Volcano Demon adı verilen yeni bir kötü amaçlı yazılımın, Windows iş istasyonlarını ve sunucularını hedef aldığı ve ağdan yönetici kimlik bilgilerini elde ettiği gözlemlendi.
Tehdit aktörü, bir sızıntı sitesi kurmuyor ve bunun yerine BT ve liderlikteki yöneticilere telefon ederek para talep ediyor.
Kimliği belirsiz numaralardan gelen aramalar tehdit edici bir ton ve beklentiyi yansıtabilir.
Mağdur Dosyalarının Şifrelenmesi
LukaLocker olarak adlandırılan bu virüsün, kurban dosyalarını .nba dosya uzantısıyla şifrelediği tespit edildi. Halcyon araştırmacılarının incelediği LukaLocker örneği 15 Haziran 2024’te bulundu.
Fidye yazılımı C++ dilinde geliştirilmiş ve x64 PE ikili dosyası olarak derlenmiş.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo
LukaLocker fidye yazılımı, dinamik API çözümlemesi ve API gizlemesi kullanarak yıkıcı işlevlerini gizleyerek tespit edilmekten, analiz edilmekten ve tersine mühendislikten kaçınıyor.
Korsanlar, telefon görüşmesi yapmadan önce kurbanların dosyalarını şifrelemek için LukaLocker fidye yazılımını kullandılar ve bir fidye notu bıraktılar.
Fidye notunda, “Kurumsal ağınız şifrelendi… Verilerinizin çoğunu inceledik ve indirdik, birçoğu gizli statüde” ifadesi yer alıyor.
“Bu olayı görmezden gelirseniz, müşterilerinizin ve ortaklarınızın her şeyi bilmesini sağlayacağız ve saldırılar devam edecek. Verilerin bir kısmı müşterilerinize ve çalışanlarınıza saldıracak dolandırıcılara satılacak”.
Kurbanın ağında ayrıca LukaLocker’ın Linux versiyonu da tespit edildi.
Volcano Demon, ağdan aldığı paylaşımlı yönetici kimlik bilgilerini kullanarak hem Windows masaüstlerini hem de sunucularını başarıyla kilitledi.
Saldırı öncesinde veriler çalındı ve çift gasp yönteminin kullanılması için C2 servislerine gönderildi.
Araştırmacılara göre, her iki durumda da olaydan önce sınırlı kurban kaydı ve izleme çözümleri konuşlandırılmış ve günlükler istismardan önce kaldırılmıştır. Sonuç olarak, kapsamlı bir adli inceleme mümkün olmamıştır.
Volcano Demon’un bilinen bir fidye yazılımı örgütünün parçası olup olmadığı henüz bilinmiyor.
Fidye yazılımı operatörleri hala evrim geçiriyor; son zamanlarda çok çeşitli işletmelere odaklanan bir dizi yeni tehdit aktörü ortaya çıktı.
Bireye veya kuruluşa fidye ödemek asla akıllıca bir karar değildir. Bu nedenle, kuruluşlar fidye ödemekten kaçınmalıdır çünkü bu, dahil olanların etraflarındakilere zarar vermesini teşvik eder.
Uzlaşmanın Göstergeleri
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files