BlackSuit adlı yeni bir fidye yazılımı türünün Linux varyantının analizi, Royal adlı başka bir fidye yazılımı ailesiyle önemli benzerlikler gösterdi.
Linux makinelerini hedefleyen bir x64 VMware ESXi sürümünü inceleyen Trend Micro, Royal ve BlackSuit arasında “son derece yüksek derecede benzerlik” tespit ettiğini söyledi.
Trend Micro araştırmacıları, “Aslında, ikili dosyalar için bir karşılaştırma aracı olan BinDiff’e dayalı olarak, işlevlerde %98 benzerlik, bloklarda %99,5 benzerlik ve atlamalarda %98,9 benzerlikle neredeyse aynılar.”
Windows yapılarının karşılaştırılması, BinDiff’e dayalı olarak işlevlerde %93,2, temel bloklarda %99,3 ve atlamalarda %98,4 benzerlik belirledi.
Siyah takım elbise ilk gün ışığına çıktı Mayıs 2023’ün başlarında, Palo Alto Networks Unit 42, hem Windows hem de Linux ana bilgisayarlarını hedefleme yeteneğine dikkat çektiğinde.
Diğer fidye yazılımı gruplarıyla uyumlu olarak, parasal tazminat karşılığında güvenliği ihlal edilmiş bir ağdaki hassas verileri çalan ve şifreleyen bir çifte gasp planı yürütür. Tek bir kurbanla ilişkili veriler, karanlık web sızıntı sitesinde listelendi.
Trend Micro’nun en son bulguları, hem BlackSuit hem de Royal’in şifreleme için OpenSSL’nin AES’sini kullandığını ve şifreleme sürecini hızlandırmak için benzer aralıklı şifreleme tekniklerini kullandığını gösteriyor.
Çakışmalar bir yana, BlackSuit ek komut satırı argümanları içerir ve numaralandırma ve şifreleme sırasında belirli uzantılara sahip farklı bir dosya listesinden kaçınır.
“BlackSuit fidye yazılımının (Royal ile benzerlikleriyle) ortaya çıkışı, bunun ya aynı yazarlar tarafından geliştirilen yeni bir varyant, benzer kodu kullanan bir taklitçi ya da orijinal ailede değişiklikler uygulayan Royal fidye yazılımı çetesinin bir üyesi olduğunu gösteriyor. Trend Micro dedi.
Siber güvenlik şirketi, Royal’in eski Conti ekibinin bir kolu olduğu göz önüne alındığında, “BlackSuit’in orijinal Royal fidye yazılımı çetesi içindeki kıymık bir gruptan ortaya çıkması” da mümkündür.
Yeni tehdit aktörleri mevcut araçlarda ince ayar yapmak ve yasadışı kazançlar elde etmek için ortaya çıksa bile, gelişme bir kez daha fidye yazılımı ekosistemindeki sürekli değişim durumunun altını çiziyor.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
Oturuma Katılın
Buna, Cyble’ın operatörlerinin ve bağlı kuruluşlarının başarılı bir saldırının etkisini en üst düzeye çıkarmak için üçlü haraç yöntemlerinden yararlanmalarına izin verdiğini söylediği NoEscape kod adlı yeni bir hizmet olarak fidye yazılımı (RaaS) girişimi de dahildir.
Üçlü gasp, işlerini bozmak ve onları fidye ödemeye zorlamak amacıyla hedeflere yönelik veri hırsızlığı ve şifrelemenin dağıtılmış hizmet reddi (DDoS) saldırılarıyla birleştiği üç yönlü bir yaklaşımı ifade eder.
Cyble’a göre DDoS hizmeti, 500.000 $ ek ücret karşılığında sunuluyor ve operatörler, bağlı kuruluşların Bağımsız Devletler Topluluğu (CIS) ülkelerinde yerleşik grevci kuruluşlara ulaşmasını yasaklayan koşullar dayatıyor.