Pazartesi, Aralık 5, 2022
Ana Sayfa Güvenlik OldGremlin Fidye Yazılımı, Milyonlarca Milyonluk Planda Bir Düzineden Fazla Rus Kuruluşunu Hedefledi

OldGremlin Fidye Yazılımı, Milyonlarca Milyonluk Planda Bir Düzineden Fazla Rus Kuruluşunu Hedefledi

OldGremlin Fidye Yazılımı, Milyonlarca Milyonluk Planda Bir Düzineden Fazla Rus Kuruluşunu Hedefledi
OldGremlin Fidye Yazılımı, Milyonlarca Milyonluk Planda Bir Düzineden Fazla Rus Kuruluşunu Hedefledi
- Advertisement -

 

Group-IB, “Grubun kurbanları arasında lojistik, sanayi, sigorta, perakende, emlak, yazılım geliştirme ve bankacılık gibi sektörlerdeki şirketler yer alıyor” dedi.

Fidye yazılımı ortamında nadir görülen bir durum olan OldGremlin (diğer adıyla TinyScouts), öncelikle Rus şirketlerine odaklanan, finansal olarak motive olmuş çok az siber suç çetesinden biridir.

Diğer önemli gruplar Dharma, Crylock ve Thanos’tan oluşuyor ve 2021’de ülkedeki işletmeleri hedef alan fidye yazılımı saldırılarında %200’ün üzerinde bir artışa katkıda bulunuyor.

OldGremlin ilk olarak Singapur merkezli siber güvenlik şirketinin Eylül 2020’de ortaya çıktı. Mayıs ve Ağustos ayları arasında aktör tarafından düzenlenen dokuz kampanya. İlk saldırı Nisan 2020’nin başlarında tespit edildi.

Toplamda, grubun 2020’de 10 kimlik avı e-posta kampanyası yürüttüğü, ardından 2021’de bir ve 2022’de beş tane daha başarılı saldırı düzenlediği ve fidye taleplerinin 16,9 milyon dolarlık rekor seviyeye ulaştığı söyleniyor.

Group-IB, “OldGremlin kurbanlarını derinlemesine inceliyor” dedi. “Bu nedenle talep edilen fidye genellikle şirketin büyüklüğü ve geliri ile orantılıdır ve uygun düzeyde bilgi güvenliği sağlamak için gereken bütçeden açıkça daha yüksektir.”

Esas olarak Windows üzerinde çalışan kurumsal ağları hedef aldığı bilinen OldGremlin tarafından düzenlenen saldırılar, kurbanları sahte bağlantılara tıklamaya ve kötü amaçlı dosyalar indirmeye kandırmak için vergi ve hukuk hizmetleri şirketleri gibi görünen kimlik avı e-postalarından yararlandı ve saldırganların ağların içinde yollarını bulmasına izin verdi.

Group-IB, “Tehdit aktörleri genellikle medya grubu RBC, adli yardım sistemi Consultant Plus, 1C-Bitrix şirketi, Rusya Sanayiciler ve Girişimciler Birliği ve Minsk Tractor Works dahil olmak üzere tanınmış şirketler olarak ortaya çıkıyor.” Dedi.

OldGremlin Fidye Yazılımı, Milyonlarca Milyonluk Planda Bir Düzineden Fazla Rus Kuruluşunu Hedefledi
OldGremlin Fidye Yazılımı, Milyonlarca Milyonluk Planda Bir Düzineden Fazla Rus Kuruluşunu Hedefledi

OldGremlin, bir başlangıç ​​noktası elde ettikten sonra, zamanlanmış görevler oluşturarak, Cobalt Stroke kullanarak yükseltilmiş ayrıcalıklar elde ederek ve hatta Cisco AnyConnect’te (CVE-2020-3153 ve CVE-2020-3433), TeamViewer gibi araçları kullanarak güvenliği ihlal edilmiş altyapıya uzaktan erişim sağlar.

Mürettebatı diğer fidye yazılımı gruplarından ayıran yönlerden bazıları, verilerin sızdırılmasına rağmen hedeflenen şirketleri ödemeye zorlamak için çifte gasplara dayanmamasıdır. Her başarılı ataktan sonra uzun aralar verildiği de gözlemlenmiştir.

Dahası, fidye yazılımı dağıtımına kadar geçen ortalama bekleme süresi, bildirilen sürenin çok üzerinde, 49 gün olarak belirlendi.

OldGremlin Fidye Yazılımı, Milyonlarca Milyonluk Planda Bir Düzineden Fazla Rus Kuruluşunu Hedefledi
OldGremlin Fidye Yazılımı, Milyonlarca Milyonluk Planda Bir Düzineden Fazla Rus Kuruluşunu Hedefledi

OldGremlin’in en son kimlik avı dalgası 23 Ağustos 2022’de meydana geldi ve e-postalar, öldürme zincirini etkinleştirmek için Dropbox’ta barındırılan bir ZIP arşiv yüküne işaret eden bağlantılar yerleştirdi.

Bu arşiv dosyaları, sırayla, veri yedeklerini silmeden ve .NET tabanlı TinyCrypt fidye yazılımı.

  • TinyPosh: Etkilenen sistemle ilgili hassas bilgileri toplayıp uzak bir sunucuya aktarmak ve ek PowerShell betikleri başlatmak için tasarlanmış bir PowerShell truva atı.
  • TinyNode: Tor ağı üzerinden bir komut ve kontrol (C2) sunucusundan alınan komutları yürütmek için Node.js yorumlayıcısını çalıştıran bir arka kapı.
  • TinyFluff: Bir varis kötü amaçlı komut dosyalarını almak ve çalıştırmak için birincil indirici olarak kullanılan TinyNode’a.

OldGremlin tarafından ayrıca ekran görüntülerini yakalamak için bir konsol yardımcı programı olan TinyShot, gdrv.sys ve RTCore64.sys sürücülerini hedefleyen kendi savunmasız sürücünüzü getir (BYOVD) saldırısı yoluyla antivirüs işlemlerini öldüren TinyKiller gibi diğer araçlar da vardır.

BlackByte fidye yazılımı grubunun arkasındaki operatörlerin de yakın zamanda bulunduğunu belirtmekte fayda var. Aynı kusuru kullanmak Saldırıya uğramış makinelerde güvenlik çözümlerini kapatmak için RTCore64.sys sürücüsündedir.

OldGremlin tarafından saldırılarında kullanılan bir diğer olağandışı uygulama, fidye yazılımını çalıştırmadan önce ağ bağdaştırıcılarını devre dışı bırakarak ana bilgisayarı ağdan geçici olarak kesen TinyIsolator adlı bir .NET konsol uygulamasıdır.

Bunun da ötesinde, grubun kötü amaçlı yazılım cephaneliği, GO’da yazılan ve .bash_history dosyalarını sildikten, güvenliği ihlal edilmiş ana bilgisayara erişimi sınırlamak için kullanıcı parolalarını değiştirdikten ve SSH’yi devre dışı bıraktıktan sonra başlatılan TinyCrypt’in bir Linux sürümünü kapsar.

Group-IB’de dinamik kötü amaçlı yazılım analiz ekibi başkanı Ivan Pisarev, “OldGremlin, fidye yazılımı gruplarının Rus şirketlerine kayıtsız olduğu efsanesini çürüttü,” dedi.

“OldGremlin’in şu ana kadar Rusya’ya odaklanmış olmasına rağmen, başka yerlerde hafife alınmamalı. Rusça konuşan birçok çete, Sovyet sonrası alanda şirketleri hedef alarak başladı ve ardından başka coğrafyalara yöneldi.”

RELATED ARTICLES

Apple, Aktif Olarak Sömürülen Güvenlik Açığını Düzeltmek İçin Eski iPhone’lar için iOS Güncellemesi Yayınladı

Apple Çarşamba günü, bir sorunu gidermek için eski iPhone'lar, iPad'ler ve iPod touch cihazlarına yönelik güvenlik güncellemelerini destekledi. Eksiklik, takip edilen CVE-2022-32893 (CVSS puanı: 8.8),...

Hackerlar, James Webb Uzay Teleskobu Tarafından Çekilen Çarpıcı Görüntülerde Kötü Amaçlı Yazılımları Gizliyor

GO#WEBBFUSCATOR adlı kalıcı bir Golang tabanlı kötü amaçlı yazılım kampanyası, virüslü sistemlerde kötü amaçlı yükleri dağıtmak için NASA'nın James Webb Uzay Teleskobu'ndan (JWST) alınan...

Çinli Hackerlar Son Siber Casusluk Saldırılarında ScanBox Çerçevesini Kullandı

Çinli bir grup tarafından yürütülen aylarca süren bir siber casusluk kampanyası, kurbanları hakkında bilgi toplamak ve stratejik hedeflerine ulaşmak için keşif kötü amaçlı yazılımlarıyla...

Most Popular

AMD Ryzen 7000 ‘Zen 4’ X Olmayan Masaüstü İşlemciler 10 Ocak’ta Piyasaya Sürülecek

AMD Ryzen 7000 "Zen 4" X Olmayan İşlemciler CES 2023'te Tanıtıldı, Aynı Ay Piyasaya Sürüldü AMD'nin en az üç yeni Ryzen 7000 "Zen 4" X...

Mühendis, M1 iMac’ten ‘Çene’ Çerçevesini Çıkartarak Ona Apple’ın Bağımsız Monitörleri Gibi Tekdüze Bir Tasarım Verdi

Apple'ın 24 inç M1 iMac'i, önemli tasarım değişikliği sayesinde yeni bir soluktu, ancak bazı keskin gözlü eleştirmenler bu "çene" çerçevesine hemen dikkat çektiler, ancak...

iPhone 14’ün Uydu Özelliği Üzerinden Acil SOS, Alaska’da Mahsur Kalan Bir Adamın Hayatını Kurtardı

Apple'ın en yeni iPhone 14 ve iPhone 14 Pro modelleri, önceki modellere göre çeşitli iyileştirmeler içeriyor. Apple'ın sahnede duyurduğu en önemli eklemelerden biri, kullanıcıların hücresel...

Intel, 2030’a Kadar Yeni Nesil Çiplerde Bir Trilyon Transistörün Yolunu Açıyor

IEDM'de Intel Research, sergilendi Moore Yasası Nasıl Canlı ve Chipzilla 2030 yılına kadar Trilyon transistörlü yeni nesil çipleri nasıl sunmayı planladığını. Intel Araştırması Moore Yasasını...

Recent Comments