Bir fidye yazılımı operasyonu, oyunun truva atlı sürümlerini yaymak için sahte bir web sitesi kullanarak Enlisted çok oyunculu birinci şahıs nişancı oyununun Rus oyuncularını hedefliyor.
Enlisted, Gaijin Entertainment tarafından 2021’de yayınlanan ve aylık 500.000 ile bir milyon arasında aktif oyuncuya sahip yasal bir oyundur.
Oyun ücretsizdir, bu nedenle tehdit aktörleri yükleyiciyi yayıncıdan kolayca indirebilir ve şüphelenmeyen kullanıcılara kötü amaçlı yükler dağıtmak için değiştirebilir.
Oyun yükleyiciyle birlikte gelen fidye yazılımı, şifrelenmiş dosyalarda ‘.wncry’ dosya uzantısını kullanıyor olsa bile, kötü şöhretli WannaCry’ın üçüncü büyük sürümü gibi görünüyor.
Fidye yazılımına alındı
Cyble’ın suşu analiz eden araştırmacılarına göre, bu yeni “WannaCry” varyantı, elbette eğitim amaçlı yapılmış açık kaynaklı “Crypter” Python dolabına dayanıyor.
Bunun, muhtemelen kurbanların gözünü korkutmak ve hızlı bir fidye ödemesi almak için birisinin WannaCry’ı taklit etmeye çalıştığı ilk sefer değil.
Sahte web sitesinden indirilen yükleyici “enlisted_beta-v1.0.3.115.exe”dir ve çalıştırıldığında kullanıcının diskine “ENLIST~1” (gerçek oyun) ve “enlisted” (Python) adlı iki yürütülebilir dosya bırakır. fidye yazılımı başlatıcısı).
Fidye yazılımı, virüslü bilgisayarda birden çok çalışan örneği önlemek için başlatma sırasında bir muteks oluşturur.
Ardından, hangi dosya türlerinin hedeflendiğini, hangi dizinlerin atlanması gerektiğini, hangi fidye notunun oluşturulacağını, hangi cüzdan adresinin fidyeyi alacağını ve diğer saldırı parametrelerini belirleyen JSON yapılandırma dosyasını ayrıştırır.
Ardından, Crypter fidye yazılımı, şifreleme adımında kullanılacak bir “key.txt” dosyası için çalışma dizinini tarar ve yoksa, onu oluşturur.
Şifreleme, AES-256 algoritmasını kullanır ve tüm kilitli dosyalar “.wncry” dosya adı uzantısını alır.
İlginç bir şekilde, fidye yazılımı, modern kilitli dolaplarda standart bir uygulama olan işlemleri sonlandırmaya veya hizmetleri durdurmaya çalışmaz.
Ancak, kolay veri geri yüklemesini önlemek için Windows’tan gölge kopyaları silme ortak stratejisini izler.
Şifreleme işlemi tamamlandıktan sonra, fidye yazılımı fidye notunu özel bir GUI uygulamasında görüntüleyerek kurbana taleplere yanıt vermesi için üç gün verir.
Tehdit aktörleri ayrıca kurbanın antivirüs yazılımı GUI tabanlı fidye notunun başlatılmasını engellese bile mesajının iletilmesini sağlamak için kurbanın arka plan görüntüsünü değiştirir.
Saldırganlar bir Tor sitesi kullanmıyor veya kurbanlara güvenli bir sohbet bağlantısı sağlamıyor, bunun yerine iletişim için bir Telegram botu kullanıyor.
Rusya’daki popüler FPS oyunlarına yönelik ulusal yasaklar, yerel oyuncuları eğlence için başka yerlere bakmaya zorladı ve Enlisted, keşfedilen alternatiflerden biri.
Görünüşe göre tehdit aktörleri bu fırsatı değerlendirmişler ve benzer oyunlar için Rusya yerelleştirmesiyle başka sahte siteler oluşturmaları pek olası değil.