Araştırmacılar, yükleri teslim etmek ve yürütmek için özel bir kabuk komut dosyası kullanarak VMware ESXI ortamlarını hedefleyen TargetCompany fidye yazılım ailesinin yeni bir Linux varyantını gözlemlediler.
Mallox, Fargo ve Tohnichi olarak da bilinen TargetCompany fidye yazılımı operasyonu Haziran 2021'de ortaya çıktı ve çoğunlukla Tayvan, Güney Kore, Tayland ve Hindistan'daki kuruluşlara karşı veritabanı saldırılarına (MySQL, Oracle, SQL Server) odaklanıyor.
Şubat 2022'de, antivirüs firması Avast, o tarihe kadar piyasaya sürülen varyantları kapsayan ücretsiz bir şifre çözme aracının kullanılabilirliğini duyurdu. Ancak Eylül ayına kadar çete, savunmasız Microsoft SQL sunucularını hedefleyen düzenli etkinliğe geri döndü ve kurbanları telgraf üzerinde çalıntı verileri sızdıran tehdit etti.
Bugün bir raporda, Siber Güvenlik Şirketi Trend Micro, TargetCompany fidye yazılımları için yeni Linux varyantının kötü amaçlı rutini sürdürmeden önce idari ayrıcalıklara sahip olmasını sağladığını söylüyor.
Fidye yazılımı yükünü indirmek ve yürütmek için, tehdit oyuncusu, makineyle ilgili teknik sorunlar durumunda veya tehlikeye girmesi durumunda, verileri iki ayrı sunucuya da ekleyebilen özel bir komut dosyası kullanır.
Hedef sistemde bir kez, yük, "uname" komutunu yürüterek ve "vmkernel" arayarak bir VMware ESXI ortamında çalışıp çalışmadığını kontrol eder.
Ardından, bir “TargetInfo.txt” dosyası oluşturulur ve Komut ve Kontrol (C2) sunucusuna gönderilir. Ana bilgisayar adı, IP adresi, işletim sistemi detayları, oturum açmış kullanıcılar ve ayrıcalıklar, benzersiz tanımlayıcılar ve şifrelenmiş dosyalar ve dizinler hakkında ayrıntılar gibi mağdur bilgileri içerir.
Fidye yazılımı, VM ile ilgili uzantıları (VMDK, VMEM, VSWP, VMX, VMSN, NVRAM) olan dosyaları şifreleyecek ve sonuçta ortaya çıkan dosyalara “.locked” uzantısını ekleyecektir.
Son olarak, kurban için fidye ödeyeceği ve geçerli bir şifre çözme anahtarının nasıl alınacağına dair talimatlar içeren “Decritpt.txt Nasıl Yapılır” adlı bir fidye notu düşürülür.
Tüm görevler tamamlandıktan sonra, kabuk komut dosyası ‘rm -f x’ komutunu kullanarak yükü siler, böylece olay sonrası soruşturmalarda kullanılabilecek tüm izler etkilenen makinelerden silinir.
Trend Micro analistleri, yeni Linux varyantını TargetCompany fidye yazılımını kullanan saldırıları, geçen ay Sekoia raporunda aynı olan “Vampir” adlı bir ortaklığa atfediyor.
Yükün teslim edilmesi ve metin dosyasının kurban bilgileriyle kabul edilmesi için kullanılan IP adresleri Çin'deki bir ISS sağlayıcısına kadar izlendi. Ancak bu, saldırganın kökenini doğru bir şekilde belirlemek için yeterli değildir.
Tipik olarak, Windows makinelerine odaklanan TargetCompany fidye yazılımı, ancak Linux varyantının piyasaya sürülmesi ve VMware ESXI makinelerini şifrelemeye kayması işlemin evrimini gösterir.
Trend Micro'nun raporu, çok faktörlü kimlik doğrulamayı (MFA) etkinleştirme, yedekleme oluşturma ve sistemleri güncel tutma gibi bir dizi öneri içerir.
Araştırmacılar, Linux fidye yazılımı sürümü, özel kabuk komut dosyası ve 'vampir' ile ilgili numuneler için karmalarla uzlaşma göstergelerinin bir listesini sunar.
Christie's, müşterileri RansomHub veri ihlali bildirmeye başlar
Frontier, gasp tehditlerinden sonra 750.000 veri ihlalini uyarıyor
Yeni Sis Fidye Yazılımı, ihlal edilen VPN'ler aracılığıyla ABD eğitim sektörünü hedefliyor
Vice Society Lausd Fidye Yazılımı Saldırısı, 500GB veri hırsızlığı iddia ediyor
Ransomhub gasp çetesi şu anda yok olan Şövalye Fidye Yazılımına Bağlı
Kaynak: Bleeping Computer