Fidye yazılımı operatörleri, kötü amaçlı yazılımları genellikle kendileri geliştirmek yerine karanlık web’den yaptıkları satın alımlar, grup üyelikleri ve sızdırılan kaynak kodları yoluyla edinirler.
Saldırıları yaygınlaştırmak için ortak araçlar ve değiştirilmiş örnekler kullanarak kurbanları hedef alırlar.
Kaspersky Lab’daki güvenlik analistlerinin son raporları, SEXi gibi yeni ortaya çıkan grupların, örneğin Windows (Lockbit tabanlı) ve Linux (Babuk tabanlı) işletim sistemleri için özel olarak tasarlanmış farklı sızdırılmış fidye yazılımı varyantlarını kullandığını öne sürüyor.
Sızdırılan Fidye Yazılımı Çeşitleri
SEXi, güncel olmayan yazılımlardaki güvenlik açıklarından yararlanarak, çoğunlukla desteklenmeyen ESXi sistemlerine odaklanıyor.
Bu grup, çok platformlu yaklaşımına rağmen geleneksel e-postalar veya sızıntı siteleri yerine bir oturum mesajlaşma uygulaması kullanması nedeniyle diğer fidye iletişim yöntemlerinden önemli ölçüde farklılaşıyor ve bu da muhtemelen basit bir operasyona işaret ediyor olabilir.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide
Key Group (diğer adıyla keygroup777) ve Mallox fidye yazılımı grupları, gelişen siber suç alanını temsil ediyor. Key Group, Nisan 2022’den beri aktif, sekiz çeşit fidye yazılımı kullanıyor ve TTP’lerini sürekli değiştiriyor.
Bunlardan farklı olan şey, kayıt defteri dosyalarını değiştirmekten, başlangıç klasörlerini kullanmaya kadar onları destekleyen mekanizmalardır.
Önemli bir nokta da Key Group’un, GitHub depoları ve Telegram gibi daha güvenli platformlar kullanan diğer Rusça konuşan tehdit aktörlerinin aksine Rusya’da faaliyet göstermesidir.
2021’de başlayan Mallox, buna farklı yaklaşıyor. 2022’de, hastaneler ve eğitim kurumları hariç, yıllık cirosu en az 10 milyon dolar olan kuruluşları hedefleyen Rusça konuşan ortaklar için özel olarak tasarlanmış bir ortaklık programı başlattılar.
Mallox’a bağlı şirketlerin sayısı 2023 ilkbahar ve sonbaharında 16’ya ulaşarak zirveye ulaştıktan sonra 2024’te sekize düştü.
Çok ünlü olmasa da Mallox’un bir sızıntı sitesi ve TOR’da barındırılan bir sunucu gibi bazı “Büyük Oyun Avı” özellikleri var.
Grup, iştiraklerinin kimlik numaralarına dayanarak ortakların davranışlarını gözlemleyebiliyor ve bu da fidye yazılımı saldırılarının ardındaki dinamikleri ve tehdit aktörleri arasındaki sürekli değişen bağlantıları analiz etmeye yardımcı oluyor.
Raporda, fidye yazılımı ortamının tüketicileri hedef alan profesyonel olmayan araçlardan, tüm kuruluşları etkileyen karmaşık “Büyük Hayvan Avı” operasyonlarına doğru evrildiği belirtiliyor.
Profesyonel fidye yazılımlarını elde etmek kolayken, amatörlerin büyük hedeflere başarılı saldırılar düzenlemesi zordur.
Buna karşılık, çoğu zaman profesyonellikten uzak görünürler ancak ortaklık planları nedeniyle veya odaklarını daralttıklarında etkilidirler.
Bu gelişmeler, büyük çaplı saldırılar gerçekleştirmenin karmaşık bir süreç olmasına rağmen, sızdırılan veya yayınlanan fidye yazılımı sürümlerinin kurumsal ortam ve bireysel kullanıcılar için giderek artan bir tehdit oluşturduğunu ortaya koyuyor.
IoC’ler
SEKS:-
4e39dcfb9913e475f04927e71f38733a
0a16620d09470573eeca244aa852bf70
Anahtar Grup:-
bc9b44d8e5eb1543a26c16c2d45f8ab7
acea7e35f8878aea046a7eb35d0b8330
Mallox:-
00dbdf13a6aa5b018c565f4d9dec3108
01d8365e026ac0c2b3b64be8da5798f2
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access