Windows, Linux ve ESXi Sistemlerine Saldıran Canavar Fidye Yazılımı


Windows, Linux ve ESXi Sistemlerine Saldıran Canavar Fidye Yazılımı

Fidye yazılımı grupları, kurbanların verilerini şifrelemek için kötü amaçlı yazılım dağıtan ve bu verilerin bir “fidye” ödenene kadar erişilemez hale getirilmesine yardımcı olan siber suç örgütleridir. Fidye yazılımı olaylarındaki artış dünya çapındaki kuruluşları önemli ölçüde etkiledi.

Cybereason’daki siber güvenlik araştırmacıları yakın zamanda Windows, Linux ve ESXi sistemlerine aktif olarak saldıran Beast fidye yazılımını keşfetti.

Hizmet Olarak SIEM

Beast Ransomware grubu 2022’den beri faaliyet gösteriyor ve o zamandan beri bu grup, kötü amaçlı yazılımlarını birden fazla işletim sistemini hedef alacak şekilde sürekli olarak geliştirdi. Başlangıçta bu karmaşık fidye yazılımı Delphi’de geliştirildi. Şimdi C ve Go’da geliştirildi.

Canavar Fidye Yazılımı

Bu fidye yazılımı “eliptik eğri” ve “ChaCha20” şifrelemesinin bir kombinasyonunu kullanıyor. “Çok iş parçacıklı dosya şifreleme”, “işlem sonlandırma” ve “Windows sistemlerinde gölge kopya silme” özelliklerine sahiptir.

Join ANY.RUN's FREE webinar on How to Improve Threat Investigations on Oct 23 - Register Here 

“Linux” ve “ESXi” sürümleri “özelleştirilebilir şifreleme yolları” ve “VM kapatma seçenekleri” sunar. Beast, bir “BURADA CANAVAR mı?” birden fazla örneği önlemek için mutex ve “BDT ülkelerinde” verilerin şifrelenmesini önler.

“Kimlik avı e-postaları”, “güvenliği ihlal edilmiş RDP uç noktaları” ve “KOBİ ağ taramaları” yoluyla yayılır. Cybereason raporuna göre fidye yazılımı, şifrelemeden önce dosya erişimini değiştirmek için “RstrtMgr.dll”yi (Yeniden Başlatma Yöneticisi) kullanıyor.

Son güncellemeler arasında Windows, NAS ve ESXi yapılarını yapılandırmak için bir “çevrimdışı oluşturucu” yer alıyor; bu da grubun siber suç ekosistemindeki pazar taleplerine uyum sağlama yeteneğini gösteriyor.

Beast Ransomware’in hedeflediği hizmetler (Kaynak – Cybereason)

Beast Ransomware saldırısına, onları tanımlamak için “Windows Yönetim Araçları” (‘WMI’) sorgusu “Select * FROM Win32_ShadowCopy”yi ve ardından bunları kaldırmak için “IWbemServices::DeleteInstance” yöntemini kullanarak “Gölge Kopyaları silerek” başlar.

Daha sonra, bir ana iş parçacığının birden fazla dosyanın eşzamanlı şifrelenmesine izin vererek dosyaları alt iş parçacıklarına atadığı verimli dosya şifrelemesi için çoklu iş parçacığı kullanır.

Bu fidye yazılımı, “belgeler”, “resimler”, “videolar” ve “tüm bağlı ağ cihazlarındaki veritabanları” dahil olmak üzere çok çeşitli dosya formatlarını hedefler.

Beast, saldırganların şifre çözme anahtarı olmadan dosyaları erişilemez hale getirmek için güçlü şifreleme algoritmaları kullanıyor.

Fidye Notu (Kaynak – Cybereason)

“Şifreleme işlemi” sırasında, kötü amaçlı yazılımın “gömülü ayarlarından” çıkarılan, etkilenen her dizine kodu çözülmüş bir “README.txt” fidye notu yerleştirir.

Bunun yanı sıra kullanıcılar, şifreleme sırasında “ALT+CTRL” tuşlarına basıp “666” yazarak “Canavar”ın “GUI”sine erişebilirler.

Bu kapsamlı yaklaşım, “saldırı” ve “verimlilik” etkisini en üst düzeye çıkarmak için “gölge kopya silme”, ​​”çok iş parçacıklı şifreleme” ve “stratejik fidye notu yerleştirme”yi birleştirir.

Öneriler

Aşağıda tüm önerilerden bahsettik: –

  • Fidye yazılımı öncesi belirtiler için Beast bağlı kuruluşunu takip edin.
  • MFA’yı ve düzeltme ekini tanıtın.
  • Kötü Amaçlı Yazılımdan Korumayı Etkinleştirin (Önleme/Karantinaya Alma).
  • Fidye Yazılımından Korumayı, gölge kopya korumasını ve Uygulama Denetimini etkinleştirin.
  • Sistemleri yamalı tutun.
  • Dosyaları düzenli olarak yedekleyin.
  • Değişken Yük Önlemeyi etkinleştirin.

Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Watch Here



Source link