Çok platformlu kötü amaçlı yazılım çerçevesi MATA arka kapısı, VHD fidye yazılımında kullanıldı ve APT grubu Lazarus'un .
Kaspersky araştırmacıları, Avrupa ve Asya'daki saldırılarda gerçekleşen iki VHD fidye yazılımı vakasını analiz ederken, bunları kötü şöhretli Kuzey Koreli APT grubu Lazarus ile ilişkilendirmeyi başardı. Hem fidye yazılımının geliştirilmesi hem de bunun mali amaçlı arka planı, grubun stratejisinde bir değişikliğe işaret ediyor; her ikisi de devlet destekli bir APT grubu için oldukça sıra dışı.
Mart ve Nisan 2020'de, kendi kendini kopyalama yeteneği ile karakterize edilen ve kurbanlarından zorla para almayı amaçlayan sözde VHD fidye yazılımına ilişkin ilk raporlar geldi. Kötü amaçlı yazılımı yaymak için kurbana özel kimlik bilgileriyle derlenmiş bir program kullanmak, APT kampanyalarının yaptığına benzer. Kaspersky araştırmacıları, VHD fidye yazılımının Fransa ve Asya'daki şirketlere karşı bilinen Lazarus araçlarıyla yakın ilişki içinde kullanıldığı bir olayı analiz ettikten sonra fidye yazılımını Lazarus APT grubuna bağlamayı başardı.
MATA çok platformlu kötü amaçlı yazılım çerçevesi arka kapısı, destekçileri ortaya çıkarır
Mart ve Mayıs 2020 arasında Kaspersky uzmanları, VHD fidye yazılımıyla ilgili iki bağımsız soruşturma yürüttü. Avrupa'daki ilk olayda, yayılma teknikleri APT grupları tarafından kullanılanlara benzer olmasına rağmen, saldırıların arkasında kimin olduğuna dair çok az kanıt vardı. Genel olarak, saldırı, büyük ve önemli hedefleri hedef alan tanınmış grupların olağan işleyiş tarzına uygun değildi. Ek olarak, yalnızca çok sınırlı sayıda fidye yazılımı kötü amaçlı yazılım örneği ve kamuoyuna duyurulan vakalar vardı, bu da bu kötü amaçlı yazılım ailesinin her zamanki gibi yer altı forumlarında yaygın bir şekilde ticaretinin yapılmayabileceğini düşündürüyor.
Ancak VHD fidye yazılımının kullanıldığı ikinci saldırıda bulaşma zinciri izlenebildi; araştırmacılar böylece kötü amaçlı yazılımı Lazarus grubuna bağlayabildiler. Diğer şeylerin yanı sıra, saldırının arkasındaki kişiler, Kaspersky'nin yakın zamanda ayrıntılı olarak bildirdiği çok platformlu çerçeve MATA'nın bir parçası olan ve kod ve araçlardaki benzerlikler nedeniyle bu APT grubuna atanabilen bir arka kapı kullandı. Kaspersky telemetri verilerine göre, MATA çerçevesinden etkilenen kurbanlar Almanya, Polonya, Türkiye, Kore, Japonya ve Hindistan'da bulunuyordu.
Şifreleme Trojan VHD'si: Değerlendirilen saldırılardan elde edilen bulgular
Bu bulgular, şu ana kadar tespit edilen VHD fidye yazılımı kampanyalarının arkasında Lazarus'un olduğunu gösteriyor. Kullanılan fidye yazılımı, siber suç ortamında oldukça sıra dışı bir şekilde grubun kendisi tarafından geliştirildi ve işletildi.
Kaspersky'nin Küresel Araştırma ve Analiz Ekibi'nde (GReAT) güvenlik araştırmacısı olan Ivan Kwiatkowski, "Lazarus'un faaliyetlerinin her zaman mali kazanç sağlamayı amaçladığını biliyorduk, ancak WannaCry'dan [4] bu yana gruptan fidye yazılımıyla ilgili herhangi bir etkinlik olmadı" diyor. . “Grubun, fidye yazılımına yönelik bu baskın türü yaklaşımla diğer siber suçluların verimliliğiyle boy ölçüşemeyeceği açık olsa da, bu tür bir saldırıya yönelmeleri endişe verici. Küresel fidye yazılımı tehdidi zaten yeterince büyük ve genellikle kurbanlar üzerinde önemli bir mali etkiye sahip, bazen onları iflas ettiriyor. Sormamız gereken soru, bu saldırıların tek seferlik bir deney mi yoksa yeni bir trendin parçası mı olduğu ve bu nedenle özel şirketlerin devlet destekli tehdit aktörlerinin tuzağına düşme konusunda endişelenmeleri gerekip gerekmediğidir. Ne olursa olsun, kuruluşların gizliliğin her zamankinden daha önemli olduğunun farkında olması gerekir. Temel verileri yedeklemek ve reaktif savunmalara yatırım yapmak mutlak bir zorunluluktur.”
Fidye yazılımı saldırılarına karşı korunmak için Kaspersky ipuçları
- Kimlik avının fidye yazılımlarını nasıl yaydığı ve fidye yazılımlarından etkilenmemek için çalışanların nelere dikkat etmesi gerektiği konusunda çalışanları eğitin. Kaspersky Automated Security Awareness Platform gibi özel eğitim konseptleri burada yardımcı olabilir.
- Şirketler, kullanılan tüm yazılım çözümlerinin, uygulamaların ve sistemlerin her zaman güncel olmasını sağlamalıdır. Kaspersky Güvenlik Açığı ve Yama Yönetimi gibi güvenlik açığı ve yama yönetimi işlevlerine sahip bir güvenlik çözümünün kullanılması, kendi ağınızdaki yama uygulanmamış güvenlik açıklarını belirlemenize yardımcı olur.
- Kendi ağlarınızda düzenli siber güvenlik denetimleri yapın ve keşfedilen güvenlik açıklarını ortadan kaldırın.
- Tüm uç noktalar ve sunucular kapsamlı bir çözümle korunmalıdır. Kaspersky Integrated Endpoint Security gibi ilgili bir çözüm, uç nokta güvenliğini sandbox ve EDR işlevselliği ile birleştirerek bilinen ve bilinmeyen tehditlere karşı koruma sağlar.
- Güvenlik ekibi, tehdit aktörleri ve siber suçlular tarafından kullanılan yeni ve gelişmekte olan araçlara, tekniklere ve taktiklere ayak uydurmak için her zaman güncel tehdit istihbaratı verilerine sahip olmalıdır.
- Fidye yazılımı ceza gerektiren bir suçtur. Bu nedenle mağdur olan firmalar fidye taleplerine asla cevap vermemeli ve ödememelidir. Bunun yerine, olay yerel kolluk kuvvetlerine bildirilmelidir. Ayrıca, şu adreste ücretsiz şifre çözme araçları vardır: nomoreransom.orggerekirse verileri kim geri yükleyebilir.
Kaspersky Securelist.com adresinde daha fazla bilgi edinin
Kaspersky Hakkında Kaspersky, 1997 yılında kurulmuş uluslararası bir siber güvenlik şirketidir. Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumaya yönelik yenilikçi güvenlik çözümlerinin ve hizmetlerinin temelini oluşturur. Şirketin kapsamlı güvenlik portföyü, karmaşık ve gelişen siber tehditlere karşı savunma için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı ve 250.000 kurumsal müşteri, Kaspersky teknolojileri tarafından korunmaktadır. www.kaspersky.com/ adresinde Kaspersky hakkında daha fazla bilgi