazı reklam eskort hizmetlerine sahip olması, fidye yazılımı kurbanlarının kaynak bulmasıyla ilgili soruları gündeme getiriyor.

Mihail Kolesnikov yönetimindeki yeni kimlik avı alanları, büyük yazılım şirketlerini taklit ediyor. Trustwave Spiderlabs, Ağustos 2023’te Kolesnikov’un alan adlarının Rilide truva atını dağıttığını buldu.

Spamhaus’un Şubat 2023’te uyardığı gibi, birden fazla grup bu alan adlarını kimlik avı ve bilgi hırsızlığı yapan kötü amaçlı yazılımları yaymak için kullanabilir.

Google’da Microsoft Teams’i arayan mağdurlar, en üstte sahte reklamlar gördü ve bu da Kolesnikov’a kayıtlı kötü amaçlı bir alan adına yol açtı. Tarayıcı şifrelerini ve belirteçlerini çalmasıyla bilinen IcedID kötü amaçlı yazılımını indiren reklama tıkladığınızda.

Siber suçlular, karanlık ağda “kötü amaçlı reklamcılığı bir hizmet olarak” sunabilir, yazılım temalı kimlik avı alanları oluşturup başkalarına satabilir.

KrebsOnSecurity’i Snatch’in açığa çıkan ‘sunucu durumu’ sayfası konusunda uyaran araştırmacı @htmalgae, aynı zamanda 8Base fidye yazılımı çetesinin geliştirme modu kurban utandırma sitesini de keşfetti.

8Base fidye yazılımı çetesinin gözetimi, Rus sitesini ve Moldovalı bir programcının kimliğini açığa çıkardı. İronik bir şekilde, veri koruması adına başkalarını utandıran bir grup, kendi verilerini korumayı başaramadı.

Kötü amaçlı yazılım Windows’u hedef alıyor ancak Mac tabanlı bir truva atı olan AtomicStealer’ın reklamı benzer etki alanları ve kötü amaçlı Google reklamları aracılığıyla yapılıyor.

Güvenlik analistleri, özellikle kırık yazılımlar ve arama sonuçları gibi görünen hileli reklamlar konusunda dikkatli olmaya çağırdı.

Sadece bu da değil, herhangi bir şeyi indirmeden veya yüklemeden önce web sitesinin meşruluğunu doğruladığınızdan emin olmanızı da tavsiye ettiler.

850’den fazla üçüncü taraf uygulamaya hızla yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.