8Base Group, SmokeLoader Aracılığıyla Yeni Phobos Fidye Yazılımı Varyantını Dağıtıyor - Dünyadan Güncel Teknoloji Haberleri

8Base Group, SmokeLoader Aracılığıyla Yeni Phobos Fidye Yazılımı Varyantını Dağıtıyor - Dünyadan Güncel Teknoloji Haberleri

Venere, “Her dosya şifrelendikten sonra, şifrelemede kullanılan anahtar ve ek meta veriler, sabit kodlu bir genel anahtarla RSA-1024 kullanılarak şifreleniyor ve dosyanın sonuna kaydediliyor

SEC’in ifşa kuralları önümüzdeki ay olan 18 Aralık’a kadar yürürlüğe girmeyecek olsa da, olağandışı baskı taktiği, tehdit aktörlerinin alanı yakından izlediğinin ve hükümet düzenlemelerini kendi yararlarına esnetmeye ve kurbanları ödemeye zorlamaya istekli olduklarının bir işareti

Bulgular, siber suçluların gerçekleştirdiği faaliyetlerde artış kaydeden Cisco Talos’tan geliyor

Venere, “Uzatma engelleme listeleri, zaman içinde aynı temel örneği hangi grupların kullandığına dair bir hikaye anlatıyor gibi görünüyor” dedi iki parçalı analiz Cuma yayınlandı

“Pek çok Phobos örneğinde bulunan uzantı blok listeleri […] önceki Phobos kampanyalarında kilitlenen yeni dosyalarla sürekli olarak güncellenir

Venere, “Örneklerin tümü aynı kaynak kodunu içeriyordu ve bağlı diğer Phobos’un zaten kilitlediği dosyaların şifrelenmesini önleyecek şekilde yapılandırılmıştı, ancak yapılandırma, konuşlandırılan değişkene bağlı olarak biraz değişti

VMware Carbon Black’in Haziran 2023’te yaptığı önceki bir analiz, 8Base ile RansomHouse arasında paralellikler tespit etmenin yanı sıra, şifrelenmiş dosyalar için “

“Bu emtia yükleyici, konuşlandırıldığında genellikle ek yükleri bırakıyor veya indiriyor ” dedi net rapor edildi ”





siber-2

günler, DataBreaches

“Ancak bu, özel RSA anahtarı bilindiğinde, 2019’dan bu yana herhangi bir Phobos varyantı tarafından şifrelenen herhangi bir dosyanın şifresinin güvenilir bir şekilde çözülebileceği anlamına geliyor

“Bu nedenle, şirketin geliri 100 milyon ABD Doları ise, ilk fidye talebi 3 milyon ABD Dolarından başlamalı ve nihai ödeme 1,5 milyon ABD Dolarından az olmamalıdır

Dikkate değer bir diğer özellik ise, şifreleme sürecini hızlandırmak için 1,5 MB’ın altındaki dosyaların tam olarak şifrelenmesi ve eşiğin üzerindeki dosyaların kısmi olarak şifrelenmesidir

Bununla birlikte, yaptırımın yalnızca şirketlerin saldırıların kârlılıkları üzerinde “maddi” bir etki yarattığını tespit ettiği durumlarda geçerli olduğunu belirtmekte fayda var ” diye açıkladı Bu, inşaatçının arkasında geçmişte Phobos’u kimin kullandığının izini süren merkezi bir otoritenin olduğu fikrini destekleyebilir

Bu, 8Base’in ya Phobos’un halefi olduğu ya da operasyonun arkasındaki tehdit aktörlerinin, Vice Society fidye yazılımı grubuna benzer şekilde saldırılarını gerçekleştirmek için yalnızca mevcut fidye yazılımı türlerini kullandıkları olasılığını artırdı Yapılandırma, Kullanıcı Hesabı Denetimi gibi ek özelliklerin kilidini açar (UAC) kurbanın enfeksiyonunu atlamak ve harici bir URL’ye raporlamak

Bu aynı zamanda BlackCat fidye yazılımı grubunun ABD Menkul Kıymetler ve Borsa Komisyonu’na (SEC) kurbanlarından biri olan MeridianLink’in, etkilenen şirketlerin olayı dört iş günü içinde bildirmelerini gerektiren yeni ifşa düzenlemelerine uymadığını iddia eden resmi bir şikayetin ardından geldi

Cisco Talos’un en son bulguları, SmokeLoader’ın, Phobos yüküdaha sonra kalıcılığı sağlamak, hedef dosyaları açık tutabilecek işlemleri sonlandırmak, sistem kurtarmayı devre dışı bırakmak ve yedeklerin yanı sıra gölge kopyaları silmek için gerekli adımları gerçekleştirir fidye yazılımının uzantı engelleme listeleri

Güvenlik araştırmacısı Guilherme Venere kapsamlı bir açıklamasında, “Grubun Phobos çeşitlerinin çoğu, bir arka kapı truva atı olan SmokeLoader tarafından dağıtılıyor” dedi

Ayrıca şifrelemede kullanılan dosya başına AES anahtarını korumak için kullanılan sabit kodlu bir RSA anahtarı da mevcut 8base” dosya uzantısı kullanılarak bulunan bir Phobos fidye yazılımı örneğini de ortaya çıkardı Ancak 8Base kampanyalarında, şifrelenmiş yüklerine fidye yazılımı bileşeni yerleştirilmiş ve bu bileşen daha sonra şifresi çözülerek SmokeLoader işleminin belleğine yükleniyor

LockBit operatörleri, “Şirketin yıllık gelirine bağlı olarak örneğin yüzde 3 gibi bir minimum fidye talebi belirleyin ve yüzde 50’den fazla indirimleri yasaklayın” dedi


Arkasındaki tehdit aktörleri 8Base fidye yazılımı Mali amaçlı saldırılarını gerçekleştirmek için Phobos fidye yazılımının bir çeşidinden yararlanıyorlar Amaç, Phobos’a bağlı kuruluşların birbirlerinin operasyonlarına müdahale etmesini önlemek olabilir

Ayrıca yapı, sabit kodlanmış bir anahtar kullanılarak şifrelenen 70’in üzerinde seçeneğe sahip bir yapılandırmayı içerir Talos, bunun fidye yazılımı tarafından kilitlenen dosyaların şifresinin çözülmesine yardımcı olabileceğini söyledi “Bu, fidye yazılımının yapılandırma ayarlarındaki dosya uzantısı engelleme listesine dayanmaktadır ”

Phobosİlk kez 2019’da ortaya çıkan fidye yazılımı, Dharma (aka Crysis) fidye yazılımının bir evrimidir ve VirusTotal’da ortaya çıkarılan eserlerin hacmine bağlı olarak, fidye yazılımı ağırlıklı olarak Eking, Eight, Elbie, Devos ve Faust varyantları olarak ortaya çıkmaktadır ”

Cisco Talos, Phobos’un merkezi bir otorite tarafından yakından yönetildiğini, aynı RSA genel anahtarına, iletişim e-postalarındaki farklılıklara ve düzenli güncellemelere dayalı olarak diğer bağlı kuruluşlara hizmet olarak fidye yazılımı (RaaS) olarak satıldığını değerlendiriyor En azından Mart 2022’den beri aktif olduğu söyleniyor detaylı rapor Analist1’den ”

8Base, siber güvenlik topluluğu tarafından faaliyetlerde benzer bir artışın gözlemlendiği 2023 yılının ortalarında keskin bir şekilde odak noktasına geldi

Bu arada bir başka üretken fidye yazılımı çetesi LockBit, Ekim 2023’ten itibaren, beklenenden daha az anlaşmalar yapılmasını ve “bağlı kuruluşların farklı deneyim düzeyleri” nedeniyle mağdurlara sunulan daha büyük indirimleri gerekçe göstererek yeni müzakere kuralları belirledi ”

Gelişme FalconFeeds olarak geliyor açıklandı Bir tehdit aktörünün, C dilinde geliştirilen ve “sanal makinelere ve hata ayıklama araçlarına karşı güçlü anti-algılama önlemleri” içeren UBUD adlı gelişmiş bir fidye yazılımı ürününün reklamını yaptığı iddia edildi

Finansal yazılım şirketi, 10 Kasım’da bir siber saldırıda hedef alındığını doğruladı ancak sistemlerine yetkisiz erişime dair hiçbir kanıt bulamadığını belirtti