Yeni bir yıl ve onunla birlikte, kurumsal ağları hedef alan ve çifte gasp saldırılarında veri çalan ‘Night Sky’ adlı yeni bir fidye yazılımı geliyor.
MalwareHunterteam’e göre, kim ilk benekli Yeni fidye yazılımı olan Night Sky operasyonu 27 Aralık’ta başladı ve o zamandan beri iki kurbanın verilerini yayınladı.
Kurbanlardan biri, bir şifre çözücü elde etmek ve çalınan verilerin yayınlanmaması için başlangıçta 800.000 dolarlık bir fidye talebi aldı.
Night Sky cihazları nasıl şifreler?
BleepingComputer tarafından görülen Night Sky fidye yazılımının bir örneği, kurbanın müzakere sayfasına erişmek için kişiselleştirilmiş bir fidye notu ve sabit kodlanmış oturum açma kimlik bilgilerini içerecek şekilde özelleştirilmiştir.
Fidye yazılımı başlatıldığında, .dll veya .exe dosya uzantılarıyla bitenler dışındaki tüm dosyaları şifreler. Fidye yazılımı ayrıca aşağıdaki listedeki dosya veya klasörleri şifrelemez:
AppData
Boot
Windows
Windows.old
Tor Browser
Internet Explorer
Google
Opera
Opera Software
Mozilla
Mozilla Firefox
$Recycle.Bin
ProgramData
All Users
autorun.inf
boot.ini
bootfont.bin
bootsect.bak
bootmgr
bootmgr.efi
bootmgfw.efi
desktop.ini
iconcache.db
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
Program Files
Program Files (x86)
#recycle
Dosyaları şifrelerken, Night Sky .gece gökyüzü aşağıdaki resimde gösterildiği gibi şifreli dosya adlarına uzantı.
Her klasörde adında bir fidye notu NightSkyReadMe.hta çalınanlarla ilgili bilgileri, iletişim e-postalarını ve kurbanın müzakere sayfasına sabit kodlanmış kimlik bilgilerini içerir.
Night Sky, kurbanlarla iletişim kurmak için bir Tor sitesi kullanmak yerine e-posta adreslerini ve Rocket.Chat’i çalıştıran net bir web sitesi kullanıyor. Kimlik bilgileri, fidye notunda sağlanan Rocket.Chat URL’sine giriş yapmak için kullanılır.
Çifte gasp taktiği
Fidye yazılımı operasyonları tarafından kullanılan yaygın bir taktik, ağdaki cihazları şifrelemeden önce kurbanlardan şifrelenmemiş verileri çalmaktır.
Tehdit aktörleri daha sonra bu çalınan verileri, bir fidye ödenmezse verileri sızdırmakla tehdit ettikleri bir “çifte gasp” stratejisinde kullanırlar.
Night Sky, kurbanın verilerini sızdırmak için şu anda biri Bangladeş’ten diğeri Japonya’dan olmak üzere iki kurbanı içeren bir Tor veri sızıntısı sitesi oluşturdu.
Yeni Night Sky fidye yazılımı operasyonuyla ilgili çok fazla etkinlik olmamasına rağmen, yeni yıla girerken göz kulak olmamız gereken bir operasyon.