Bilinmeyen bir tehdit aktörü, en az 4 Haziran 2023’ten beri İngilizce konuşulan ülkeler, Bulgaristan, Çin ve Vietnam’daki çeşitli varlıkları hedeflemek için Yashma fidye yazılımının bir varyantını kullanıyor.
Cisco Talos, yeni bir yazıda, operasyonu büyük olasılıkla Vietnam kökenli bir düşmana orta düzeyde bir güvenle bağladı.
Güvenlik araştırmacısı Chetan Raghuprasad, “Tehdit aktörü, fidye notunu teslim etmek için alışılmadık bir teknik kullanıyor” dedi. “Fidye notu dizelerini ikili dosyaya gömmek yerine, gömülü bir toplu iş dosyasını yürüterek aktör tarafından kontrol edilen GitHub deposundan fidye notunu indirirler.”
İlk olarak BlackBerry araştırma ve istihbarat ekibi tarafından Mayıs 2022’de açıklanan Yashma, Chaos adlı başka bir fidye yazılımı türünün yeniden markalandırılmış bir versiyonudur. Ortaya çıkmasından bir ay önce, Chaos fidye yazılımı oluşturucu vahşi ortamda sızdırıldı.
Fidye notunun dikkate değer bir yönü, muhtemelen tehdit aktörünün kimliğini gizlemek ve ilişkilendirme çabalarını karıştırmak amacıyla yapılmış, iyi bilinen WannaCry fidye yazılımına benzerliğidir. Notta ödemenin yapılacağı cüzdan adresi belirtilirken tutar belirtilmemiştir.
Açıklama, siber güvenlik şirketinin fidye yazılımı kaynak kodu ve oluşturucularının sızıntılarının yeni fidye yazılımı varyantlarının hızlanmasına yol açarak daha fazla saldırıya yol açtığını söylemesiyle geldi.
Şirket, “Fidye yazılımı oluşturucuları genellikle, kullanıcıların temel özellikleri seçmesine ve kaynak kodunu ifşa etmeden veya bir derleyicinin kurulu olmasına gerek kalmadan yürütülebilir yeni bir fidye yazılımı ikili çalıştırılabilir oluşturmak için yapılandırmaları özelleştirmesine olanak tanıyan bir kullanıcı arayüzüne sahiptir.”
“Bu tür oluşturucuların mevcudiyeti, acemi aktörlerin kendi özelleştirilmiş fidye yazılımı türevlerini oluşturmalarına olanak tanır.”
Gelişme aynı zamanda fidye yazılımı saldırılarındaki büyük artışı da takip ediyor; Malwarebytes geçen yıl ABD, Almanya, Fransa ve Birleşik Krallık’ta 1.900’e yakın olay kaydetti; saldırılarını artırmak için sıfır gün güvenlik açıkları.”
İlgili bir raporda Akamai, sıfır günlük ve bir günlük güvenlik açıklarının kullanımındaki artışın, geçen yılın aynı dönemine kıyasla 2023’ün ilk çeyreğinde fidye yazılımı kurbanlarının sayısında %143’lük bir artışla sonuçlandığını tespit etti.
Şirket, “Cl0p fidye yazılımı grubu agresif bir şekilde sıfır gün güvenlik açıkları geliştiriyor ve kurbanlarını yıldan yıla 9 kat artırıyor” dedi. “Birden fazla fidye yazılımı saldırısının kurbanlarının, ilk saldırıdan sonraki üç ay içinde ikinci saldırıyı yaşama olasılığı 6 kattan fazlaydı.”
Ancak, tehdit ortamının gelişiminin bir başka işareti olarak Trend Micro, savunmasız sistemlere uzaktan kumanda ile bulaşmak için BatCloak adlı tamamen saptanamayan (FUD) bir karartma motorunun yinelemesini kullanan bir TargetCompany (diğer adıyla Mallox veya Xollam) fidye yazılımı saldırısının ayrıntılarını açıkladı. Remcos RAT gibi truva atlarına erişin ve hedeflenen ağlarda gizli bir varlık sağlayın.
Şirket, “Daha sonra, Remcos RAT, hala bir FUD paketleyicisine sarılmış olan TargetCompany fidye yazılımını indirip dağıtırken son rutinine devam edecek” dedi.
“FUD kötü amaçlı yazılımının kullanımı, söz konusu taktik için mevcut çözümlerin çoğunu zaten sınırlandırıyor, hatta diğer saldırılara (sadece fidye yazılımlarına değil) karşı hassas olan kullanıma hazır teknolojiler için daha da fazla. Bu paketleyiciler muhtemelen geliştirilmekte olan tek grup olmayacak. yakın gelecekte.”