Eski bir web tarayıcısı kullanıyorsunuz. Bu veya diğer siteleri görüntülemekte sorunlar yaşayabilirsiniz.. Tarayıcınızı güncellemeli veya alternatif bir tarayıcı kullanmalısınız.
Ransomware erişim sağlayabilmek için ödeme (fidye) talebinde bir kurbanın önemli dosyaları şifreler zararlı olduğunu. Fidye ödemesi yapılırsa, fidye yazılımı kurbanları bir şifre çözme anahtarı alır. Ödeme yapılmazsa, kötü niyetli aktör verileri dark web'de yayınlar veya şifreli dosyaya erişimi kalıcı olarak engeller.
Fidye Yazılım Örnekleri
Aşağıda 15 yeni fidye yazılımı örneğini inceliyoruz ve saldırıların nasıl çalıştığını özetliyoruz.
1. BitPaymer
CrowdStrike Intelligence, orijinal BitPaymer'ı izliyor Ağustos 2017'de ilk tanımlandığından beri . İlk yinelemesinde BitPaymer fidye notu, fidye talebini ve TOR tabanlı bir ödeme portalı için bir URL'yi içeriyordu. Ödeme portalı, bir referans kimliği, bir Bitcoin (BTC) cüzdanı ve bir iletişim e-posta adresi ile birlikte “Bit paymer” unvanını içeriyordu. Bu portalın bir örneği aşağıda gösterilmiştir:
2. Kripto kilitleyici
Olarak bilinen fidye grubunun tanıtımı sonrası Ekran dolapları neredeyse kayboldu cryptolocker 2013 cryptolocker ransomware muazzam kullanılan sözde BusinessClub tarafından geliştirilen GameOver Zeus milyonun üzerinde enfeksiyonları ile bot ağı. Grup, kendi fidye yazılımlarını geliştirmeye ve onu botnetlerinin virüslü sistemlerinin bir alt kümesine dağıtmaya karar verdi. Kurbanlar için fidye talebi nispeten küçüktü - 100 ila 300 ABD Doları arasında bir miktar - ve cashU, Ukash, Paysafe, MoneyPak ve Bitcoin (BTC) dahil olmak üzere çeşitli dijital para birimlerinde ödenebilir.
3. Karanlık Taraf
DarkSide fidye yazılımı, CrowdStrike tarafından CARBON SPIDER olarak izlenen bir eCrime grubuyla ilişkili bir RaaS operasyonudur. DarkSide operatörleri geleneksel olarak Windows makinelerine odaklandı ve yakın zamanda Linux'a geçerek, yama uygulanmamış VMware ESXi hipervizörleri çalıştıran veya vCenter kimlik bilgilerini çalan kurumsal ortamları hedef aldı. 10 Mayıs'ta FBI, Colonial Pipeline olayının içerdiğini açıkça belirtti DarkSide fidye yazılımını . Daha sonra Colonial Pipeline'ın ağlarından çalınan yaklaşık 100 GB veri olduğu bildirildi ve örgütün bir yaklaşık 5 milyon ABD doları ödediği iddia edildi DarkSide iştirakine .
4. Dharma
Dharma, kapsamında 2016'dan beri faaliyet gösteriyor hizmet olarak fidye yazılımı (RaaS) modeli geliştiricilerin fidye yazılımlarını diğer suçlulara lisansladığı veya sattığı ve daha sonra kötü amaçlı yazılımı kullanarak bir saldırı gerçekleştirdikleri bir . Dharma bağlı kuruluşları, endüstriler arasında ayrımcılık yapmıyor gibi görünüyor.
CrowdStrike, Dharma'nın orijinal yazarının faaliyeti durdurmadan önce kaynak kodunu 2016'da yayınladığını belirledi. Bu tehdit aktörünün ayrılmasından bu yana, Dharma, ikisi 2019'da aktif olan ve en az biri Ocak 2020 itibariyle aktif olan birden fazla, görünüşte bağımsız aktör tarafından pazarlandı ve satıldı. Ayrı olarak, Phobos fidye yazılımından ilham almış olması muhtemeldir. Dharma tarafından, Phobos'un kod tabanı Dharma'dan ayrı görünüyor.
5. Çift Ödeyen
DoppelPaymer'in bilinen ilk kurbanları Haziran 2019'da hedef alınırken, CrowdStrike, kötü amaçlı yazılımın Nisan 2019'a kadar uzanan önceki sürümlerini kurtarabildi. Bu önceki sürümlerde, sonraki sürümlerde bulunan birçok yeni özellik eksik, bu nedenle, kurbanlara dağıtıldılar ya da sadece test için yapıldılar.
DoppelPaymer tarafından kullanılan fidye notu, orijinal BitPaymer tarafından 2018'de kullanılanlara benzer. Not fidye miktarını içermez; ancak, TOR tabanlı bir ödeme portalı için bir URL içerir ve anahtar kelimeyi kullanmak yerine KEYnot, şifrelenmiş anahtarı tanımlamak için anahtar kelimeyi kullanır. DATAŞekil 4'te gösterildiği gibi.
6. GrandYengeç
GrandCrab, piyasadaki en gelişmiş ve yaygın fidye yazılımı ailelerinden biri olarak kendini kanıtlamıştır. Gelişimi ransomware kendisi siber güvenlik araştırma topluluğuyla Pinchy örümceğin etkileşimleriyle kısmen tahrik edilmiştir. GrandCrab, hem sosyal medyada halka açık olarak aktif olan hem de fidye yazılımı hakkında rapor veren araştırma topluluğu üyelerine birden fazla referans içerir.
PINCHY SPIDER, genellikle GandCrab olaylarının kamuoyuna bildirilmesiyle övünerek, suç forum gönderilerinde fidye yazılımının başarısını desteklemeye devam etti. Şubat ayında, PINCHY SPIDER, GandCrab'ın önceki sürümleri için geliştirilen şifre çözme araçlarına karşı bağışık olan ve aslında en şifre çözücünün yayınlanmasından bir gün önce konuşlandırılan GandCrab'ın 5.2 sürümünü yayınladı son .
Son zamanlarda PINCHY SPIDER, uzak masaüstü protokolü (RDP) ve VNC (Sanal Ağ Bilgi İşlem) becerilerine sahip kişiler ve kurumsal ağ oluşturma konusunda deneyime sahip spam göndericiler için reklam verildiğini de gözlemledi.
7. Labirent
Labirent fidye yazılımı, bir kötü amaçlı yazılımdır dünya çapında birçok sektörde kuruluşları hedefleyen . Maze'in, Labirent geliştiricilerinin gelirlerini Labirent'i kurumsal ağlarda dağıtan çeşitli gruplarla paylaştığı bağlı bir ağ aracılığıyla çalıştığına inanılmaktadır. Labirent operatörleri ayrıca, bir ağdaki varlıklardan diğer ağlara yanal olarak geçmek için yararlanma konusunda bir üne sahiptir.
8. MedusaLocker
MedusaLocker , ilk olarak Ekim 2019'un başlarında vahşi ortamda görülen bir fidye yazılımı ailesidir. Ocak 2020'de, adlı bir MedusaLocker çatalı Ako bir RaaS modelini kolaylaştırmak için bir Tor gizli hizmetinin kullanımını desteklemek üzere güncellenen gözlemlendi. Kötü amaçlı yazılımın Ako sürümünün operatörleri o zamandan beri bir DLS uyguladı (aşağıya bakın)
9. NetWalker
NetWalker, C++ ile yazılmış ve CIRCUS SPIDER olarak belirlenmiş bir grubun parçası olduğu bilinen bir kullanıcı tarafından forumlarda Hizmet Olarak Fidye Yazılımı (RaaS) olarak tanıtılan bir fidye yazılımıdır.
NetWalker yerel sistemdeki dosyaları şifreler, ağ paylaşımlarını eşleştirir ve ek paylaşımlar için ağı numaralandırır, kurbanın sisteminde oturum açmış tüm kullanıcılardan gelen güvenlik belirteçlerini kullanarak bunlara erişmeye çalışır.
Aşağıda fidye notunun bir örneği verilmiştir:
10. NotPetya
NotPetya, Petya'nın bir fidye yazılımı çeşididir ve ilk olarak 2017'de birden fazla ülkedeki sistemlere hızla sızdığı tespit edilmiştir. Bu fidye yazılımı ailesinin özellikle kötü yanı, bir kuruluştaki diğer sistemleri şifrelemek için hızlı bir şekilde yanlamasına hareket etmesine izin veren gizli yayılma tekniklerini kullanmasıdır. NotPetya fidye notları, virüslü her makine için 300 USD talep etti.
11. Petya
2016 yılında keşfedilen Petya fidye yazılımı , Ana Dosya Tablosunu (MFT) ve Ana Önyükleme Kaydı'nı (MBR) şifreleyerek sürücüdeki herhangi bir şeye erişmenizi imkansız hale getirir. Genellikle başka bir istismar çağrısı Mischa ile başlatılır, böylece Petya, MFT veya MBR'ye erişmek için gerekli ayrıcalıklara sahip değilse, Mischa'nın dosyaları şifrelemesi sağlanır. birer birer
12. REVIL
9 Aralık 2019'da PINCHY SPIDER'ın satıcısı REvil fidye yazılımının bir hizmet olarak (RaaS), kurban verilerini bir yeraltı forumuna sızdırmak için bir tehdit yayınladı. CrowdStrike Intelligence, grubun veya bağlı kuruluşlarının böyle bir tehditte bulunduğunu ilk kez gözlemledi ve ABD merkezli bir yönetilen hizmet sağlayıcısı (MSP) ve Çin merkezli bir varlık yönetimi firmasındaki uzlaşmalardan para kazanamaması nedeniyle hayal kırıklığına uğradı. O zamandan beri, PINCHY SPIDER'ın bağlı kuruluşları 80'den fazla kurban hakkında veri yayınladı.
13. Ryuk
Ryuk, özellikle kurumsal ortamları hedeflemek için kullanılır. Ryuk ve sürümleri arasındaki kod karşılaştırması, Ryuk'un Hermes fidye yazılımı Hermes kaynak kodundan türetildiğini ve piyasaya sürülmesinden bu yana sürekli olarak geliştirildiğini gösterir. Hermes, emtia fidye yazılımıdır forumlarda satıldığı gözlemlenen ve birden fazla tehdit aktörü tarafından kullanılan . Ancak Ryuk yalnızca WIZARD SPIDER tarafından kullanılır ve Hermes'in aksine Ryuk yalnızca kurumsal ortamları hedeflemek için kullanılmıştır.
İşte bir Ryuk fidye notu örneği:
14. SamSam
Siber düşman BOSS SPIDER tarafından geliştirilen ve işletilen SamSam'in, bir ortama girmek için yamasız sunucu tarafı yazılımı kullandığı gözlemlendi. En önemlisi, SamSam, Georgia, Atlanta şehrine yapılan 2018 fidye yazılımı saldırısının arkasındaydı. Saldırı, 8.000 şehir çalışanını bilgisayarsız bıraktı ve vatandaşlar park su faturalarını ve park cezalarını ödeyemedi.
Aşağıda, fidye ödendikten sonra bir SamSam operatörünün verdiği yanıta bir örnek verilmiştir. Yanıt genellikle kurbanın şifre çözme anahtarlarını indirmesi için bir URL içerir.
15. WANNA CRY
WCry, WanaCrypt veya Wanna olarak da anılan WannaCry, Mayıs 2017'de dünya genelindeki kuruluşları etkileyen toplu bir kampanya sırasında tanımlandı. WannaCry, dosyaların paylaşılmasına izin veren EternalBlue adlı bir Microsoft Windows açığını kullanarak sağlık kuruluşlarını ve kamu hizmeti şirketlerini hedef aldı ve böylece fidye yazılımının yayılması için bir kapı açtı.
Not : yabancı kaynaklardan derlenmiş ve alıntılanmıştır
Ransomware erişim sağlayabilmek için ödeme (fidye) talebinde bir kurbanın önemli dosyaları şifreler zararlı olduğunu. Fidye ödemesi yapılırsa, fidye yazılımı kurbanları bir şifre çözme anahtarı alır. Ödeme yapılmazsa, kötü niyetli aktör verileri dark web'de yayınlar veya şifreli dosyaya erişimi kalıcı olarak engeller.
Fidye Yazılım Örnekleri
Aşağıda 15 yeni fidye yazılımı örneğini inceliyoruz ve saldırıların nasıl çalıştığını özetliyoruz.
1. BitPaymer
CrowdStrike Intelligence, orijinal BitPaymer'ı izliyor Ağustos 2017'de ilk tanımlandığından beri . İlk yinelemesinde BitPaymer fidye notu, fidye talebini ve TOR tabanlı bir ödeme portalı için bir URL'yi içeriyordu. Ödeme portalı, bir referans kimliği, bir Bitcoin (BTC) cüzdanı ve bir iletişim e-posta adresi ile birlikte “Bit paymer” unvanını içeriyordu. Bu portalın bir örneği aşağıda gösterilmiştir:
2. Kripto kilitleyici
Olarak bilinen fidye grubunun tanıtımı sonrası Ekran dolapları neredeyse kayboldu cryptolocker 2013 cryptolocker ransomware muazzam kullanılan sözde BusinessClub tarafından geliştirilen GameOver Zeus milyonun üzerinde enfeksiyonları ile bot ağı. Grup, kendi fidye yazılımlarını geliştirmeye ve onu botnetlerinin virüslü sistemlerinin bir alt kümesine dağıtmaya karar verdi. Kurbanlar için fidye talebi nispeten küçüktü - 100 ila 300 ABD Doları arasında bir miktar - ve cashU, Ukash, Paysafe, MoneyPak ve Bitcoin (BTC) dahil olmak üzere çeşitli dijital para birimlerinde ödenebilir.
3. Karanlık Taraf
DarkSide fidye yazılımı, CrowdStrike tarafından CARBON SPIDER olarak izlenen bir eCrime grubuyla ilişkili bir RaaS operasyonudur. DarkSide operatörleri geleneksel olarak Windows makinelerine odaklandı ve yakın zamanda Linux'a geçerek, yama uygulanmamış VMware ESXi hipervizörleri çalıştıran veya vCenter kimlik bilgilerini çalan kurumsal ortamları hedef aldı. 10 Mayıs'ta FBI, Colonial Pipeline olayının içerdiğini açıkça belirtti DarkSide fidye yazılımını . Daha sonra Colonial Pipeline'ın ağlarından çalınan yaklaşık 100 GB veri olduğu bildirildi ve örgütün bir yaklaşık 5 milyon ABD doları ödediği iddia edildi DarkSide iştirakine .
4. Dharma
Dharma, kapsamında 2016'dan beri faaliyet gösteriyor hizmet olarak fidye yazılımı (RaaS) modeli geliştiricilerin fidye yazılımlarını diğer suçlulara lisansladığı veya sattığı ve daha sonra kötü amaçlı yazılımı kullanarak bir saldırı gerçekleştirdikleri bir . Dharma bağlı kuruluşları, endüstriler arasında ayrımcılık yapmıyor gibi görünüyor.
CrowdStrike, Dharma'nın orijinal yazarının faaliyeti durdurmadan önce kaynak kodunu 2016'da yayınladığını belirledi. Bu tehdit aktörünün ayrılmasından bu yana, Dharma, ikisi 2019'da aktif olan ve en az biri Ocak 2020 itibariyle aktif olan birden fazla, görünüşte bağımsız aktör tarafından pazarlandı ve satıldı. Ayrı olarak, Phobos fidye yazılımından ilham almış olması muhtemeldir. Dharma tarafından, Phobos'un kod tabanı Dharma'dan ayrı görünüyor.
5. Çift Ödeyen
DoppelPaymer'in bilinen ilk kurbanları Haziran 2019'da hedef alınırken, CrowdStrike, kötü amaçlı yazılımın Nisan 2019'a kadar uzanan önceki sürümlerini kurtarabildi. Bu önceki sürümlerde, sonraki sürümlerde bulunan birçok yeni özellik eksik, bu nedenle, kurbanlara dağıtıldılar ya da sadece test için yapıldılar.
DoppelPaymer tarafından kullanılan fidye notu, orijinal BitPaymer tarafından 2018'de kullanılanlara benzer. Not fidye miktarını içermez; ancak, TOR tabanlı bir ödeme portalı için bir URL içerir ve anahtar kelimeyi kullanmak yerine KEYnot, şifrelenmiş anahtarı tanımlamak için anahtar kelimeyi kullanır. DATAŞekil 4'te gösterildiği gibi.
6. GrandYengeç
GrandCrab, piyasadaki en gelişmiş ve yaygın fidye yazılımı ailelerinden biri olarak kendini kanıtlamıştır. Gelişimi ransomware kendisi siber güvenlik araştırma topluluğuyla Pinchy örümceğin etkileşimleriyle kısmen tahrik edilmiştir. GrandCrab, hem sosyal medyada halka açık olarak aktif olan hem de fidye yazılımı hakkında rapor veren araştırma topluluğu üyelerine birden fazla referans içerir.
PINCHY SPIDER, genellikle GandCrab olaylarının kamuoyuna bildirilmesiyle övünerek, suç forum gönderilerinde fidye yazılımının başarısını desteklemeye devam etti. Şubat ayında, PINCHY SPIDER, GandCrab'ın önceki sürümleri için geliştirilen şifre çözme araçlarına karşı bağışık olan ve aslında en şifre çözücünün yayınlanmasından bir gün önce konuşlandırılan GandCrab'ın 5.2 sürümünü yayınladı son .
Son zamanlarda PINCHY SPIDER, uzak masaüstü protokolü (RDP) ve VNC (Sanal Ağ Bilgi İşlem) becerilerine sahip kişiler ve kurumsal ağ oluşturma konusunda deneyime sahip spam göndericiler için reklam verildiğini de gözlemledi.
7. Labirent
Labirent fidye yazılımı, bir kötü amaçlı yazılımdır dünya çapında birçok sektörde kuruluşları hedefleyen . Maze'in, Labirent geliştiricilerinin gelirlerini Labirent'i kurumsal ağlarda dağıtan çeşitli gruplarla paylaştığı bağlı bir ağ aracılığıyla çalıştığına inanılmaktadır. Labirent operatörleri ayrıca, bir ağdaki varlıklardan diğer ağlara yanal olarak geçmek için yararlanma konusunda bir üne sahiptir.
8. MedusaLocker
MedusaLocker , ilk olarak Ekim 2019'un başlarında vahşi ortamda görülen bir fidye yazılımı ailesidir. Ocak 2020'de, adlı bir MedusaLocker çatalı Ako bir RaaS modelini kolaylaştırmak için bir Tor gizli hizmetinin kullanımını desteklemek üzere güncellenen gözlemlendi. Kötü amaçlı yazılımın Ako sürümünün operatörleri o zamandan beri bir DLS uyguladı (aşağıya bakın)
9. NetWalker
NetWalker, C++ ile yazılmış ve CIRCUS SPIDER olarak belirlenmiş bir grubun parçası olduğu bilinen bir kullanıcı tarafından forumlarda Hizmet Olarak Fidye Yazılımı (RaaS) olarak tanıtılan bir fidye yazılımıdır.
NetWalker yerel sistemdeki dosyaları şifreler, ağ paylaşımlarını eşleştirir ve ek paylaşımlar için ağı numaralandırır, kurbanın sisteminde oturum açmış tüm kullanıcılardan gelen güvenlik belirteçlerini kullanarak bunlara erişmeye çalışır.
Aşağıda fidye notunun bir örneği verilmiştir:
10. NotPetya
NotPetya, Petya'nın bir fidye yazılımı çeşididir ve ilk olarak 2017'de birden fazla ülkedeki sistemlere hızla sızdığı tespit edilmiştir. Bu fidye yazılımı ailesinin özellikle kötü yanı, bir kuruluştaki diğer sistemleri şifrelemek için hızlı bir şekilde yanlamasına hareket etmesine izin veren gizli yayılma tekniklerini kullanmasıdır. NotPetya fidye notları, virüslü her makine için 300 USD talep etti.
11. Petya
2016 yılında keşfedilen Petya fidye yazılımı , Ana Dosya Tablosunu (MFT) ve Ana Önyükleme Kaydı'nı (MBR) şifreleyerek sürücüdeki herhangi bir şeye erişmenizi imkansız hale getirir. Genellikle başka bir istismar çağrısı Mischa ile başlatılır, böylece Petya, MFT veya MBR'ye erişmek için gerekli ayrıcalıklara sahip değilse, Mischa'nın dosyaları şifrelemesi sağlanır. birer birer
12. REVIL
9 Aralık 2019'da PINCHY SPIDER'ın satıcısı REvil fidye yazılımının bir hizmet olarak (RaaS), kurban verilerini bir yeraltı forumuna sızdırmak için bir tehdit yayınladı. CrowdStrike Intelligence, grubun veya bağlı kuruluşlarının böyle bir tehditte bulunduğunu ilk kez gözlemledi ve ABD merkezli bir yönetilen hizmet sağlayıcısı (MSP) ve Çin merkezli bir varlık yönetimi firmasındaki uzlaşmalardan para kazanamaması nedeniyle hayal kırıklığına uğradı. O zamandan beri, PINCHY SPIDER'ın bağlı kuruluşları 80'den fazla kurban hakkında veri yayınladı.
13. Ryuk
Ryuk, özellikle kurumsal ortamları hedeflemek için kullanılır. Ryuk ve sürümleri arasındaki kod karşılaştırması, Ryuk'un Hermes fidye yazılımı Hermes kaynak kodundan türetildiğini ve piyasaya sürülmesinden bu yana sürekli olarak geliştirildiğini gösterir. Hermes, emtia fidye yazılımıdır forumlarda satıldığı gözlemlenen ve birden fazla tehdit aktörü tarafından kullanılan . Ancak Ryuk yalnızca WIZARD SPIDER tarafından kullanılır ve Hermes'in aksine Ryuk yalnızca kurumsal ortamları hedeflemek için kullanılmıştır.
İşte bir Ryuk fidye notu örneği:
14. SamSam
Siber düşman BOSS SPIDER tarafından geliştirilen ve işletilen SamSam'in, bir ortama girmek için yamasız sunucu tarafı yazılımı kullandığı gözlemlendi. En önemlisi, SamSam, Georgia, Atlanta şehrine yapılan 2018 fidye yazılımı saldırısının arkasındaydı. Saldırı, 8.000 şehir çalışanını bilgisayarsız bıraktı ve vatandaşlar park su faturalarını ve park cezalarını ödeyemedi.
Aşağıda, fidye ödendikten sonra bir SamSam operatörünün verdiği yanıta bir örnek verilmiştir. Yanıt genellikle kurbanın şifre çözme anahtarlarını indirmesi için bir URL içerir.
15. WANNA CRY
WCry, WanaCrypt veya Wanna olarak da anılan WannaCry, Mayıs 2017'de dünya genelindeki kuruluşları etkileyen toplu bir kampanya sırasında tanımlandı. WannaCry, dosyaların paylaşılmasına izin veren EternalBlue adlı bir Microsoft Windows açığını kullanarak sağlık kuruluşlarını ve kamu hizmeti şirketlerini hedef aldı ve böylece fidye yazılımının yayılması için bir kapı açtı.
Not : yabancı kaynaklardan derlenmiş ve alıntılanmıştır
Ransomware erişim sağlayabilmek için ödeme (fidye) talebinde bir kurbanın önemli dosyaları şifreler zararlı olduğunu. Fidye ödemesi yapılırsa, fidye yazılımı kurbanları bir şifre çözme anahtarı alır. Ödeme yapılmazsa, kötü niyetli aktör verileri dark web'de yayınlar veya şifreli dosyaya erişimi kalıcı olarak engeller.
Fidye Yazılım Örnekleri
Aşağıda 15 yeni fidye yazılımı örneğini inceliyoruz ve saldırıların nasıl çalıştığını özetliyoruz.
1. BitPaymer
CrowdStrike Intelligence, orijinal BitPaymer'ı izliyor Ağustos 2017'de ilk tanımlandığından beri . İlk yinelemesinde BitPaymer fidye notu, fidye talebini ve TOR tabanlı bir ödeme portalı için bir URL'yi içeriyordu. Ödeme portalı, bir referans kimliği, bir Bitcoin (BTC) cüzdanı ve bir iletişim e-posta adresi ile birlikte “Bit paymer” unvanını içeriyordu. Bu portalın bir örneği aşağıda gösterilmiştir:
2. Kripto kilitleyici
Olarak bilinen fidye grubunun tanıtımı sonrası Ekran dolapları neredeyse kayboldu cryptolocker 2013 cryptolocker ransomware muazzam kullanılan sözde BusinessClub tarafından geliştirilen GameOver Zeus milyonun üzerinde enfeksiyonları ile bot ağı. Grup, kendi fidye yazılımlarını geliştirmeye ve onu botnetlerinin virüslü sistemlerinin bir alt kümesine dağıtmaya karar verdi. Kurbanlar için fidye talebi nispeten küçüktü - 100 ila 300 ABD Doları arasında bir miktar - ve cashU, Ukash, Paysafe, MoneyPak ve Bitcoin (BTC) dahil olmak üzere çeşitli dijital para birimlerinde ödenebilir.
3. Karanlık Taraf
DarkSide fidye yazılımı, CrowdStrike tarafından CARBON SPIDER olarak izlenen bir eCrime grubuyla ilişkili bir RaaS operasyonudur. DarkSide operatörleri geleneksel olarak Windows makinelerine odaklandı ve yakın zamanda Linux'a geçerek, yama uygulanmamış VMware ESXi hipervizörleri çalıştıran veya vCenter kimlik bilgilerini çalan kurumsal ortamları hedef aldı. 10 Mayıs'ta FBI, Colonial Pipeline olayının içerdiğini açıkça belirtti DarkSide fidye yazılımını . Daha sonra Colonial Pipeline'ın ağlarından çalınan yaklaşık 100 GB veri olduğu bildirildi ve örgütün bir yaklaşık 5 milyon ABD doları ödediği iddia edildi DarkSide iştirakine .
4. Dharma
Dharma, kapsamında 2016'dan beri faaliyet gösteriyor hizmet olarak fidye yazılımı (RaaS) modeli geliştiricilerin fidye yazılımlarını diğer suçlulara lisansladığı veya sattığı ve daha sonra kötü amaçlı yazılımı kullanarak bir saldırı gerçekleştirdikleri bir . Dharma bağlı kuruluşları, endüstriler arasında ayrımcılık yapmıyor gibi görünüyor.
CrowdStrike, Dharma'nın orijinal yazarının faaliyeti durdurmadan önce kaynak kodunu 2016'da yayınladığını belirledi. Bu tehdit aktörünün ayrılmasından bu yana, Dharma, ikisi 2019'da aktif olan ve en az biri Ocak 2020 itibariyle aktif olan birden fazla, görünüşte bağımsız aktör tarafından pazarlandı ve satıldı. Ayrı olarak, Phobos fidye yazılımından ilham almış olması muhtemeldir. Dharma tarafından, Phobos'un kod tabanı Dharma'dan ayrı görünüyor.
5. Çift Ödeyen
DoppelPaymer'in bilinen ilk kurbanları Haziran 2019'da hedef alınırken, CrowdStrike, kötü amaçlı yazılımın Nisan 2019'a kadar uzanan önceki sürümlerini kurtarabildi. Bu önceki sürümlerde, sonraki sürümlerde bulunan birçok yeni özellik eksik, bu nedenle, kurbanlara dağıtıldılar ya da sadece test için yapıldılar.
DoppelPaymer tarafından kullanılan fidye notu, orijinal BitPaymer tarafından 2018'de kullanılanlara benzer. Not fidye miktarını içermez; ancak, TOR tabanlı bir ödeme portalı için bir URL içerir ve anahtar kelimeyi kullanmak yerine KEYnot, şifrelenmiş anahtarı tanımlamak için anahtar kelimeyi kullanır. DATAŞekil 4'te gösterildiği gibi.
6. GrandYengeç
GrandCrab, piyasadaki en gelişmiş ve yaygın fidye yazılımı ailelerinden biri olarak kendini kanıtlamıştır. Gelişimi ransomware kendisi siber güvenlik araştırma topluluğuyla Pinchy örümceğin etkileşimleriyle kısmen tahrik edilmiştir. GrandCrab, hem sosyal medyada halka açık olarak aktif olan hem de fidye yazılımı hakkında rapor veren araştırma topluluğu üyelerine birden fazla referans içerir.
PINCHY SPIDER, genellikle GandCrab olaylarının kamuoyuna bildirilmesiyle övünerek, suç forum gönderilerinde fidye yazılımının başarısını desteklemeye devam etti. Şubat ayında, PINCHY SPIDER, GandCrab'ın önceki sürümleri için geliştirilen şifre çözme araçlarına karşı bağışık olan ve aslında en şifre çözücünün yayınlanmasından bir gün önce konuşlandırılan GandCrab'ın 5.2 sürümünü yayınladı son .
Son zamanlarda PINCHY SPIDER, uzak masaüstü protokolü (RDP) ve VNC (Sanal Ağ Bilgi İşlem) becerilerine sahip kişiler ve kurumsal ağ oluşturma konusunda deneyime sahip spam göndericiler için reklam verildiğini de gözlemledi.
7. Labirent
Labirent fidye yazılımı, bir kötü amaçlı yazılımdır dünya çapında birçok sektörde kuruluşları hedefleyen . Maze'in, Labirent geliştiricilerinin gelirlerini Labirent'i kurumsal ağlarda dağıtan çeşitli gruplarla paylaştığı bağlı bir ağ aracılığıyla çalıştığına inanılmaktadır. Labirent operatörleri ayrıca, bir ağdaki varlıklardan diğer ağlara yanal olarak geçmek için yararlanma konusunda bir üne sahiptir.
8. MedusaLocker
MedusaLocker , ilk olarak Ekim 2019'un başlarında vahşi ortamda görülen bir fidye yazılımı ailesidir. Ocak 2020'de, adlı bir MedusaLocker çatalı Ako bir RaaS modelini kolaylaştırmak için bir Tor gizli hizmetinin kullanımını desteklemek üzere güncellenen gözlemlendi. Kötü amaçlı yazılımın Ako sürümünün operatörleri o zamandan beri bir DLS uyguladı (aşağıya bakın)
9. NetWalker
NetWalker, C++ ile yazılmış ve CIRCUS SPIDER olarak belirlenmiş bir grubun parçası olduğu bilinen bir kullanıcı tarafından forumlarda Hizmet Olarak Fidye Yazılımı (RaaS) olarak tanıtılan bir fidye yazılımıdır.
NetWalker yerel sistemdeki dosyaları şifreler, ağ paylaşımlarını eşleştirir ve ek paylaşımlar için ağı numaralandırır, kurbanın sisteminde oturum açmış tüm kullanıcılardan gelen güvenlik belirteçlerini kullanarak bunlara erişmeye çalışır.
Aşağıda fidye notunun bir örneği verilmiştir:
10. NotPetya
NotPetya, Petya'nın bir fidye yazılımı çeşididir ve ilk olarak 2017'de birden fazla ülkedeki sistemlere hızla sızdığı tespit edilmiştir. Bu fidye yazılımı ailesinin özellikle kötü yanı, bir kuruluştaki diğer sistemleri şifrelemek için hızlı bir şekilde yanlamasına hareket etmesine izin veren gizli yayılma tekniklerini kullanmasıdır. NotPetya fidye notları, virüslü her makine için 300 USD talep etti.
11. Petya
2016 yılında keşfedilen Petya fidye yazılımı , Ana Dosya Tablosunu (MFT) ve Ana Önyükleme Kaydı'nı (MBR) şifreleyerek sürücüdeki herhangi bir şeye erişmenizi imkansız hale getirir. Genellikle başka bir istismar çağrısı Mischa ile başlatılır, böylece Petya, MFT veya MBR'ye erişmek için gerekli ayrıcalıklara sahip değilse, Mischa'nın dosyaları şifrelemesi sağlanır. birer birer
12. REVIL
9 Aralık 2019'da PINCHY SPIDER'ın satıcısı REvil fidye yazılımının bir hizmet olarak (RaaS), kurban verilerini bir yeraltı forumuna sızdırmak için bir tehdit yayınladı. CrowdStrike Intelligence, grubun veya bağlı kuruluşlarının böyle bir tehditte bulunduğunu ilk kez gözlemledi ve ABD merkezli bir yönetilen hizmet sağlayıcısı (MSP) ve Çin merkezli bir varlık yönetimi firmasındaki uzlaşmalardan para kazanamaması nedeniyle hayal kırıklığına uğradı. O zamandan beri, PINCHY SPIDER'ın bağlı kuruluşları 80'den fazla kurban hakkında veri yayınladı.
13. Ryuk
Ryuk, özellikle kurumsal ortamları hedeflemek için kullanılır. Ryuk ve sürümleri arasındaki kod karşılaştırması, Ryuk'un Hermes fidye yazılımı Hermes kaynak kodundan türetildiğini ve piyasaya sürülmesinden bu yana sürekli olarak geliştirildiğini gösterir. Hermes, emtia fidye yazılımıdır forumlarda satıldığı gözlemlenen ve birden fazla tehdit aktörü tarafından kullanılan . Ancak Ryuk yalnızca WIZARD SPIDER tarafından kullanılır ve Hermes'in aksine Ryuk yalnızca kurumsal ortamları hedeflemek için kullanılmıştır.
İşte bir Ryuk fidye notu örneği:
14. SamSam
Siber düşman BOSS SPIDER tarafından geliştirilen ve işletilen SamSam'in, bir ortama girmek için yamasız sunucu tarafı yazılımı kullandığı gözlemlendi. En önemlisi, SamSam, Georgia, Atlanta şehrine yapılan 2018 fidye yazılımı saldırısının arkasındaydı. Saldırı, 8.000 şehir çalışanını bilgisayarsız bıraktı ve vatandaşlar park su faturalarını ve park cezalarını ödeyemedi.
Aşağıda, fidye ödendikten sonra bir SamSam operatörünün verdiği yanıta bir örnek verilmiştir. Yanıt genellikle kurbanın şifre çözme anahtarlarını indirmesi için bir URL içerir.
15. WANNA CRY
WCry, WanaCrypt veya Wanna olarak da anılan WannaCry, Mayıs 2017'de dünya genelindeki kuruluşları etkileyen toplu bir kampanya sırasında tanımlandı. WannaCry, dosyaların paylaşılmasına izin veren EternalBlue adlı bir Microsoft Windows açığını kullanarak sağlık kuruluşlarını ve kamu hizmeti şirketlerini hedef aldı ve böylece fidye yazılımının yayılması için bir kapı açtı.
Not : yabancı kaynaklardan derlenmiş ve alıntılanmıştır
Ransomware erişim sağlayabilmek için ödeme (fidye) talebinde bir kurbanın önemli dosyaları şifreler zararlı olduğunu. Fidye ödemesi yapılırsa, fidye yazılımı kurbanları bir şifre çözme anahtarı alır. Ödeme yapılmazsa, kötü niyetli aktör verileri dark web'de yayınlar veya şifreli dosyaya erişimi kalıcı olarak engeller.
Fidye Yazılım Örnekleri
Aşağıda 15 yeni fidye yazılımı örneğini inceliyoruz ve saldırıların nasıl çalıştığını özetliyoruz.
1. BitPaymer
CrowdStrike Intelligence, orijinal BitPaymer'ı izliyor Ağustos 2017'de ilk tanımlandığından beri . İlk yinelemesinde BitPaymer fidye notu, fidye talebini ve TOR tabanlı bir ödeme portalı için bir URL'yi içeriyordu. Ödeme portalı, bir referans kimliği, bir Bitcoin (BTC) cüzdanı ve bir iletişim e-posta adresi ile birlikte “Bit paymer” unvanını içeriyordu. Bu portalın bir örneği aşağıda gösterilmiştir:
2. Kripto kilitleyici
Olarak bilinen fidye grubunun tanıtımı sonrası Ekran dolapları neredeyse kayboldu cryptolocker 2013 cryptolocker ransomware muazzam kullanılan sözde BusinessClub tarafından geliştirilen GameOver Zeus milyonun üzerinde enfeksiyonları ile bot ağı. Grup, kendi fidye yazılımlarını geliştirmeye ve onu botnetlerinin virüslü sistemlerinin bir alt kümesine dağıtmaya karar verdi. Kurbanlar için fidye talebi nispeten küçüktü - 100 ila 300 ABD Doları arasında bir miktar - ve cashU, Ukash, Paysafe, MoneyPak ve Bitcoin (BTC) dahil olmak üzere çeşitli dijital para birimlerinde ödenebilir.
3. Karanlık Taraf
DarkSide fidye yazılımı, CrowdStrike tarafından CARBON SPIDER olarak izlenen bir eCrime grubuyla ilişkili bir RaaS operasyonudur. DarkSide operatörleri geleneksel olarak Windows makinelerine odaklandı ve yakın zamanda Linux'a geçerek, yama uygulanmamış VMware ESXi hipervizörleri çalıştıran veya vCenter kimlik bilgilerini çalan kurumsal ortamları hedef aldı. 10 Mayıs'ta FBI, Colonial Pipeline olayının içerdiğini açıkça belirtti DarkSide fidye yazılımını . Daha sonra Colonial Pipeline'ın ağlarından çalınan yaklaşık 100 GB veri olduğu bildirildi ve örgütün bir yaklaşık 5 milyon ABD doları ödediği iddia edildi DarkSide iştirakine .
4. Dharma
Dharma, kapsamında 2016'dan beri faaliyet gösteriyor hizmet olarak fidye yazılımı (RaaS) modeli geliştiricilerin fidye yazılımlarını diğer suçlulara lisansladığı veya sattığı ve daha sonra kötü amaçlı yazılımı kullanarak bir saldırı gerçekleştirdikleri bir . Dharma bağlı kuruluşları, endüstriler arasında ayrımcılık yapmıyor gibi görünüyor.
CrowdStrike, Dharma'nın orijinal yazarının faaliyeti durdurmadan önce kaynak kodunu 2016'da yayınladığını belirledi. Bu tehdit aktörünün ayrılmasından bu yana, Dharma, ikisi 2019'da aktif olan ve en az biri Ocak 2020 itibariyle aktif olan birden fazla, görünüşte bağımsız aktör tarafından pazarlandı ve satıldı. Ayrı olarak, Phobos fidye yazılımından ilham almış olması muhtemeldir. Dharma tarafından, Phobos'un kod tabanı Dharma'dan ayrı görünüyor.
5. Çift Ödeyen
DoppelPaymer'in bilinen ilk kurbanları Haziran 2019'da hedef alınırken, CrowdStrike, kötü amaçlı yazılımın Nisan 2019'a kadar uzanan önceki sürümlerini kurtarabildi. Bu önceki sürümlerde, sonraki sürümlerde bulunan birçok yeni özellik eksik, bu nedenle, kurbanlara dağıtıldılar ya da sadece test için yapıldılar.
DoppelPaymer tarafından kullanılan fidye notu, orijinal BitPaymer tarafından 2018'de kullanılanlara benzer. Not fidye miktarını içermez; ancak, TOR tabanlı bir ödeme portalı için bir URL içerir ve anahtar kelimeyi kullanmak yerine KEYnot, şifrelenmiş anahtarı tanımlamak için anahtar kelimeyi kullanır. DATAŞekil 4'te gösterildiği gibi.
6. GrandYengeç
GrandCrab, piyasadaki en gelişmiş ve yaygın fidye yazılımı ailelerinden biri olarak kendini kanıtlamıştır. Gelişimi ransomware kendisi siber güvenlik araştırma topluluğuyla Pinchy örümceğin etkileşimleriyle kısmen tahrik edilmiştir. GrandCrab, hem sosyal medyada halka açık olarak aktif olan hem de fidye yazılımı hakkında rapor veren araştırma topluluğu üyelerine birden fazla referans içerir.
PINCHY SPIDER, genellikle GandCrab olaylarının kamuoyuna bildirilmesiyle övünerek, suç forum gönderilerinde fidye yazılımının başarısını desteklemeye devam etti. Şubat ayında, PINCHY SPIDER, GandCrab'ın önceki sürümleri için geliştirilen şifre çözme araçlarına karşı bağışık olan ve aslında en şifre çözücünün yayınlanmasından bir gün önce konuşlandırılan GandCrab'ın 5.2 sürümünü yayınladı son .
Son zamanlarda PINCHY SPIDER, uzak masaüstü protokolü (RDP) ve VNC (Sanal Ağ Bilgi İşlem) becerilerine sahip kişiler ve kurumsal ağ oluşturma konusunda deneyime sahip spam göndericiler için reklam verildiğini de gözlemledi.
7. Labirent
Labirent fidye yazılımı, bir kötü amaçlı yazılımdır dünya çapında birçok sektörde kuruluşları hedefleyen . Maze'in, Labirent geliştiricilerinin gelirlerini Labirent'i kurumsal ağlarda dağıtan çeşitli gruplarla paylaştığı bağlı bir ağ aracılığıyla çalıştığına inanılmaktadır. Labirent operatörleri ayrıca, bir ağdaki varlıklardan diğer ağlara yanal olarak geçmek için yararlanma konusunda bir üne sahiptir.
8. MedusaLocker
MedusaLocker , ilk olarak Ekim 2019'un başlarında vahşi ortamda görülen bir fidye yazılımı ailesidir. Ocak 2020'de, adlı bir MedusaLocker çatalı Ako bir RaaS modelini kolaylaştırmak için bir Tor gizli hizmetinin kullanımını desteklemek üzere güncellenen gözlemlendi. Kötü amaçlı yazılımın Ako sürümünün operatörleri o zamandan beri bir DLS uyguladı (aşağıya bakın)
9. NetWalker
NetWalker, C++ ile yazılmış ve CIRCUS SPIDER olarak belirlenmiş bir grubun parçası olduğu bilinen bir kullanıcı tarafından forumlarda Hizmet Olarak Fidye Yazılımı (RaaS) olarak tanıtılan bir fidye yazılımıdır.
NetWalker yerel sistemdeki dosyaları şifreler, ağ paylaşımlarını eşleştirir ve ek paylaşımlar için ağı numaralandırır, kurbanın sisteminde oturum açmış tüm kullanıcılardan gelen güvenlik belirteçlerini kullanarak bunlara erişmeye çalışır.
Aşağıda fidye notunun bir örneği verilmiştir:
10. NotPetya
NotPetya, Petya'nın bir fidye yazılımı çeşididir ve ilk olarak 2017'de birden fazla ülkedeki sistemlere hızla sızdığı tespit edilmiştir. Bu fidye yazılımı ailesinin özellikle kötü yanı, bir kuruluştaki diğer sistemleri şifrelemek için hızlı bir şekilde yanlamasına hareket etmesine izin veren gizli yayılma tekniklerini kullanmasıdır. NotPetya fidye notları, virüslü her makine için 300 USD talep etti.
11. Petya
2016 yılında keşfedilen Petya fidye yazılımı , Ana Dosya Tablosunu (MFT) ve Ana Önyükleme Kaydı'nı (MBR) şifreleyerek sürücüdeki herhangi bir şeye erişmenizi imkansız hale getirir. Genellikle başka bir istismar çağrısı Mischa ile başlatılır, böylece Petya, MFT veya MBR'ye erişmek için gerekli ayrıcalıklara sahip değilse, Mischa'nın dosyaları şifrelemesi sağlanır. birer birer
12. REVIL
9 Aralık 2019'da PINCHY SPIDER'ın satıcısı REvil fidye yazılımının bir hizmet olarak (RaaS), kurban verilerini bir yeraltı forumuna sızdırmak için bir tehdit yayınladı. CrowdStrike Intelligence, grubun veya bağlı kuruluşlarının böyle bir tehditte bulunduğunu ilk kez gözlemledi ve ABD merkezli bir yönetilen hizmet sağlayıcısı (MSP) ve Çin merkezli bir varlık yönetimi firmasındaki uzlaşmalardan para kazanamaması nedeniyle hayal kırıklığına uğradı. O zamandan beri, PINCHY SPIDER'ın bağlı kuruluşları 80'den fazla kurban hakkında veri yayınladı.
13. Ryuk
Ryuk, özellikle kurumsal ortamları hedeflemek için kullanılır. Ryuk ve sürümleri arasındaki kod karşılaştırması, Ryuk'un Hermes fidye yazılımı Hermes kaynak kodundan türetildiğini ve piyasaya sürülmesinden bu yana sürekli olarak geliştirildiğini gösterir. Hermes, emtia fidye yazılımıdır forumlarda satıldığı gözlemlenen ve birden fazla tehdit aktörü tarafından kullanılan . Ancak Ryuk yalnızca WIZARD SPIDER tarafından kullanılır ve Hermes'in aksine Ryuk yalnızca kurumsal ortamları hedeflemek için kullanılmıştır.
İşte bir Ryuk fidye notu örneği:
14. SamSam
Siber düşman BOSS SPIDER tarafından geliştirilen ve işletilen SamSam'in, bir ortama girmek için yamasız sunucu tarafı yazılımı kullandığı gözlemlendi. En önemlisi, SamSam, Georgia, Atlanta şehrine yapılan 2018 fidye yazılımı saldırısının arkasındaydı. Saldırı, 8.000 şehir çalışanını bilgisayarsız bıraktı ve vatandaşlar park su faturalarını ve park cezalarını ödeyemedi.
Aşağıda, fidye ödendikten sonra bir SamSam operatörünün verdiği yanıta bir örnek verilmiştir. Yanıt genellikle kurbanın şifre çözme anahtarlarını indirmesi için bir URL içerir.
15. WANNA CRY
WCry, WanaCrypt veya Wanna olarak da anılan WannaCry, Mayıs 2017'de dünya genelindeki kuruluşları etkileyen toplu bir kampanya sırasında tanımlandı. WannaCry, dosyaların paylaşılmasına izin veren EternalBlue adlı bir Microsoft Windows açığını kullanarak sağlık kuruluşlarını ve kamu hizmeti şirketlerini hedef aldı ve böylece fidye yazılımının yayılması için bir kapı açtı.
Not : yabancı kaynaklardan derlenmiş ve alıntılanmıştır
Legal Notice:
The website spyhackerz.org is classified as a “Hosting Provider” (“Yer Sağlayıcı”) within the meaning of Article 2, paragraph 1, subparagraph (m) and Article 5 of Law No. 5651. All content is created entirely by users without any prior approval, similar to platforms such as X, Instagram, Facebook, etc.
As a hosting provider, spyhackerz.org is not obliged to monitor, control, or investigate user-generated content or any potentially unlawful sharing. There are no “attack teams” on spyhackerz.org, and no harmful activities are carried out against websites located in Türkiye.
SPYHACKERZ is not responsible for any individual hacking-related forum activities carried out by its members. If any hacking activity is conducted against your websites using the name spyhackerz.org, all responsibility lies solely with the member who performs the attack.
