Siber güvenlik araştırmacıları, Windows sistemlerine hızla yayılan Mamona olarak adlandırılan yeni keşfedilen bir emtia fidye yazılımı suşu hakkında alarm veriyor.
Geleneksel fidye yazılımlarının aksine, Mamona, özellikle mütevazi pencereler “ping” komutunu bir zamanlama mekanizması olarak kullanan benzersiz bir taktik seti kullanır ve tespit ve yanıtı daha zor hale getirerek tamamen çevrimdışı çalışır.
Emtia fidye yazılımı sahnesinde ortaya çıkıyor
Mamona, kötü amaçlı yazılım geliştiricilerinin yüksek profilli, organize fidye yazılımı (RAAS) kampanyaları yürütmek yerine herhangi bir operatöre sattığı genişleyen “Emtia Fidye Yazılımı” peyzaj sektörünün en son katılımcısıdır.
.png
)
Bu merkezi olmayan model, yeni varyantların neredeyse her gün görünmesiyle izlenmesi ve özniteliği daha zor olan kötü amaçlı yazılım suşlarıyla sonuçlandı.
İlk olarak Blacklock iştiraklerine bağlı kampanyalarda ve kötü şöhretli ambargo grubuna bağlantılarla Mamona’nın inşaatçısı yakın zamanda çevrimiçi sızdırıldı.
Tehdit aktörleri o zamandan beri fidye yazılımlarını fırsatçı saldırılara dağıttı ve Dragonforce Grubu, altyapısına bağlı hassas konfigürasyon dosyalarını bile almayı ve sızdırmayı başardı.
Çevrimdışı Operasyon, Yanlış Tehditler
Mamona’yı diğer fidye yazılımlarından ayıran şey, dış iletişim eksikliğidir. Analiz, komut ve kontrol (C2) kanalları, veri açığa çıkma ve hatta anlamlı internet bağlantıları olmadığını doğrular.
Fidye yazılımı, tüm şifreleme ve mantığı yerel olarak yürüterek “Sessiz Mod” da çalışır. Fidye notu mağdurları veri sızıntıları ve kamuya maruz kalma ile tehdit ederken, araştırmacılar bunu bir blöf-Mamona olarak buldular.
Mamona’nın saldırı dizisi, yürütmeyi geciktirmek ve davranışsal algılama sistemlerinden kaçınmak için basit ama etkili bir teknik olan alışılmadık geri döngü adresi 127.0.0.7’ye bir ping komutu kullanımı ile başlar.
Bunu takiben, kurbanın makinesinden kendi izlerini silmeyi amaçlayan CMD.EXE kullanarak bir kişisel aşınma rutini başlatır. Bu adımlar adli analizi ve olay tepkisini engellemek için tasarlanmıştır.
Kullanıcı dosyaları daha sonra özel mantık bypassing standart şifreleme kütüphaneleriyle şifrelenir ve “.haes” uzantısı ile yeniden adlandırılır.
Ransom notaları sistem boyunca dağılmıştır ve masaüstü duvar kağıdı saldırıyı işaret etmek için değiştirilir.
Yıkıcı etkisine rağmen, Mamona’nın tasarım seçimlerinin kurbanlar için istenmeyen faydaları var: Uzmanlar, dosyaları başarıyla geri yükleyebilen bir çalışma şifre çözme aracını keşfetti ve test etti.
Şifre çözme yardımcısı, görünüşte ilkel olmasına rağmen, yerel olarak uygulanan kriptografisinin sadeliği ve öngörülebilirliği sayesinde Mamona’nın şifrelemesini tersine çevirdiği gösterilmiştir.
Güvenlik uzmanları, Mamona’nın çevrimdışı operasyonunun geleneksel ağ monitörleri için görünmez olmasını ve temel Windows yardımcı programlarına olan güveninin meşru davranışı taklit ettiği konusunda uyarıyor.
Son noktalarda davranışsal analizin geliştirilmesini, sağlam çevrimdışı yedeklemeleri korumayı ve kullanıcıları fidye yazılımı tehditleri konusunda eğitmenizi önerirler.
Mamona’nın yükselişi, kolayca erişilebilir, inşaatçı tabanlı fidye yazılımlarının yarattığı büyüyen zorluğu vurgular.
Araç seti yayıldıkça, kuruluşlar teknik sadeliği gerçek dünyadaki etkiye zarar veren saldırılara karşı uyanık kalmalıdır.
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir