Son zamanlarda ortaya çıkan entropi ransomware'in analizi, bir bankacılık Truvası olarak başlayan Genel Amaçlı Drex Malware ile kod seviyesi benzerliklerini ortaya koymaktadır.
Farklı kuruluşlara karşı iki entropi fidye yazılımı saldırısı, araştırmacıların noktaları birbirine bağlamalarına ve iki kötü amaçlı yazılım arasında bir bağlantı kurmalarına izin verdi.
Bugün bir raporda, Sophos ana araştırmacı Andrew Brandt, entropi kötü amaçlı yazılımın daha derin incelemesinin, Drex'i yakalamak için oluşturulan bir algılama imzası tarafından istendiğini söylüyor.
Her iki mağdur kuruluşunda da korunmasız makineler vardı, ancak bitiş noktası korumasını yürüten sistemler, girişi korumak için paketleyici kodunu tespit ederek tetiklenen, imza Drex için paketleyici kodunu tanımlamak için olmasına rağmen, saldırıyı durdurdu.
Sophoslabs analistleri, entropinin davranışlarını gizlemek için dayandığı diğer alt rutinlerin bazılarının Drex'deki aynı işlevsellik için de benzer olduğunu buldu.
"Entropinin, ambalajlamanın ilk" katmanını "yaptığını belirleyen talimatlar, paketleyici koduna bakan analistin ve özellikle de LdroLoaddll adlı bir API'yi ifade eden kısmı - ve özellikle de alt routinin davranışını açıklayan bir kısmı dredex'e yeterince benzerdir. "Bir Drex V4Loader gibi" olarak ve onu 2018'den itibaren bir Drex örneği tarafından kullanılan benzer bir yükleyiciye kıyasla "
InfoSEC topluluğunda entropi fidye yazılımının, Doppelpaymer operasyonunun devamı olan bir keder (A.K.A. Ödeme veya Keder) Ransomware'in bir rebrand olduğu şüphelidir.
Bu şüpheler, bugünün raporundan, Sophos'tan gelen raporlarla daha güçlü büyür ve bu da Doppelpaymer Ransomware ile hedeflenen Sophos korumalı sistemlerde aynı paketleyici kodun tespit edildiğini belirtir.
DoppelPaymer, Drex Bankacılığının dağılımının arkasında bulunan Evilcorp çetesine (A.K.A. Indrik Örümcek) ile atfedilir.
Evilcorp üyeleri ve Grup ile ilişkili şirketler 2019 yılında ABD Hazine Daire Başkanlığı tarafından onaylanmıştır ve fidye yazılımı müzakere firmalarının para cezalarını ve yasal eylemleri önlemek için fidye ödemelerinin aracılık etmesini engellemesine neden olmuştur.
Evilcorp, fidye yazılımı operasyonlarını yeniden adlandırmaya karar verdi, bu yüzden yaptırımlar artık uygulanamadı. Kullanılan fidye yazılım adlarından bazıları WastedLocker, Hades ve Phoenix'dir.
Entropy Ransomware operasyonu, en az 2021'den bu yana, ihlal edilen ağlardan veri çalmaya başladı. Diğer Ransomware operasyonlarının tarzında, entropy grubu, ödeme yapmayan mağdurların adlarını yayınlamak için bir sızıntı alanı kurdu. Bu yazı itibariyle, site halka açık ve özel sektörde dokuz organizasyonu listeler.
Sophos'un analiz ettiği ilk saldırıda, tehdit aktör, Kuzey Amerika'daki bir medya kuruluşuna uzaktan erişim için Exchange Server'daki Proxyshell güvenlik açıklarını sömürdü ve Kobalt Strike Beacons'ı dağıttı.
Saldırganlar, entropy ransomware kullanarak bilgisayarları şifrelemeden önce dört aylık yanal hareket ettirerek ve verileri çaldılar.
İkinci saldırı, Drex Kötü amaçlı yazılımını, bölgesel bir hükümet kuruluşuna ait bir bilgisayarda konuşlandırdı. Drex daha sonra diğer sistemlere döndürmeyi sağlayan diğer kötü amaçlı yazılımlarda huni kullandı.
"Önemli bir şekilde, bu ikinci saldırıda, tek bir makinede şüpheli bir giriş denemesinin ilk tespiti ile veri exfiltration başlayan saldırganların ilk tespiti arasında sadece 75 saat geçti" - Sophos
Sophos, hedeflerin mevcut yamalar ve güncellemelerden yoksun olduğu için her iki saldırının da mümkün olduğunu belirtti. "
Makineleri güncel tutma ve çok faktörlü kimlik doğrulama (MFA), ilk erişimi saldırganlar için daha zor bir görevi yapar, araştırmacı notu.
Drex Omicron Kimlik Avı Cenaze Yardım Hattı Numarası ile Tutunur
Ukrayna'daki veri silme saldırılarında çömelme olarak kullanılan fidye yazılımı
Savunma müteahhitleri Stealthy SockdeBour pencerelerinin arka kapıdan çarptı
ABD ve İngiltere, çamurlu su hackerları tarafından kullanılan yeni kötü amaçlı yazılımları ortaya koyuyor
Kötü amaçlı yazılım, popüler oyunların klonları üzerinden Microsoft mağazasını sızar
Kaynak: Bleeping Computer