Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Kale fidye yazılımı, sızdırılmış Babuk kodunun bir başka yumurtlamasıdır.

Kale fidye yazılımı, sızdırılmış Babuk kodunun bir başka yumurtlamasıdır.

Son zamanlarda siber suç alanında Rook adlı yeni bir fidye yazılımı operasyonu ortaya çıktı ve kurumsal ağları ihlal ederek ve cihazları şifreleyerek “çok para” kazanmaya yönelik umutsuz bir ihtiyaç olduğunu ilan etti.

Veri sızıntısı portallarındaki tanıtım ifadeleri marjinal olarak komik olsa da, sitedeki ilk kurban duyuruları Rook’un oyun oynamadığını açıkça ortaya koydu.

Rook'un sızıntı portalındaki Hakkımızda bölümü
Rook’un sızıntı portalındaki Hakkımızda bölümü

SentinelLabs’taki araştırmacılar, teknik ayrıntılarını, enfeksiyon zincirini ve Babuk fidye yazılımıyla nasıl örtüştüğünü ortaya koyarak yeni türü derinlemesine incelediler.

Enfeksiyon süreci

Rook fidye yazılımı yükü, genellikle ilk enfeksiyon vektörü olarak kimlik avı e-postaları ve gölgeli torrent indirmeleriyle birlikte Cobalt Strike aracılığıyla teslim edilir.

Yükler, algılamadan kaçınmaya yardımcı olmak için UPX veya diğer şifreleyicilerle paketlenir. Fidye yazılımı yürütüldüğünde, güvenlik araçlarıyla veya şifrelemeyi kesintiye uğratabilecek herhangi bir şeyle ilgili işlemleri sonlandırmaya çalışır.

sonlandırılan hizmetler
sonlandırılan hizmetler
Kaynak: SentinelLabs

“İlginç bir şekilde, görüyoruz ki kph.sys Process Hacker’dan gelen sürücü, bazı durumlarda süreç sonlandırmada devreye girer, ancak diğerlerinde değil,” diye açıklıyor SentinelLabs onun raporu.

“Bu muhtemelen, saldırganın belirli etkileşimlerde belirli yerel güvenlik çözümlerini devre dışı bırakmak için sürücüden yararlanma ihtiyacını yansıtıyor.”

Birim gölge kopyası silme işlemi
Birim gölge kopyası silme işlemi
Kaynak: SentinelLabs

Rook ayrıca birim gölge kopyalarını silmek için vssadmin.exe’yi kullanır. dosyaları kurtarmak için kullanılır.

Analistler hiçbir kalıcılık mekanizması bulamadılar, bu nedenle Rook dosyaları şifreleyecek, “.Kale” uzantısını ve ardından kendini tehlikeye atılan sistemden siler.

Rook tarafından şifrelenmiş dosyalar
Rook tarafından şifrelenmiş dosyalar
Kaynak: SentinelLabs

Babük’e dayalı

SentinelLabs, Rook ve Babuk arasında çok sayıda kod benzerliği buldu. kaynak kodu sızdırıldı Eylül 2021’de Rusça konuşulan bir forumda.

Örneğin, Rook, çalışan her hizmetin adını ve durumunu almak için aynı API çağrılarını ve bunları sonlandırmak için aynı işlevleri kullanır.

Ayrıca, durdurulan işlemlerin ve Windows hizmetlerinin listesi her iki fidye yazılımı için aynıdır.

Buna Steam oyun platformu, Microsoft Office ve Outlook e-posta istemcisi ve Mozilla Firefox ve Thunderbird dahildir.

Diğer benzerlikler, şifreleyicinin gölge birim kopyalarını nasıl sildiğini, Windows Yeniden Başlatma Yöneticisi API’sini nasıl kullandığını ve yerel sürücüleri nasıl numaralandırdığını içerir.

Yerel sürücüleri alfabetik olarak numaralandırma
Yerel sürücüleri alfabetik olarak numaralandırma
Kaynak: SentinelLabs

Bu kod benzerlikleri nedeniyle, Sentinel One, Rook’un Babuk Ransomware operasyonu için sızdırılmış kaynak koduna dayandığına inanıyor.

Rook ciddi bir tehdit mi?

Rook’un saldırılarının ne kadar karmaşık olduğunu söylemek için çok erken olsa da, bir enfeksiyonun sonuçları hala ciddi ve şifrelenmiş ve çalınmış verilere yol açıyor.

Rook veri sızıntısı sitesinde şu anda iki kurban, bir banka ve bir Hintli havacılık ve uzay uzmanı bulunuyor.

Her ikisi de bu ay eklendi, bu nedenle grubun faaliyetlerinde erken bir aşamadayız.

Yetenekli üyeler yeni RaaS’a katılırsa, Rook gelecekte önemli bir tehdit haline gelebilir.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.