Microsoft, Ukrayna’da birden fazla kuruluşa yönelik saldırılarda kullanılan fidye yazılımı görünümündeki yıkıcı veri silme kötü amaçlı yazılımlarına karşı uyarıda bulunuyor.
13 Ocak’tan itibaren Microsoft, yıkıcı bir MBRLocker ile kurbanın verilerini kasıtlı olarak yok etmek için kullanılan verileri bozan bir kötü amaçlı yazılımı birleştiren yeni saldırıları tespit etti.
İki aşamalı bir saldırı verileri yok eder
Microsoft, bu yeni kötü amaçlı yazılım ailesini ‘WhisperGate’ olarak adlandırıyor ve bir raporda bunun iki farklı yıkıcı kötü amaçlı yazılım bileşeni aracılığıyla yürütüldüğünü açıklıyor.
adlı ilk bileşen aşama1.exe, başlatıldı C:PerfGünlükler, C:ProgramData, C:, veya C:temp Bir fidye notu görüntülemek için Ana Önyükleme Kaydının üzerine yazan klasörler.
MBR dolabı, bilgisayarın sabit sürücüsündeki disk bölümleri hakkında bilgi içeren bir konum olan ‘ana önyükleme kaydının’ ve işletim sistemini yüklemek için kullanılan küçük bir yürütülebilir dosyanın yerini alan bir programdır.
MBR dolapları, ana önyükleme kaydındaki yükleyiciyi, genellikle bölüm tablosunu şifreleyen ve bir fidye notu görüntüleyen bir programla değiştirir. Bu, bir fidye ödenene ve bir şifre çözme anahtarı elde edilene kadar işletim sisteminin yüklenmesini ve verilere erişilmesini engeller.
Aşağıda gösterilen WhisperGate fidye notu, kurbana 10.000 dolarlık bitcoin göndermesini söyler. 1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv adresini ve ardından dahil edilen bir Tox sohbet kimliği aracılığıyla tehdit aktörleriyle iletişim kurun.
Your hard drive has been corrupted.
In case you want to recover all hard drives
of your organization,
You should pay us $10k via bitcoin wallet
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv and send message via
tox ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
with your organization name.
We will contact you to give further instructions.
Microsoft, fidye yazılımının sahte olmasının bir nedeni olarak Tox kullanımına işaret ederken, BleepingComputer, Tox’u bir iletişim yöntemi olarak kullanan çok sayıda fidye yazılımı işlemi biliyor, bu nedenle bu olağandışı bir durum değil.
Ancak, MBRLocker’ın fidye notu, tüm kurbanlar için aynı bitcoin adresini kullanır ve şifre çözme anahtarı girmek için bir yöntem sağlamaz. Birleştirildiğinde, bu genellikle yıkıcı amaçlar için tasarlanmış sahte fidye yazılımlarını gösterir.
adlı ikinci bileşen Stage2.exe, Discord’da barındırılan ve statik verilerle hedeflenen dosyaların üzerine yazan verileri yok eden kötü amaçlı yazılımları indirmek için aynı anda yürütülür.
“Bir dosya yukarıdaki uzantılardan birini taşıyorsa, bozucu, dosyanın içeriğinin üzerine sabit sayıda 0xCC bayt (toplam dosya boyutu 1 MB) yazar”, diye açıklıyor. Microsoft’un raporu.
“İçeriğin üzerine yazdıktan sonra, yıkıcı, her dosyayı görünüşte rastgele dört baytlık bir uzantıyla yeniden adlandırır.”
Aşama2 bileşeni tarafından bozulma için hedeflenen dosya uzantıları şunlardır:
.3DM .3DS .7Z .ACCDB .AI .ARC .ASC .ASM .ASP .ASPX .BACKUP .BAK .BAT .BMP .BRD .BZ .BZ2 .CGM .CLASS .CMD .CONFIG .CPP .CRT .CS .CSR .CSV .DB .DBF .DCH .DER .DIF .DIP .DJVU.SH .DOC .DOCB .DOCM .DOCX .DOT .DOTM .DOTX .DWG .EDB .EML .FRM .GIF .GO .GZ .HDD .HTM .HTML .HWP .IBD .INC .INI .ISO .JAR .JAVA .JPEG .JPG .JS .JSP .KDBX .KEY .LAY .LAY6 .LDF .LOG .MAX .MDB .MDF .MML .MSG .MYD .MYI .NEF .NVRAM .ODB .ODG .ODP .ODS .ODT .OGG .ONETOC2 .OST .OTG .OTP .OTS .OTT .P12 .PAQ .PAS .PDF .PEM .PFX .PHP .PHP3 .PHP4 .PHP5 .PHP6 .PHP7 .PHPS .PHTML .PL .PNG .POT .POTM .POTX .PPAM .PPK .PPS .PPSM .PPSX .PPT .PPTM .PPTX .PS1 .PSD .PST .PY .RAR .RAW .RB .RTF .SAV .SCH .SHTML .SLDM .SLDX .SLK .SLN .SNT .SQ3 .SQL .SQLITE3 .SQLITEDB .STC .STD .STI .STW .SUO .SVG .SXC .SXD .SXI .SXM .SXW .TAR .TBK .TGZ .TIF .TIFF .TXT .UOP .UOT .VB .VBS .VCD .VDI .VHD .VMDK .VMEM .VMSD .VMSN .VMSS .VMTM .VMTX .VMX .VMXF .VSD .VSDX .VSWP .WAR .WB2 .WK1 .WKS .XHTML .XLC .XLM .XLS .XLSB .XLSM .XLSX .XLT .XLTM .XLTX .XLW .YML .ZIP
İki kötü amaçlı yazılım bileşeninin hiçbiri, orijinal Ana Önyükleme Kaydı’nı geri yüklemek için şifre çözme anahtarlarını girmek anlamına gelmediğinden ve dosyaların üzerine statik şifresi çözülemeyen veriler yazıldığından, Microsoft bunu bir fidye ödemesi oluşturmak için kullanılandan ziyade yıkıcı bir saldırı olarak sınıflandırır.
Microsoft, saldırılarda kullanılan ve aşağıda listelenen iki kötü amaçlı yazılım örneği için karma değerleri paylaştı.
Stage1.exe: a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92
Stage2.exe: dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78
Microsoft, saldırıları belirli bir tehdit aktörüne bağlayamıyor ve bilgisayar korsanının faaliyetlerini DEV-0586 olarak izliyor.
Rusya ile Ukrayna arasındaki bölgede yükselen jeopolitik gerilimle birlikte bu saldırıların Ukrayna’da kaos çıkarmak için tasarlandığına inanılıyor.
Benzer bir saldırı 2017’de binlerce Ukraynalı işletmenin öldürüldüğü sırada gerçekleştirildi. NotPetya fidye yazılımıyla hedeflendi.
NotPetya gerçek fidye yazılımına dayalıyken Petya olarak bilinenNotPetya saldırıları, ödeme üretmekten ziyade Ukrayna’ya karşı bir siber silah olarak gerçekleştirildi.
2020 yılında, ABD, Rus GRU bilgisayar korsanlarını resmen suçladı NotPetya saldırıları için “Kum kurdu” olarak bilinen seçkin Rus hack grubunun bir parçası olduğuna inanılıyor.
Ukrayna siber saldırılarla kuşatıldı
Bu hafta, Ukrayna kamu kurumlarının ve devlet kurumlarının en az on beş web sitesi saldırıya uğradı, tahrif edildi ve ardından çevrimdışına alındı.
bilgisayar korsanları bu web sitelerini tahrif etti ziyaretçilere verilerinin çalındığına ve çevrimiçi olarak herkese açık olarak paylaşıldığına dair bir uyarı mesajı göstermek için.
“Ukraynalı! Tüm kişisel verileriniz genel ağa yüklendi. Bilgisayardaki tüm veriler yok edildi, onları kurtarmak mümkün değil. Hakkınızdaki tüm bilgiler halka açıldı, kork ve en kötüsünü bekle. Bu senin geçmişin için. , şimdi ve gelecek. Volyn için, OUN UPA için, Galiçya için, Polissya için ve tarihi topraklar için”, tercüme edilen web sitesi tahribatı okur.

Bu yıldırma kampanyasının bir parçası olarak, tehdit aktörleri, çalındığı iddia edilen verileri serbest bırakmak için popüler RaidForums bilgisayar korsanlığı forumunda yeni hesaplar oluşturdu.

Ancak yayınlanan verileri inceleyen tehdit aktörleri, bunun Ukrayna devlet kurumlarıyla ilgisi olmadığını ve eski bir sızıntıdan veriler içerdiğini söylüyor.
Ukrayna, Ukrayna hükümetine olan güveni sarsmak amacıyla saldırıları Rusya’ya bağladı.
“Rusya’nın siber birlikleri, siyasi durumu sarsmak için teknolojiyi kullanmaya çalışarak genellikle ABD ve Ukrayna’ya karşı çalışıyor. Son siber saldırı, Rusya’nın Ukrayna’ya karşı 2014’ten beri devam eden hibrit savaşının tezahürlerinden biri. “Ukrayna hükümeti ilan edildi bugün.
“Amacı sadece toplumu sindirmek değil. Kamu sektörünün çalışmalarını durdurarak ve Ukraynalıların hükümete olan güvenini sarsarak Ukrayna’daki durumu istikrarsızlaştırmak. kritik bilgi altyapısının güvenlik açığı ve Ukraynalıların kişisel verilerinin “boşalması”.