Bu hafta biraz fidye yazılımı haberleri olsa da, vurgulanan hikaye, Jon DiMaggio'nun fidye yazılım serisinde üçüncü makalesinin yayınlanmasıydı ve bu makalenin Lockbit Ransomware operasyonu üzerine odaklandı.
Bir süredir, Lockbit fidye yazılımı "endüstrisinin" tepesinde, genellikle operasyonun veri sızıntı sitesine göre kurban sayısında paketi yönetiyor.
Bununla birlikte, DiMaggio tarafından açıklandığı gibi, Lockbit işlemi kayıyor gibi görünüyor, çetenin çalınan verileri ve zorla kurbanları serbest bırakma yeteneğini etkileyen ciddi bir depolama altyapısı problemi var.
Tüm kurumsal hedefleme fidye yazılımı işlemleri gibi, saldırılar yaparken, tehdit aktörleri önce bir ağı ihlal eder ve daha sonraki gasp taleplerinde kullanılacak verileri sessizce hasat eder. Ancak tüm değerli veriler çalındıktan ve yedeklemeler silindikten sonra, tehdit aktörleri dosyaları şifrelemeye başlamak için fidye yazılımlarını dağıtır.
Bu çalınan veriler, fidye ödenmezse, kurbanları bir veri sızıntısı sitesinde yayınlayarak zorla kullanılırken kaldıraç olarak kullanılır.
Bununla birlikte, DiMaggio, Lockbit'in ciddi bir depolama sorunu olduğunu öğrendi, operasyonun uygun şekilde sızdırmasını önleyerek ve veri sızıntısı alanını gasp stratejilerinin bir parçası olarak kullanmak isteyen sinir bozucu bağlı kuruluşlar.
Araştırmacı raporunda, "Sızıntı bölgesinde propaganda ve suç forumlarında güçlü bir anlatı kullandı ve sık sık çalınan verileri yayınlayamayacağı gerçeğini gizlemek için."
"Bunun yerine, kurbanları ödemeye ikna etmek için boş tehditlere ve kamu itibarına güveniyor. Bir şekilde, bağlı ortaklar dışında hiç kimse fark etmedi. Bu sorun, arka uç altyapısındaki ve mevcut bant genişliğindeki sınırlamalardan kaynaklanıyor.
Daha da kötüsü, halka açık Lockbit temsilcisi Lockbitsupp, bir süre kayboldu, Tox'ta görünmüyor veya bağlı kuruluşlardan gelen soruları cevapladı.
Bu, iştiraklerin operasyonun tehlikeye atıldığı konusunda endişe duymasına neden oldu, bazıları DiMaggio'ya yeni fidye yazılımı operasyonlarına geçmeye başladıklarını söyledi.
Lockbit operasyonundaki bu kaos diğer güvenlik analistleri tarafından fark edilmedi, Allan Liska da operasyonun faaliyetinde keskin bir azalma olduğu konusunda uyarıyor.
Diğer fidye yazılım haberlerinde, bu derin dalışları yeni şifrelemeler üzerine yayınladıkları gördük:
Moveit veri hırsızlığı saldırıları dünya çapında kuruluşların yanında bir diken olmaya devam ediyor ve Colorado, bu saldırıların bir parçası olarak 4 milyon insanın verilerinin çalındığını söyledi.
Son olarak, yeni şövalye fidye yazılımını TripAdvisor şikayetleri olarak iten yeni bir kimlik avı kampanyası keşfedildi.
Katkıda bulunanlar ve bu hafta yeni fidye yazılımı bilgileri ve hikayeleri sunanlar şunları içerir: @Malwrhunterteam, @lawrenceAbrams, @fwosar, @BleEpincomputer, @Billtoulas, @Serghei, @seifreed, @DemonsLay335, @Jon__DImaggio, @Security_score, @m @TrendMicro, @Ibmsecurity, @Felixw3000, @uptycs, @bushidotoken, @Adlumin ve @Pcrisk.
Şövalye fidye yazılımı, TripAdvisor şikayetleri gibi davranan devam eden bir spam kampanyasında dağıtılıyor.
Monti fidye yazılımı çetesi, VMware ESXI sunucularını, yasal ve hükümet kuruluşlarını hedeflemek için yeni bir Linux dolabını kullanarak veri sızıntı sitelerinde iki aylık kurbanlardan sonra geri döndü.
Colorado Sağlık Bakım Politikası ve Finansmanı Dairesi (HCPF), kişisel ve sağlık bilgilerini etkileyen bir veri ihlali için dört milyondan fazla bireye bir kişiyi uyarıyor.
Yeraltı fidye yazılımı endüstriyel casus fidye yazılımının halefidir ve Storm-0978 adlı bir tehdit oyuncusu tarafından konuşlandırılmıştır. Kötü amaçlı yazılım bir hedef hizmeti durdurur, ses seviyesi kopyalarını siler ve tüm Windows olay günlüklerini temizler.
Pcrisk, .tasa ve .taoy uzantılarını ekleyen yeni Stop fidye yazılımı varyantları buldu.
Fidye yazılımı günlüklerinin bu cildinde, Lockbit'in örtbas etmeyi çok uğraştığı Lockbit Fidye Yazılımı işleminin ilginç, daha önce bilinmeyen ayrıntılarını paylaşacağım. Şimdiye kadar, Lockbit’in gerçek yeteneği hakkında yalan söylediniz. Bugün, size ceza programının gerçek mevcut durumunu göstereceğim ve Lockbit'in fark edilmeyen birkaç kritik operasyonel problemi olduğunu kanıt destekli analizle göstereceğim.
Pccrisk, .Allahuakbar uzantısını ekleyen yeni bir Stop fidye yazılımı varyantı buldu ve how_to_decrypt.txt adlı bir fidye notu bıraktı.
Pccrisk, .Retch uzantısını ekleyen yeni bir fidye yazılımı varyantı buldu ve fidye.txt'inizi nasıl kurtaracağınız adlı bir fidye notu bıraktı.
Siber suç tehdidi manzarasını dört yıldan fazla bir süredir günlük bazda izledikten sonra, artık bir şey beni şaşırtıyor. Ancak, şüpheli İngilizce konuşan büyük oyun avı siber suçlu grubunun son trend, takma ad altında Blackcat (veya ALPHV) olarak bilinen Rusça konuşan bir fidye yazılımı grubu ile bir araya gelerek, Grup-Ib tarafından Crowdstrike veya 0ktapus tarafından dağınık bir örümcek olarak izlendi. benim dikkatim.
Microsoft, Blackcat fidye yazılımının, Impacket Networking çerçevesini ve Remcom Hacking aracını yerleştiren yeni bir sürümünü keşfetti ve her ikisi de ihlal edilen bir ağa yanal olarak yayılmayı sağladı.
Adlumin Tehdit Araştırma Ekibi, sofistike oyun fidye yazılımı (PlayCrypt olarak da tanımlanmış) kullanan yoğun bir küresel kampanyayı ortaya çıkardı. Kampanya şu anda ABD, Avustralya, İngiltere ve İtalya'daki finans, yazılım, hukuk ve nakliye ve lojistik endüstrilerinin yanı sıra eyalet, yerel, kabile ve bölgesel (SLTT) varlıklarında orta piyasa işletmelerini hedefliyor. PlayCrypt Ransomware Group daha önce Mart 2023'te Oakland Şehri saldırısıyla bağlantılıydı.
Pccrisk, .Retch uzantısını ekleyen yeni bir fidye yazılımı varyantı buldu ve fidye.txt'inizi nasıl kurtaracağınız adlı bir fidye notu bıraktı.
Microsoft: Blackcat'ın Sfinx Ransomware Emmeds Impacket, Remcom
Monti Ransomware, yeni Linux Locker ile VMware ESXI sunucularını hedefler
Ransomware'de Hafta - 28 Temmuz 2023 - Yeni Fasar Taktikleri
Ransomware'de Hafta - 21 Temmuz 2023 - Avaddon Noescape olarak geri döndü
Ransomware'de Hafta - 30 Haziran 2023 - Yanlış Kimlik
Kaynak: Bleeping Computer