8Base Group, SmokeLoader Aracılığıyla Yeni Phobos Fidye Yazılımı Varyantını Dağıtıyor - Dünyadan Güncel Teknoloji Haberleri

8Base Group, SmokeLoader Aracılığıyla Yeni Phobos Fidye Yazılımı Varyantını Dağıtıyor - Dünyadan Güncel Teknoloji Haberleri
fidye yazılımının uzantı engelleme listeleri günler, DataBreaches ” diye açıkladı ”

Gelişme FalconFeeds olarak geliyor açıklandı Bir tehdit aktörünün, C dilinde geliştirilen ve “sanal makinelere ve hata ayıklama araçlarına karşı güçlü anti-algılama önlemleri” içeren UBUD adlı gelişmiş bir fidye yazılımı ürününün reklamını yaptığı iddia edildi

“Bu emtia yükleyici, konuşlandırıldığında genellikle ek yükleri bırakıyor veya indiriyor

Finansal yazılım şirketi, 10 Kasım’da bir siber saldırıda hedef alındığını doğruladı ancak sistemlerine yetkisiz erişime dair hiçbir kanıt bulamadığını belirtti

“Pek çok Phobos örneğinde bulunan uzantı blok listeleri […] önceki Phobos kampanyalarında kilitlenen yeni dosyalarla sürekli olarak güncellenir detaylı rapor Analist1’den ”

8Base, siber güvenlik topluluğu tarafından faaliyetlerde benzer bir artışın gözlemlendiği 2023 yılının ortalarında keskin bir şekilde odak noktasına geldi Ancak 8Base kampanyalarında, şifrelenmiş yüklerine fidye yazılımı bileşeni yerleştirilmiş ve bu bileşen daha sonra şifresi çözülerek SmokeLoader işleminin belleğine yükleniyor

Güvenlik araştırmacısı Guilherme Venere kapsamlı bir açıklamasında, “Grubun Phobos çeşitlerinin çoğu, bir arka kapı truva atı olan SmokeLoader tarafından dağıtılıyor” dedi net rapor edildi

SEC’in ifşa kuralları önümüzdeki ay olan 18 Aralık’a kadar yürürlüğe girmeyecek olsa da, olağandışı baskı taktiği, tehdit aktörlerinin alanı yakından izlediğinin ve hükümet düzenlemelerini kendi yararlarına esnetmeye ve kurbanları ödemeye zorlamaya istekli olduklarının bir işareti

Bulgular, siber suçluların gerçekleştirdiği faaliyetlerde artış kaydeden Cisco Talos’tan geliyor “Bu, fidye yazılımının yapılandırma ayarlarındaki dosya uzantısı engelleme listesine dayanmaktadır ”

Phobosİlk kez 2019’da ortaya çıkan fidye yazılımı, Dharma (aka Crysis) fidye yazılımının bir evrimidir ve VirusTotal’da ortaya çıkarılan eserlerin hacmine bağlı olarak, fidye yazılımı ağırlıklı olarak Eking, Eight, Elbie, Devos ve Faust varyantları olarak ortaya çıkmaktadır

Dikkate değer bir diğer özellik ise, şifreleme sürecini hızlandırmak için 1,5 MB’ın altındaki dosyaların tam olarak şifrelenmesi ve eşiğin üzerindeki dosyaların kısmi olarak şifrelenmesidir ”

Cisco Talos, Phobos’un merkezi bir otorite tarafından yakından yönetildiğini, aynı RSA genel anahtarına, iletişim e-postalarındaki farklılıklara ve düzenli güncellemelere dayalı olarak diğer bağlı kuruluşlara hizmet olarak fidye yazılımı (RaaS) olarak satıldığını değerlendiriyor Yapılandırma, Kullanıcı Hesabı Denetimi gibi ek özelliklerin kilidini açar (UAC) kurbanın enfeksiyonunu atlamak ve harici bir URL’ye raporlamak 8base” dosya uzantısı kullanılarak bulunan bir Phobos fidye yazılımı örneğini de ortaya çıkardı

Bu arada bir başka üretken fidye yazılımı çetesi LockBit, Ekim 2023’ten itibaren, beklenenden daha az anlaşmalar yapılmasını ve “bağlı kuruluşların farklı deneyim düzeyleri” nedeniyle mağdurlara sunulan daha büyük indirimleri gerekçe göstererek yeni müzakere kuralları belirledi

VMware Carbon Black’in Haziran 2023’te yaptığı önceki bir analiz, 8Base ile RansomHouse arasında paralellikler tespit etmenin yanı sıra, şifrelenmiş dosyalar için “ Bu, inşaatçının arkasında geçmişte Phobos’u kimin kullandığının izini süren merkezi bir otoritenin olduğu fikrini destekleyebilir

Venere, “Örneklerin tümü aynı kaynak kodunu içeriyordu ve bağlı diğer Phobos’un zaten kilitlediği dosyaların şifrelenmesini önleyecek şekilde yapılandırılmıştı, ancak yapılandırma, konuşlandırılan değişkene bağlı olarak biraz değişti ”





siber-2

Talos, bunun fidye yazılımı tarafından kilitlenen dosyaların şifresinin çözülmesine yardımcı olabileceğini söyledi En azından Mart 2022’den beri aktif olduğu söyleniyor iki parçalı analiz Cuma yayınlandı

LockBit operatörleri, “Şirketin yıllık gelirine bağlı olarak örneğin yüzde 3 gibi bir minimum fidye talebi belirleyin ve yüzde 50’den fazla indirimleri yasaklayın” dedi


Arkasındaki tehdit aktörleri 8Base fidye yazılımı Mali amaçlı saldırılarını gerçekleştirmek için Phobos fidye yazılımının bir çeşidinden yararlanıyorlar

Venere, “Uzatma engelleme listeleri, zaman içinde aynı temel örneği hangi grupların kullandığına dair bir hikaye anlatıyor gibi görünüyor” dedi Amaç, Phobos’a bağlı kuruluşların birbirlerinin operasyonlarına müdahale etmesini önlemek olabilir ” dedi

Ayrıca şifrelemede kullanılan dosya başına AES anahtarını korumak için kullanılan sabit kodlu bir RSA anahtarı da mevcut

Bununla birlikte, yaptırımın yalnızca şirketlerin saldırıların kârlılıkları üzerinde “maddi” bir etki yarattığını tespit ettiği durumlarda geçerli olduğunu belirtmekte fayda var

Cisco Talos’un en son bulguları, SmokeLoader’ın, Phobos yüküdaha sonra kalıcılığı sağlamak, hedef dosyaları açık tutabilecek işlemleri sonlandırmak, sistem kurtarmayı devre dışı bırakmak ve yedeklerin yanı sıra gölge kopyaları silmek için gerekli adımları gerçekleştirir

Bu aynı zamanda BlackCat fidye yazılımı grubunun ABD Menkul Kıymetler ve Borsa Komisyonu’na (SEC) kurbanlarından biri olan MeridianLink’in, etkilenen şirketlerin olayı dört iş günü içinde bildirmelerini gerektiren yeni ifşa düzenlemelerine uymadığını iddia eden resmi bir şikayetin ardından geldi

“Ancak bu, özel RSA anahtarı bilindiğinde, 2019’dan bu yana herhangi bir Phobos varyantı tarafından şifrelenen herhangi bir dosyanın şifresinin güvenilir bir şekilde çözülebileceği anlamına geliyor

Bu, 8Base’in ya Phobos’un halefi olduğu ya da operasyonun arkasındaki tehdit aktörlerinin, Vice Society fidye yazılımı grubuna benzer şekilde saldırılarını gerçekleştirmek için yalnızca mevcut fidye yazılımı türlerini kullandıkları olasılığını artırdı

Ayrıca yapı, sabit kodlanmış bir anahtar kullanılarak şifrelenen 70’in üzerinde seçeneğe sahip bir yapılandırmayı içerir

“Bu nedenle, şirketin geliri 100 milyon ABD Doları ise, ilk fidye talebi 3 milyon ABD Dolarından başlamalı ve nihai ödeme 1,5 milyon ABD Dolarından az olmamalıdır

Venere, “Her dosya şifrelendikten sonra, şifrelemede kullanılan anahtar ve ek meta veriler, sabit kodlu bir genel anahtarla RSA-1024 kullanılarak şifreleniyor ve dosyanın sonuna kaydediliyor