Mount Locker Ransomware, Hackerlara Çifte Gasp İmkanı Sunuyor

Kurumsal ağlardaki ihlallerin arkasındaki fidye yazılımı türü; hedeflemesinin kapsamını genişletmesine, güvenlik yazılımından kaçmasına ve ayrıca bağlı kuruluşlarının çifte gasp saldırıları başlatmasına olanak tanıyan yeni yetenekler geliştirdi.

Temmuz 2020’de başlayan MountLocker fidye yazılımı, şifrelenmeden önce dosyaları çalmakla ve çalınan verilerin halka açıklanmasını önlemek için milyonlarca fidye talep etmekle ün kazandı Bu taktik çifte gasp olarak bilinir.

BlackBerry Araştırma ve İstihbarat Ekibi’nden araştırmacılar, “MountLocker Operatörleri daha yeni yeni kendini gösteriyor. Temmuz ayında yavaş bir başlangıçtan sonra, gasp ve veri sızıntılarının yüksek profilli yapısı fidye taleplerini daha da artırdığından, hızla önem kazanıyorlar.” dedi.

“MountLocker ortakları tipik olarak hızlı operatörlerdir, hassas belgeleri hızla dışarı sızdırırlar ve bunların şirelemesini birkaç saat içinde gerçekleştirirler.”

MountLocker ayrıca, kurbanları utandırmak ve sızan verilere bağlantılar sağlamak için Dark Web’de bir web sitesi işleten Maze gibi diğer fidye yazılımı ailelerine de katılıyor.

Bugüne kadar, bu fidye yazılımı için beş kurban olduğu biliniyor, ancak araştırmacılar sayının “çok daha fazla” olabileceğinden şüpheleniyor.

Hizmet Olarak Fidye Yazılımı (RaaS) olarak sunulan MountLocker, Ağustos ayı başlarında İsveçli güvenlik firması Gunnebo’ya yarıştırıldı.

Şirket, fidye yazılımı saldırısını başarıyla engellediğini söylemesine rağmen; saldırıyı düzenleyenler, Ekim ayında müşteri banka kasaları ve gözetim sistemlerinin şemaları da dahil olmak üzere 18 gigabaytlık hassas belgeyi çalıp yayınladı.

BlackBerry’nin analizine göre, MountLocker’a bağlı kampanyalarının ardındaki tehditler, kurbanın ortamında ilk dayanak noktasını elde etmek için uzak masaüstü (RDP)’den yararlanıyor. Daha sonra gerçekleştirilecek araçları kullanıyor (Gunnebo’nun hack’inde de gözlemlendiği üzere). Ağ keşfi (AdFind), fidye yazılımını dağıtıyor, ağa yayılıyor ve kritik verileri FTP yoluyla dışarı çıkartıyor.

Fidye yazılımı kendi içinde hafif ve etkilidir. Yürütmenin ardından, güvenlik yazılımını sonlandırmaya, ChaCha20 şifresini kullanarak şifrelemeyi tetikler. Şifre çözme fiyatı “Dark Web” aracılığıyla belirleniyor.

Ayrıca şifreleme anahtarını şifrelemek için oluşturulmuş bir RSA-2048 anahtarı kullanır. Şifrelenmiş dosyaların geri yüklenmesini engellemek için kopyalarını siler ve sonunda izlerini gizlemek için kendisini diskten kaldırır.

Ancak araştırmacılar, fidye yazılımının kaba kuvvet saldırısına duyarlı olabilecek anahtar üretimi için GetTickCount API adlı şifreleme açısından güvensiz bir yöntem kullandığını belirtiyor.

MountLocker’ın şifreleme hedefleri listesi, veritabanları, belgeler, arşivler, görüntüler, muhasebe yazılımı, güvenlik yazılımı, kaynak kodu, oyunlar ve yedeklemeleri kapsayan 2600’den fazla dosya uzantısı desteği ile kapsamlıdır. Exe, .dll ve .sys gibi yürütülebilir dosyalar dokunulmadan bırakılır.

Ayrıca kasım ayının sonlarında görülen yeni bir MountLocker sürümü, şifrelemeye dahil edilecek uzantıların listesini bırakarak bir adım daha ileri gider: .Exe, .dll, .sys, .msi , .mui, .inf, .cat, .bat, .cmd, .ps1, .vbs, .ttf, .fon ve .lnk.

Araştırmacılar, “Başlangıcından bu yana, MountLocker grubunun hizmetlerini ve kötü amaçlı yazılımlarını hem genişlettiği hem de iyileştirdiği görüldü.” diye sonuçlandırdılar. “Mevcut yetenekleri özellikle gelişmiş olmasa da, bu grubun gelişmeye ve kısa vadede öne çıkmaya devam etmesini bekliyoruz.”

Kaynak: thehackernews.com

Bnezer haberler için buraya tıklayınız.

En son haberler

İlgili haberler