Volcano Demon grubunun, kamyon kiralama şirketi Idealease Inc.’i hedef alan LukaLocker adlı yeni bir fidye yazılımı yaydığı tespit edildi.
Kötü amaçlı yazılım, Trend Micro, Malware Bytes, Sophos ve McAfee gibi antivirüs yazılımları da dahil olmak üzere çeşitli güvenlik, izleme ve yedekleme hizmetlerini hedef alıyor.
Bunlardan herhangi biri makinede bulunursa, kötü amaçlı yazılım hizmeti devre dışı bırakır.
Son haftalarda Volcano Demon’un birkaç karlı siber suç saldırısı gerçekleştirdiği iddia edildi. Özellikle endüstriyel ve lojistik sektörlerini hedef alıyor.
Özellikle mağdur örgüt liderleri telefonla grup tarafından sindirilerek ödemeler için pazarlık ediliyor.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files
Saldırıda Tespit Edilen Davranışlar
Kötü amaçlı yazılım C++’da kodlanmıştır ve x64 ikili dosyası olarak sunulur. Yıkıcı yeteneklerini gizlemek için dinamik API çözümlemesi ve API gizlemesi kullanarak LukaLocker fidye yazılımı tespit, analiz ve tersine mühendislikten kaçınır.
Kötü amaçlı yazılım yürütüldüğünde açılan komut istemi penceresi, sonlandırmaya çalıştığı işlemlerin bir listesini görüntüler.
Bu işlem tamamlandıktan sonra sistem dosyaları şifreler ve dosya adlarına “.NBA” ekler. Daha sonra readme.txt dosyasını masaüstüne kaydeder.
“Kurumsal ağınız şifrelendi. Ve hepsi bu kadar değil – verilerinizin çoğunu inceledik ve indirdik, bunların çoğu gizli statüde”, fidye notunda yazıyor.
Bu durumda, fidye notu dosyaları geri almak için operatörle qTox şifreli sohbet istemcisi aracılığıyla konuşmanız gerektiğini belirtir. qTox adlı bir anlık sohbet uygulaması, hükümet gözetiminden kaçınmak için tasarlanmıştır.
“Çeşitli güvenlik, izleme ve yedekleme hizmetleri hedef alınıyor. Bunlara Malware Bytes, Sophos, McAfee ve Trend Micro gibi antivirüs yazılımları da dahildir”, diyor SonicWall tehditleri araştırma raporu.
“Bunlardan herhangi biri sistemde mevcutsa, hizmet zararlı yazılım tarafından devre dışı bırakılmış demektir”.
Volcano Demon operatörleri genellikle kurbanlarına ulaşmadan önce verilerini şifreler. Çete daha sonra kurbanlarına dosyalarının etkili bir şekilde tehlikeye atıldığını bir fidye notu bırakarak bildirir.
Bundan sonra saldırganlar kurbanlarını gasp planlarını başlatma isteklerine uymaya zorlamaya başlayacaktır. Bu tehdit aktörleri, kurbanları sorunu ele almazsa müşterilere ve ortaklara söylemekle ve daha fazla saldırı gerçekleştirmekle tehdit edecektir.
Aktörler ayrıca, sızdıkları kuruluşların uymaması halinde çalışanların ve müşterilerin verilerini dolandırıcılara satmakla tehdit edecekler.
Fidye yazılımı operatörleri taktiklerini değiştiriyor; son zamanlarda çok sayıda yeni tehdit aktörü ortaya çıktı ve farklı türdeki işletmeleri hedef almaya başladı.
Kötü niyetli kişilerin ağlara girmenin ve bilgi çalmanın yeni yollarını her zaman bulabilecekleri göz önüne alındığında, işletmelerin güvenlik protokollerini güçlendirmeleri gerekir.
“Sisteminiz Saldırı Altında mı? Cynet XDR’yi deneyin: Uç Noktalar, Ağlar ve Kullanıcılar için Otomatik Algılama ve Yanıt!” – Ücretsiz Demo