Yakın zamanda ortaya çıkan Entropy fidye yazılımının analizi, bir bankacılık truva atı olarak başlayan genel amaçlı Dridex kötü amaçlı yazılımıyla kod düzeyinde benzerlikler ortaya koyuyor.
Farklı kuruluşlara yönelik iki Entropy fidye yazılımı saldırısı, araştırmacıların noktaları birleştirmesine ve iki kötü amaçlı yazılım parçası arasında bir bağlantı kurmasına izin verdi.
Entropy fidye yazılımında kullanılan Dridex kodu
Bugünkü bir raporda, Sophos baş araştırmacısı Andrew Brandt, Entropy kötü amaçlı yazılımının daha derin bir şekilde incelenmesinin, Dridex’i yakalamak için oluşturulmuş bir algılama imzası tarafından yönlendirildiğini söylüyor.
Her iki kurban kuruluşun da korumasız makineleri vardı, ancak uç nokta koruması çalıştıran sistemler, imza Dridex için paketleyici kodunu tanımlamak için olmasına rağmen, Entropy’yi korumak için paketleyici kodunu algılayarak tetiklenen saldırıyı durdurdu.
SophosLabs analistleri, Entropy’nin davranışını gizlemek için güvendiği diğer alt programlardan bazılarının, Dridex’teki aynı işlevsellik için olanlara benzer olduğunu buldu.
“Entropy’nin paket açmanın ilk “katmanını” nasıl gerçekleştireceğini belirleyen talimatlar, paketleyici koduna ve özellikle LdrLoadDLL adlı bir API’ye atıfta bulunan kısma ve bu altyordamın davranışına bakan analistin tarif ettiği Dridex’e yeterince benzerdir. “bir Dridex v4loader’a çok benziyor” ve 2018’den bir Dridex numunesi tarafından kullanılan benzer bir yükleyiciyle karşılaştırdı”
Infosec topluluğunda Entropy fidye yazılımının Grief (diğer adıyla Pay veya Grief) fidye yazılımının yeniden markası olduğuna dair şüpheler var. DoppelPaymer işleminin devamı.
Bu şüpheler, aynı paketleyici kodunun DoppelPaymer fidye yazılımıyla hedeflenen Sophos korumalı sistemlerde de tespit edildiğini belirten Sophos’un bugünkü raporuyla daha da güçleniyor.
DoppelPaymer, kimlik avı e-postaları aracılığıyla kötü amaçlı yazılım indiriciye dönüşen Dridex bankacılık trojanının dağıtımının arkasında bulunan EvilCorp çetesine (diğer adıyla Indrik Spider) atfediliyor.
EvilCorp üyeleri ve grupla bağlantılı şirketler, onaylanmış 2019’da ABD Hazine Bakanlığı tarafından, fidye yazılımı müzakere firmalarının para cezalarından ve yasal işlemlerden kaçınmak için fidye ödemelerine aracılık etmeyi bırakmasına neden oldu.
EvilCorp, yaptırımların artık uygulanamaması için fidye yazılımı operasyonlarını yeniden adlandırmaya karar verdi. Kullanılan fidye yazılımı adlarından bazıları şunlardır: WastedLocker, Hadesve Phoenix.
Entropy fidye yazılımı operasyonu, en az Kasım 2021’den bu yana, ihlal edilen ağlardan veri çalmaya başladı. Diğer fidye yazılımı operasyonları tarzında, Entropy grubu, ödeme yapmayan kurbanların isimlerini yayınlamak için bir sızıntı sitesi kurdu. Bu yazı itibariyle, site kamu ve özel sektördeki dokuz kuruluşu listeliyor.
Entropi fidye yazılımı saldırıları
Sophos’un analiz ettiği ilk saldırıda, tehdit aktörü, Kuzey Amerika’daki bir medya kuruluşuna uzaktan erişim için Exchange Server’daki ProxyShell güvenlik açıklarından yararlandı ve Cobalt Strike işaretlerini dağıttı.
Saldırganlar, Entropy fidye yazılımını kullanarak bilgisayarları şifrelemeden önce yanlamasına hareket ederek ve verileri çalarak dört ay geçirdi.
İkinci saldırı, Dridex kötü amaçlı yazılımını bölgesel bir hükümet kuruluşuna ait bir bilgisayara yerleştirdi. Daha sonra Dridex, diğer sistemlere dönmeye izin veren diğer kötü amaçlı yazılımları yönlendirmek için kullanıldı.
“Önemli bir şekilde, bu ikinci saldırıda, tek bir makinede şüpheli bir oturum açma girişiminin ilk tespiti ile saldırganların veri hırsızlığına başlaması arasında yalnızca 75 saat geçmiştir” – sofos
Sophos, hedeflerin “mevcut yamalar ve güncellemelerden yoksun” savunmasız Windows makinelerine sahip olması nedeniyle her iki saldırının da mümkün olduğunu belirtiyor.
Araştırmacı, makineleri güncel tutmanın ve çok faktörlü kimlik doğrulamayı (MFA) uygulamanın saldırganlar için ilk erişimi daha zor bir görev haline getirdiğini belirtiyor.