ABD’deki eğitim kuruluşlarının ağlarını ihlal etmek için ele geçirilen VPN kimlik bilgilerini kullanan ‘Fog’ adlı yeni bir fidye yazılımı operasyonu Mayıs 2024’ün başlarında başlatıldı.
Fog, fidye yazılımı operasyonunun henüz bir gasp portalı kurmadığını ve veri çaldığının gözlemlenmediğini bildiren Arctic Wolf Labs tarafından keşfedildi.
Ancak BleepingComputer, fidye yazılımı çetesinin çifte şantaj saldırıları için verileri çaldığını ve bu verileri mağdurları korkutarak ödeme yapmaları için korkutmak amacıyla kullandığını doğrulayabilir.
İlk erişim için VPN’ler
Fog’un operatörleri kurban ortamlarına en az iki farklı VPN ağ geçidi satıcısının güvenliği ihlal edilmiş VPN kimlik bilgilerini kullanarak erişti.
Artic Wolf Labs şöyle açıklıyor: “İncelenen vakaların her birinde, adli deliller, tehdit aktörlerinin ele geçirilen VPN kimlik bilgilerinden yararlanarak kurban ortamlarına erişebildiğini gösterdi.”
“Uzaktan erişim özellikle iki ayrı VPN ağ geçidi sağlayıcısı aracılığıyla gerçekleşti. Vakalarımızda belgelenen son tehdit faaliyeti 23 Mayıs 2024’te gerçekleşti.”
Saldırganlar, dahili ağa erişim sağladıktan sonra, Hyper-V çalıştıran Windows sunucularına RDP bağlantıları kurmak için kullanılan yönetici hesaplarına “karma geçişi” saldırıları gerçekleştiriyor.
Alternatif olarak, değerli hesapları ele geçirmek için kimlik bilgileri doldurma işlemi kullanılıyor ve ardından birden fazla ana bilgisayara PsExec dağıtımı yapılıyor.
Windows sunucularında Sis operatörleri, şifreleyicinin çalıştırılmasından önce kurbanı uyaran bildirimleri önlemek için Windows Defender’ı devre dışı bırakır.
Fidye yazılımı dağıtıldığında, çok iş parçacıklı bir şifreleme rutini için iş parçacıklarını tahsis etmek üzere mevcut mantıksal işlemcilerin sayısı gibi sistem hakkında bilgi toplamak için Windows API çağrıları gerçekleştirir.
Fidye yazılımı, şifrelemeye başlamadan önce, yapılandırmasındaki sabit kodlanmış bir listeye dayalı olarak bir işlem ve hizmet listesini sonlandırır.
Fidye yazılımı, Sanal Makine (VM) deposundaki VMDK dosyalarını şifreler ve kolay geri yüklemeyi önlemek için Veeam’deki nesne deposundaki ve Windows birim gölge kopyalarındaki yedekleri siler.
Şifrelenmiş dosyalara ‘ eklenir.SİS‘ veya ‘.FLOCKLU‘ uzantısı, ancak bu, JSON tabanlı yapılandırma bloğundan operatörün istediği herhangi bir şeye ayarlanabilir.
Son olarak, etkilenen dizinlere bir fidye notu oluşturulup bırakılıyor ve kurbanlara, dosyalarını geri almalarına yardımcı olacak bir şifre çözme anahtarının ödenmesi konusunda talimatlar veriliyor.
BleepingComputer tarafından görülen bir saldırıda fidye notunun adı şöyle: benioku.txt ve müzakere için kullanılan bir Tor karanlık web sitesine bir bağlantı içerir. Bu site, fidye yazılımı kurbanının tehdit aktörleriyle fidye talebi konusunda pazarlık yapmasına ve çalınan dosyaların listesini almasına olanak tanıyan temel bir sohbet arayüzüdür.
Kaynak: BleepingComputer
BleepingComputer ayrıca Tor müzakere sitesinin hem .FOG hem de .FLOCKED uzantıları için aynı olduğunu ve her iki uzantıyı kullanan saldırıların devam ettiğini doğrulayabilir.
BleepingComputer tarafından görülen bir saldırıda, fidye yazılımı çetesi yüz binlerce kişiden bir şifre çözücü alıp çalınan verileri silmesini talep etti. Ancak büyük şirketler için muhtemelen daha fazladır.
Arctic Wolf Labs, Fog’un bağlı kuruluşları kabul eden açık bir hizmet olarak fidye yazılımı (RaaS) olarak mı çalıştığını yoksa arkasında küçük bir özel siber suçlu çevresinin mi bulunduğunun şu anda belirsiz olduğunu söylüyor.