Global Ransomware İstatistiği
Aylık, haftalık ve yıllık özetlerle saldırı trendlerini takip edebilir, her fidye yazılımı grubunun saldırı detaylarına ayrı ayrı ulaşabilirsiniz. Harita, saldırıların coğrafi dağılımını, başlangıç noktalarını analiz ederek küresel tehdit ortamını anlamanızı kolaylaştıracak şekilde tasarlandı.
En tehlikeli üç ransomware grubunu inceleyin ve güvenliğinizi güçlendirin.
No data selected
Son ransomware saldırılarından haberdar olmak için abone olun.
2024 Fidye Yazılımı Ekosistemi
2024 yılı, fidye yazılımı gruplarının faaliyetlerinde önemli değişimlerin yaşandığı bir dönem olarak dikkat çekmektedir. Özellikle LockBit ve RansomHub arasındaki rekabet, siber güvenlik dünyasında öne çıkmaktadır. Bu analizde, mevcut veriler ışığında fidye yazılımı ekosistemindeki gelişmeleri ve olası senaryoları değerlendireceğiz.
Genel Durum Yılın sonuna yaklaşırken, fidye yazılımı gruplarının saldırı sayıları şu şekilde: LockBit: 549 saldırı RansomHub: 529 saldırı Play: 347 saldırı Akira: 245 saldırı Hunters: 217 saldırı Medusa Blog: 202 saldırı Black Basta: 186 saldırı Bu veriler, fidye yazılımı gruplarının etkinliklerinde belirgin bir artış olduğunu gösteriyor. Özellikle LockBit ve RansomHub arasındaki farkın azalması, rekabetin kızıştığını işaret ediyor.
LockBit: Uzun süredir fidye yazılımı sahnesinde lider konumda olan LockBit, 2024 yılında da etkinliğini sürdürmüştür. Ancak, yıl içinde yaşanan uluslararası operasyonlar ve grubun altyapısına yönelik baskılar, faaliyetlerinde geçici düşüşlere neden olmuştur. Özellikle Şubat 2024'te gerçekleştirilen bir operasyon, LockBit'in etkinliğini etkilemiştir.
RansomHub: 2024 yılında hızla yükselen RansomHub, LockBit'in düşüşünden faydalanarak liderliği ele geçirmiştir. Şubat 2024'te faaliyetlerine başlayan grup, kısa sürede en aktif fidye yazılımı grubu haline gelmiştir. ESET'in H2 2024 Tehdit Raporu'na göre, RansomHub'ın bu yükselişi, eski LockBit ve BlackCat üyelerinin katılımıyla desteklenmiştir.
Diğer Gruplar: Play, Akira, Hunters International ve Medusa gibi gruplar da 2024 yılında faaliyet göstermiştir. Ancak, saldırı sayıları açısından lider grupların gerisinde kalmışlardır. Özellikle Play grubu, ABD'de en aktif ikinci fidye yazılımı grubu olarak öne çıkmıştır.
Fidye Yazılımı Saldırılarında Artış: Microsoft'un Dijital Savunma Raporu'na göre, fidye yazılımı bağlantılı olaylarda yıllık 2,75 kat artış gözlemlenmiştir. Ancak, şifreleme aşamasına geçen saldırıların oranı son iki yılda üç kat azalmıştır.
Endüstriyel Sistemlere Yönelik Saldırılar: Kaspersky'nin raporuna göre, fidye yazılımı etkinliğinin artmasıyla birlikte endüstriyel kontrol sistemleri (ICS) bilgisayarlarının fidye yazılımından etkilenme oranı bir önceki çeyreğe göre 1,2 kat artmıştır.
Sosyal Mühendislik Taktikleri: Black Basta gibi gruplar, sosyal mühendislik tekniklerini artırarak kuruluşların hassas sistemlerine erişim sağlamaktadır. Özellikle Microsoft Teams üzerinden sahte mesajlar ve kötü amaçlı QR kodları kullanarak saldırılar düzenlemektedirler.
RansomHub'ın Liderliği Sürdürmesi: Mevcut ivmesini koruyan RansomHub'ın, 2025 yılında da en aktif fidye yazılımı grubu olarak faaliyet göstermesi muhtemeldir. ESET'in raporuna göre, grubun eski LockBit ve BlackCat üyelerinden oluşması, deneyim ve kaynak açısından avantaj sağlamaktadır.
LockBit'in Yeniden Yapılanması: Uluslararası operasyonların baskısı altında kalan LockBit'in, yeni taktikler ve stratejiler geliştirerek sahneye geri dönme olasılığı bulunmaktadır. Ancak, artan kolluk kuvvetleri baskısı, grubun faaliyetlerini zorlaştırabilir.
Yeni Grupların Ortaya Çıkışı: Fidye yazılımı ekosistemindeki boşlukları doldurmak isteyen yeni grupların ortaya çıkması muhtemeldir. Özellikle CosmicBeetle gibi yeni gruplar, Mart 2024'ten bu yana artan etkinlik göstermektedir.
Proaktif Savunma Stratejileri: Kurumların, fidye yazılımı saldırılarına karşı proaktif savunma stratejileri geliştirmeleri önem taşımaktadır. Sürekli gelişen saldırı taktiklerine karşı güncel güvenlik önlemleri alınmalıdır.
Farkındalık ve Eğitim: Çalışanların sosyal mühendislik saldırılarına karşı bilinçlendirilmesi ve düzenli eğitimlerle farkındalıklarının artırılması gerekmektedir.
Yedekleme ve Kurtarma Planları: Kritik verilerin düzenli olarak yedeklenmesi ve olası bir saldırı durumunda hızlı bir şekilde kurtarma planlarının devreye sokulması hayati öneme sahiptir.
Sonuç olarak, 2024 yılı fidye yazılımı ekosisteminde önemli değişimlerin yaşandığı bir yıl olmuştur. LockBit ve RansomHub arasındaki rekabet, siber tehdit ortamının dinamik yapısını yansıtmaktadır. Kurumların, bu tehditlere karşı hazırlıklı olmaları ve güvenlik önlemlerini sürekli güncellemeleri gerekmektedir.
Bakanlıktan yapılan yazılı açıklamada, Tarım ve Orman Bakanlığının bilişim sistemlerine yapılan siber saldırı hakkında bilgi verildi.
Hacker grupları tarafından kamu kurumları ve özel sektörün bilişim sistemlerinin sürekli hedef alındığı hatırlatılan açıklamada şunlar kaydedildi:
“31 Temmuz saat 01.00 sıralarında itibarıyla Tarım ve Orman Bakanlığının domainlerinden birinde bulunan bazı sunucular siber saldırıya uğramış ve kullanılmaması için şifrelenmiştir. Bakanlığımızca sabah erken saatlerde bu durum fark edilmiş, sistem şifreleme protokolleri devreye girmiş ve Cumhurbaşkanlığı Dijital Dönüşüm Ofisi yetkileri ile koordineli olarak bir çalışma başlatılmış, gerekli tedbirler alınmıştır. Bu saldırıda Bakanlığımızın bir kısım sunucuları hedef alındığı için öncelikle tüm sistemin güvenliği kontrol altına alınmıştır.
Bu yapılan siber saldırıda Bakanlığımızın ana domainde olan sunucular etkilenmemiş olup Bakanlığımızda 3 ayrı yedekleme sistemi mevcuttur. Bu yedekleme sistemleri Bakanlığımızda ve özel bir veri merkezinde saklanmaktadır.”
Açıklamada, etkilenen sunucuların ve yedeklerinin kriminal inceleme için koruma altına alındığı belirtilerek, “Elimizde bulunan diğer sistemler üzerine yeniden yazımlar ve veri tabanı kurulmuştur. Sistemlere ilk müdahale eden profesyonel ekip sistemleri koruma altına alıp internet bağlantılarını kestiği ve sunuculara hiçbir suretle müdahale edilmediği için kişilerin ne istediği ile ilgilenilmemiş ve doğrudan Bakanlığımız yedek sistemlerinin ayağa kaldırılması yoluna gidilmiştir. Sistemler, kurum dışındaki yedeklerden veri kaybı olmadan ayağa kaldırılmıştır. Konu adli makamlara iletilmiş olup gerekli inceleme başlatılmıştır.” ifadesi kullanıldı.
Grupla ilgili henüz kesin bir bilgiye ulaşılamamakla birlikte, genellikle vpn zafiyetlerinden faydalanan ve sahte e-mail (fishing) yöntemleri ile saldırı gerçekleştiren bir fidye virüsü grubu olduğu söyleniyor. Rus menşeli olduğu düşünülen bu ransomware grubunun, daha önce yabancı bir çok kuruma da bu tür saldırılar gerçekleştirdiği bilgisine ulaşılmıştır. Ransomware grupları arasında en çok konuşulan gruplar Revil, Conti, LockBit, Ragnarok, BlackMatter, RansomExx gibi kötülüğü ile ün salmış gruplardan birinin olduğu düşünülmektedir. Şifrelemenin, bakanlığın yaptığı açıklamada belirtildiği üzere, gece saatlerinde başladığı fakat sisteme daha önceden sızmış olan ransomware grubunun sistemi uzunca bir süre takip ettikten sonra kritik verileri tespit edip, daha sonra atağa geçtiği düşünülmektedir. Terabyte boyutundaki verilerin bir gecede şifrelenebilmesinin diğer türlü mümkün olmayacağı düşünülmektedir. Yurtiçinde, bu konuda uzman kişilerin görüşüne başvurulduğu, dışardan destek alınmaya çalışıldığı gelen bilgiler arasında. Aradan geçen zamana rağmen sistemlerde henüz iyileştirmenin tamamlanmadığı gözlemlenmiştir. Düzenli olarak kurum dışında alınan yedekler haricinde, kuruma ait yedekleme sunucularının da bu saldırıdan etkilendiği söyleniyor. Kurum dışında alınan yedeklerin sağlıklı bir şekilde çalışabilmesi için, kurum içerisinde yedeklenen verilerin çözülmesi gerektiği, aksi takdirde alınan yedeklerin kendi başına sistemin çalışmasını sağlayamayacağı düşünülmektedir.
Şu ana kadar edindiğimiz bilgiler bunlar olmakla birlikte, detaylara ulaşıldıkça konu hakkında bilgilendirmeler devam edecektir.
FSB, REvil Ransomware grubunu etkisiz hale getirmek için özel operasyonlardan birinin videosunu yayınladı. Rus siber cephesinde ilginç şeyler yaşanıyor…
Tarih 13.01.2022’yi gösterirken Ukrayna devlet kurumlarının (MFA ve MoD dahil) web sitelerine yapılan Rus siber saldırıları, şimdi ise Rusya’nın en büyük hacker gruplarından REvil’e FSB tarafından yapılan baskınlar siber dünyada büyük yankı topladı. Bir zamanlar “Fidye Virüsünün Veliahtı” olarak adlandırılan REvil, Kaseya tedarik zinciri saldırısından ve diğer birçok yüksek profilli saldırılardan sorumluydu. Rus özel servisinin uzun süredir takibe aldığı ve Kaseya saldırısı dahil olmak üzere bir çok saldırıda parmağı olan REvil fidye virüsü grubunun çökertilmesi, siber korsan camiasında şaşkınlığa sebep oldu. Bir çok siber tehdit aktörünün istihbarat servisleri ile birlikte hareket ettiği bilinen bir gerçek. Bu operasyon dolayısıyla REvil gibi bir hacker grubuna yönelik yapılan operasyon diğer gruplarda paniğe yol açtı. Bu güvenlik operasyonunda REvil’in 15 üyesi Rus yetkililer tarafından tutuklandı. Kripto para hesapları, 600 bin dolar, 500 bin avronun yanı sıra bilgisayar ekipmanları, kripto hesap cüzdanları ve suç parasıyla satın alınan 20 premium otomobil de dahil olmak üzere 25 adreste 426 milyon rublenin üzerinde para ele geçirildi.
Bu operasyondan bir gün önce de Ukrayna ve ABD siber ekipleri tarafından yapılan operasyonda RIP Ransomware grubuna yönelik operasyon gerçekleştirilmişti. Bu gurubun da 50’den fazla büyük şirkete saldırı gerçekleştirdiği ve bu saldırılardan 1 milyon doların üzerinde gelir elde ettiği düşünülüyor. Grubun organizatörü 36 yaşındaki Kievli, eşi ve üç arkadaşıyla birlikte yabancı şirketlere yönelik siber saldırılar düzenlediği tespit edildi. Gözaltına alınan zanlılar ifadelerinin ardından mahkemeye sevk edildi.
Conti Ransomware grubu, Tayvan’lı elektronik üretim devi, Apple ve Tesla gibi şirketlere güç bileşenleri tedarik eden Delta Electronics’e yönelik saldırı gerçekleştirdi.
Şirket tarafından borsa yetkilileriyle paylaşılan açıklamaya göre, saldırı geçtiğimiz Cuma günü, 21 Ocak’ta gerçekleşti. Delta Electronics, saldırının hemen tespit edildiğini ve güvenlik ekibinin enfekte sistemleri kontrol altına almak ve kurtarma operasyonlarına başlamak için müdahale ettiğini söyledi. Öncelikle güçlü UPS çözümleriyle tanınan Delta, saldırının üretim sistemlerini etkilemediğini söyledi.
Bununla birlikte, bugün yerel teknoloji haber sitesi CTWANT‘dan bir muhabir olan Liu Minggeng , saldırıya ait detaylı ve korkunç bir iç olay raporunun kopyasını elde ettiğini iddia ediyor. Delta Electronics’e ait 65.000 bilgisayardan oluşan bilgisayar ağı içerisindeki 1.500’den fazla sunucu ve 12.000’den fazla workstation saldırganlar tarafından şifrelendi. Bu rakam, bu zamana kadar yaşanmış en büyük Ransomware saldırılarından biri olarak tarihe geçti. Oluşan hasarı kontrol altına almak için Trend Micro ve Microsoft ile birlikte çalıştığı iddia edilen Delta’nın, şifrelemede kullanılan fidye yazılımının Conti Ransomware’e ait zararlı yazılım olduğu söyleniyor. Saldırganların Tayvan’lı elektronik üreticisinden 15 milyon dolar fidye talep ettiği iddia ediliyor. Şu ana kadar Delta’nın adı Conti’nin sızıntı sitesinde henüz belirtilmediği, bu da genellikle iki tarafın hala bir ödeme üzerinde pazarlık yaptığı anlamına geliyor. Olayla ilgili bilgi veren kaynağa göre, şirket henüz sistemlerinin çoğunu geri yükleyemedi ve resmi web siteleri çevrimdışı. Şirket, müşterileri ile iletişimde kalmak için alternatif bir web sunucusu kullanıyor.
LockBit Fidye Virüsü Nedir? başlıklı makalemizde LockBit ransomware grubu hakkında detaylı bilgi vermiştik. LockBit ransomware grubunun, hedef kurum ve kuruluşların ağlarına sızmalarına ve verileri şifrelemelerine yardımcı olmak için kurum ve kuruluşların içerisinde ki çalışanlara iş teklifinde bulunduğu ortaya çıktı. Çalışanlara teklif edilen rakamlar milyon dolarlar ile ifade ediliyor. Fidye saldırıları sonrası yapılan fidye ödemeleri, grup ve gruba yardımcı olan iş ortakları arasında bölünüyor. Fidye yazılım grupları, ilk erişim saldırısı için bir süredir illegal iş ortakları kullanmaya başladı. LockBit fidye yazılım grubu da ilk erişim için, şirket içindeki aktif personelleri toplamaya çalıştığı ortaya çıktı. Bunun en büyük sebeplerinden biri de fidye saldırısında, grubun çalıştığı iş ortaklarının fidye ödemesinin %70 ila %80’ini alıyor olmasıdır. Şirket personelleriyle çalışmanın daha karlı olacağını düşünen LockBit fidye yazılım grubu, böyle bir yola başvurmuş olmalı.
LockBit Fidye Yazılım Grubu Kurum Çalışanlarına Milyonlarca Dolar Vaat Ediyor!!
2021’in üçüncü çeyreğinde LockBit fidye yazılım grubu yeni varyant olarak LockBit 2.0 fidye yazılımının piyasaya sürüldüğünü duyurmuştu. LockBit ransomware ailesinin kurum çalışanlarına gönderdiği iş teklifinin bir örneği aşağıdaki gibidir;
“Milyonlarca dolar kazanmak ister misiniz?
Şirketimiz(!), çeşitli şirketlerin ağlarına veya kendi şirketinizin ağına erişimini ve bir şirketin en değerli verilerini çalmamıza yardımcı olmak için sizinle birlikte hareket etmek istiyor. Herhangi bir şirkete erişim için bize veri sağlayabilirsiniz. Örneğin, RDP, VPN, kurumsal e-posta vb. için oturum açma ve şifreler gibi kritik konularda destek olabilirsiniz.
Kurumsal e-postanıza gönderilen epostayı açın, siz ekte gönderilen virüsü şirketinizdeki herhangi bir bilgisayarda çalıştırın.
Şirketiniz, dosyaların şifresinin çözülmesi ve veri sızıntısının önlenmesi için bize fidye ödeyecektir.
Bizimle Tox messenger aracılığıyla iletişim kurabilirsiniz.
https://tox.chat/download[.]html
Tox messenger kullanarak, gerçek adınızı asla bilmeyeceğiz ve gizliliğinizi garanti edildiği anlamına gelir.
Bizimle iletişime geçmek istiyorsanız, ToxID : ”ToxID” kullanın.
Yapılan tekliflerin özellikle sistem erişimlerine sahip olan BT departmanı personellerine yönelik olduğu belirlendi. Ancak bu ilk değil, ağustos 2020’de FBI, Tesla’nın Nevada Gigafactory ağına kötü amaçlı yazılım yerleştirmek için, bir Tesla çalışanını işe almaya çalışan Rus uyruklu bir fidye yazılım grubu üyesini tutuklamıştı.
REvil Ransomware grubu 04.07.2021’de, Kaseya VSA müşterisi olan kuruluşları hedef alan bir fidye yazılımı saldırısı gerçekleştirdi. Saldırının arkasındaki REvil grup, başlangıçta 70 milyon dolarlık bir fidye talep etti (bir araştırmacıya göre fiyat daha sonra 50 milyon dolara indirilmiş) ve milyonlarca kuruluşun verilerini şifrelediğini iddia etti. Bu saldırı REvil’in aniden çevrimdışı olması, sunucularının bağlantısını kesmesi, forumları terk etmesi ve kurbanlarla iletişim kurmak için kullanılan Dark Web’deki sayfayı kapatmasından dokuz gün önceydi.
Kaseya VSA, 21.07.2021’de REvil fidye yazılımı saldırısının kurbanları için bir Universal Decryptor elde ettiği ve olaydan etkilenen müşterilerinin verilerini düzeltmek için çalıştığını bildirdi. Kaseya yaptığı açıklamada, saldırıdan etkilenen sistemlerin şifresini çözmek için siber güvenlik firması Emsisoft ile birlikte çalıştığını ve Emsisoft’un Universal Decryptor’un “etkili” olduğunu doğruladığını söyledi. Saldırılardan bir kaç hafta sonra gelen aracın ne kadar yardım sunacağı bilinmiyor. Kaseya Universal Decryptor’a nasıl ulaştığını tam olarak açıklamasa da üçüncü taraflardan elde etiğini söylüyor. Digital Shadows Cyber-threat intelligence analysti Ivan Righi, “Bu Universal Decryptor’un aniden ortaya çıkması, daha düşük bir fiyat için pazarlık edilmesi muhtemel olsa da, fidyenin ödenmiş olabileceğini gösteriyor” dedi. Fidyenin ödenip ödenmediği hakkında henüz net bir bilgi yok.
Biz bu saldırıyı, REvil grubunun final saldırısı olarak değerlendiriyoruz. Saldırıdan dokuz gün sonra REvil’in aniden çevrimdışı olması, sunucularının bağlantısını kesmesi, forumları terk etmesi, Dark Web sayfasını kapatması ve ortaya çıkan Universal Key bu değerlendirmeyi doğrular niteliktedir. Geçmişte GandCrab fidye yazılım grubunun kapatılmasından sonra kendini göstermeye başlayan REvil grubun, GandCrab’ın varisi olduğu söyleniyordu. Bu makalemizde Dark Side ve REvil’in küllerinden inşa olduğu söylenen BlackMatter Ransomware ailesi hakkında araştırmamızı konu alıyoruz.
Recorded Future analistleri, kapanan Darkside ve REvil fidye yazılımı gruplarının en iyi özelliklerini birleştirdiğini iddia eden yeni bir fidye yazılımı grubunun faaliyete geçtiğini keşfetti. Kendisine BlackMatter adı veren yeni ransomware grubu, Dark Web’te yaptığı reklamlar aracılığıyla ortaklar ve işbirlikçiler işe alıyor. Recorded Future’daki uzmanların açıkladığı gibi BlackMatter çetesi, kurumsal ağlara yetkisiz erişim sağlayabilen ve daha sonra fidye yazılımı bulaştırılabilen “initial access brokers”(ilk erişim aracıları) işe almak için paylaşımlar yapıyor. BlackMatter ransomware grubu yaptığı paylaşımlarda, Amerika Birleşik Devletleri, İngiltere, Kanada ve Avustralya’da bulunan ve ağlarında 500 ila 15.000 arasında bilgisayara sahip olan büyük kuruluşlara saldırmak için iş ortakları aradığını dile getirdi. BlackMatter grubu açıklamalarında, yıllık geliri 100 milyon dolar ve üzeri olan şirketleri hedeflediklerini ve bu şirketlerin ağlarına erişim sağlayabilecek ortaklarla çalışmak istediğini belirtiyor. BlackMatter ransomware grubu, fidye miktarından pay için 3.000-100.000$ arasında bir ücret ödeyeceğini belirtiyor.. BlackMatter fidye yazılım grubu depozito olarak Exploit forumuna 4 BTC (120.000 $) yatırmış.
‘Etik Kan Emiciler’ Kendi ifadeleri ile etik kan emici BlackMatter ransomware grubu, aşağıda bulunan listedeki kurum ve kuruluşların peşine düşmeyeceğini belirtiyor.
Bir fidye yazılım grubunun saldırmama sözüne güvenilmeyeceği bir gerçektir. Ancak BlackMatter fidye yazılım grubu, bu sektörlerden kurbanlar saldırıya uğrarsa, kurbanın verilerinin şifresini ücretsiz olarak çözeceğine söz verdi.
Peki bu olay sizlere de tanıdık geliyor mu? Bunun nedeni, DarkSide fidye yazılım ailesinin de aynı prensibi sergilemesidir. Şimdi sizlere tanıdık gelecek bir prensipten daha bahsedelim; BlackMatter ransomware grubu, saldırıya uğrayan şirket dosyalarının şifresini çözmek için fidye ödemesi yapmayı kabul etmezse, kurbanlarından çaldıkları verileri yayınlamayı planlıyor. Evet REvil grup, fidye ödemesi yapmayan kurbanların verilerini paylaşmakla tehdit ederdi.
Emisosft CTO’su ve fidye yazılımı uzmanı Fabian Wosar paylaştığı tweette eline BlackMatter ransomware grubuna ait bir şifre çözücü geçtiğini ve şifre çözücüyü analiz ettikten sonra, yeni BlackMatter ransomware grubu, DarkSide ransomware grubunun saldırılarında kullandığı şifreleme yöntemlerini kullandığını doğruladı.
BlackMatter grubu tarafından kullanılan şifreleme rutinlerinin, DarkSide grubuna özgü özel bir Salsa20 matrisi de dahil olmak üzere hemen hemen aynı olduğunu söyledi. Bir geliştirici , Salsa20 şifreleme algoritmasını kullanarak verileri şifrelerken , on altı adet 32-bit kelimeden oluşan bir başlangıç matrisi sağlar.
Dosyaları şifrelerken, şifrelenmiş her dosya için sabit dizeler, bir konum, ve anahtar kullanmak yerine Dark Side kelimeleri rastgele verilerle doldururdu. Bu matris daha sonra genel bir RSA anahtarıyla şifrelenir ve şifrelenmiş dosyanın alt bilgisinde saklanır. Salsa20 uygulaması daha önce yalnızca Dark Side tarafından kullanılıyordu. Aynı zamanda BlackMatter da Dark Side gibi şifreleyicilerine özgü bir RSA-1024 uygulaması kullanıyor.
Sonuç olarak yeni ransomware ailesi olan BlackMatter için REvil varisi veya Dark Side varisi demek için yeterli kanıt olmasa da eldeki bilgiler ile bunun mümkün olabileceğini söyleyebiliriz…
Conti Ransomware grubu, takip ettiğimiz onlarca ransomware grupları arasında en acımasızlarından biri olarak öne çıkıyor. Rus menşeli olduğu tespit edilen ve 2020 yılının ilk çeyreğinde gündeme gelen fidye yazılım grubu, hayatı tehdit edebilecek kuruluşlara saldırmak için bu kurumların BT altyapılarına sızmaya yönelik bir yıldan fazla araştırma yaptı. FBI raporlarına göre hastaneler, acil çağrı hattı, acil tıbbi hizmetler ve kolluk kuvvetleri gibi 16 devlet kurumuna saldırılar gerçekleştirdi. FBI’a bağlı siber ekipler, Conti ransomware grubu tarafından dünya çapında mağdur edilen 400’den fazla kuruluş olduğunu ve bunların arasında 300 civarı kuruluşun ABD’de bulunduğunu belirtti. Saldırıya uğrayan sağlık ve acil müdahale hizmeti veren kuruluşlar ilk sırada yer alması grubun hedef kitlesini anlamakta bizlere yardımcı oluyor. Mayıs ayı ortasında İrlanda Sağlık Bakanlığı’nın tüm bilgi teknolojileri ağının kapatılmasına neden olan, randevuların iptaline, X-ray sistemlerinin kapatılmasına sebebiyet verdi. COVID testlerinde gecikmelere yol açan saldırılar düzenleyen ve 700Gb dosya sızdıran Conti ransomware grubu, İrlanda Sağlık Bakanlığı’ndan şifrelenen dosyalarını kurtarabilmeleri için 19.999.000$ fidye talep etti.
Conti ransomware grubu, orta ila büyük ölçekli işletmeleri hedef alırken, fidye miktarlarını da kuruluşun büyüklüğüne ve ödeme kapasitesine göre belirliyor. Conti ransomware grubu ayrıca, İrlanda Sağlık Bakanlığı örneği gibi fidye taleplerin artmasına neden olan verileri sızdırması da bilinmektedir. Bunlara ek olarak fidye ödeyen ve verilerini kurtarabilmeyi bekleyen düzinelerce Conti kurbanı gördük. Bu bilgiler ile Conti ransomware grubunun da güvenilmez siber suç çetelerinden biri olduğunu söyleyebiliriz.
Adı : Conti Ransomware
Fidye Yazılım Ailesi : Conti
Uzantısı : ” .CONTI”, “.ITTZN”, “.SYTCO” yanı sıra Conti ransomware tarafından şifrelenmiş dosyalar kendi benzersiz uzantılara sahiptir.
Fidye Yazılım Notu : “CONTI_README.txt”, “readme.txt”, “R3ADM3.txt”
Talep Edilen Fidye : Hedef kurum ve kuruluşlara özel fidye miktarı belirleniyor.
İletişim Adresi : mantiticvi1976@protonmail.com fahydremu1981@protonmail.com, frosculandra1975@protonmail.com, trafyralhi1988@protonmail.com, sanctornopul1986@protonmail.com, ringpawslanin1984@protonmail.com, liebupneoplan19@protonmail.com, stivobemun1979@protonmail.com, guifullcharti1970@protonmail.com, phrasitliter1981@protonmail.com, elsleepamlen1988@protonmail.com, southbvilolor1973@protonmail.com, glocadboysun1978@protonmail.com, carbedispgret1983@protonmail.com, listun@protonmail.com, mirtum@protonmail.com, maxgary777@protonmail.com, ranosfinger@protonmail.com, bootsdurslecne1976@protonmail.com, rinmayturly1972@protonmail.com, niggchiphoter1974@protonmail.com, lebssickronne1982@protonmail.com, daybayriki1970@protonmail.com
AV Algılaması : Avast (Win32:Malware-gen), BitDefender (deepscan:Generic.Ransom.Amnesiae.634), ESET-NOD32 (Generik.EBKALVO’nun bir varyantı), Kaspersky (Trojan.Win32.Delshad.cmo)
CONTI fidye yazılımı olarak sınıflandırılan kötü amaçlı bir yazılımdır. Bu kötü amaçlı yazılım ile enfekte olan kurum ve kuruşların sistemlerindeki veriler şifrelenir ve fidye yazılım grubu şifrelenen dosyaların şifrelerini çözmek için kullanılacak şifre çözme araçları için fidye talep eder. Şifreleme işlemi sırasında, şifrelenen tüm dosyaların dosya uzantılarının sonuna “.CONTI” uzantısı eklenir. Örneğin, başlangıçta “1.xlsx” adlı bir excel dosyası şifreleme işleminden sonra “1.xlsx.CONTI olarak görünür.
Şifreleme işlemi tamamlandıktan sonra, saldırıya maruz kalan cihazlara bir metin dosyası (“CONTI_README.txt”) oluşturulur. (“CONTI_README.txt”) olarak oluşturulan metin dosyası kısadır ve basitçe sistemin kilitlendiğini belirtir. Verilerinin şifresini çözmek için, kullanıcılara Conti fidye yazılımlarının arkasındaki siber saldırganlar ile iletişim kurmaları talimatı verilir. Fidye notunda saldırganlarla iletişim kurmak için 2 adet e-mail adresi bulunur. Mesaj, kurbanların dosyalarını kurtarmak için üçüncü taraf şifre çözme araçlarını / yazılımlarını kullanmaması gerektiği uyarısıyla sona erer.
Fidye yazılımı enfeksiyonlarının çoğunda, şifre çözme neredeyse imkansızdır. Bu gibi durumlarda, diğer kaynaklardan elde edilen şifre çözme araçları kalıcı veri kaybına yol açabilir. Doğduran saldırganlarla iletişime geçmeyi kesinlikle tavsiye etmiyoruz. Bu tavsiye, dosyaların şifreli olarak kalmaması ve önemli finansal kayıp yaşamamaları için saldırı mağdurlarına verdiğimiz bir tavsiyedir. Mağdurların yaptığı panik hareketlerden fayda sağlayan saldırganlar, aldıkları ücret karşılığında sundukları vaatleri yerine getirmediği uzun çalışmalarımız sonucu elde ettiğimiz somut bir bilgidir. Ransomware saldırısına maruz kalındığında ilk yapılması gereken CONTI fidye yazılımının daha fazla şifreleme yapmasını önlemek için, işletim sisteminden kaldırılması gerekir, ancak bu zaten şifrelenmiş verileri geri yüklemez.
Ransomware saldırılarına maruz kaldıktan sonra yapılacak en uygulanabilir çözüm, enfeksiyondan önce yapılmış ve ayrı bir konumda saklanmış bir yedekten verilerinize ulaşmaktır. Eğer bir yedeğiniz yoksa yapılacak en iyi hareket paniğe kapılmadan profesyonel bir destek almaktır.
Talep edilen fidye ödemeleri için dijital para birimleri (örneğin kripto para birimleri, ön ödemeli kuponlar vb.) kullanılır, çünkü bu işlemlerin izlenmesi zor/imkansızdır. Veri bütünlüğünü sağlamak için, yedeklemeleri ağdan bağımsız sunucularda veya çevrimdışı depolama aygıtlarında tutmanız önerilir. Mümkünse, birkaç farklı konumda birden fazla yedek almanız sizleri bu gibi saldırılardan kayıpsız bir şekilde kurtaracaktır.
Conti Ransomware Grubu Sürekli Olarak Kendini Güncelliyor
2020 yılının ilk çeyreğinde kendini gösteren Conti ransomware grubu, 2020 Ağustos ayında yaptığı saldırılarda fidye ödemeyi reddeden kurum ve kuruluşların verilerini sızıntı sitesinde paylaşarak tehdit ettiği görülmüştür. Bazı tanınmış şirketler de dahil olmak üzere 20’den fazla kurbanın verilerini yükledikleri bilinmektedir.
Güncelleme sonrası yapılan bir saldırıda bırakılan fidye notunun “readme.txt” olarak değiştirildiği görülmüştür. Aşağıda “readme.txt” fidye notunun bir örneği bulunuyor.
İçinde sunulan metin:
Herhangi bir ek kurtarma yazılımı kullanmaya çalışırsanız - dosyalar zarar görmüş veya kaybolmuş olabilir.
Gerçekten verileri kurtarabildiğimizden emin olmak için - örneklerin şifresini çözmenizi öneriyoruz.
Web sitemiz üzerinden daha fazla bilgi için bizimle iletişime geçebilirsiniz:
TOR bağlantısı
(önce TOR tarayıcısını indirip hxxps://----)
hxxp://-----
HTTPS VERSION:
hxxps://----
**SAKIN UNUTMAYIN!**
Her ihtimale karşı verilerinizi kendi sunucularımıza yükledik, bizi görmezden gelmeye çalışırsanız ve yanıt vermiyorsanız haber sitesinde yayınlamaya hazırız. Bu yüzden geç olamadan bizimle iletişime geçmeniz her iki taraf için de daha iyi olacaktır.
---BEGIN ID---
---END ID---
Conti ransomware grubu, sürekli olarak conti ransomware fidye yazılımın yeni varyantları yayınlıyor. Bu varyantlarinde fidye yazılımı şifrelenen dosyalara rastgele dosya uzantıları ekliyor. Örneğin; “. YZXXX”, “. YFSEK”, “. FMOPQ”, “. XMEYU”, “. WHAUN”, “. AWSAK”, “. QMIBK”, “. UWTJF”, “. TJMBK”, “. FBSYW”, “. KCWTT”, “. PMQHP”, “. MRBNY”, “. UBCGP”, “. WENWZ”, “. KSLHB”, “. IUAGT”, “. EXQED”, “. JVUAE”, “. RZQNV”, “. MABDG”, “. YTZTG”, “. MYURQ”, “. UQWZI”, “. GFYPK”, “. HJAWF”, “. ALNBR”, “. ICIQE”, “. BGQHM”, “. LCODG”, “. QTBHS”, “. ZXQSZ”, “. UHIPV”, “. AGKBR”, Ancak fidye notları aynı ifadelere yer veriyor. Değişiklik yalnızca e-posta adreslerinde ve metin dosyasının adı [“R3ADM3.txt”] farklıdır.
Conti Ransomware kötü amaçlı fidye yazılımın saldırı vektörleri :
Fidye yazılımı ve diğer kötü amaçlı yazılımların en yaygın bulaşma yöntemleri Truva atları, Phishing e-postaları, yasadışı etkinleştirme (“cracking”) araçları, sahte güncelleyiciler ve güvenilmeyen indirme kaynaklarıdır. Truva atları, zincirleme enfeksiyonlara neden olabilir.
“Phishing e-postaları” terimi, büyük ölçekte gönderilen binlerce aldatıcı / aldatmaca e-postasını tanımlar. Bu mesajlar genellikle “resmi”, “önemli”, “öncelik” vb. olarak hedeflenen kullanıcılara gönderilir. Sosyal mühendislik yapılarak e-postaların içeresinde bulunan kötü amaçlı yazılım hedef kullanıcının cihazına bulaştırılır.
Sahte güncelleyiciler, eski programların kusurlarından yararlanarak veya gerçek güncellemeler yerine kötü amaçlı yazılım yükleyerek sistemlere bulaşır. Resmi olmayan ve ücretsiz dosya barındırma sitelerinden, P2P paylaşım ağlar (BitTorrent, eMule, Gnutella, vb.) ve diğer üçüncü taraf platformlar gibi güvenilir olmayan indirme kanallarından yapılan indirmelerde dosyanın içerisine gizlenmiş olan kötü amaçlı yazılımı cihazınıza bulaştırabilirsiniz. Lisanslı ürünleri etkinleştirmek yerine, yasadışı etkinleştirme (“cracking”) araçları olarak yayınlanan araçların içerisine gizlenmiş olan kötü amaçlı yazılımları bir craking araç olarak cihazınıza indirebilirsiniz ve bu durum sisteminize kötü amaçlı yazılımın bulaşmasına neden olur.
Son bir haftada Türkiye genelinde yaşanan yoğun Ransomware saldırıları, dijital güvenliğin önemini bir kez daha vurguluyor. Bu tür saldırılar, bilgisayar sistemlerini kilitleyerek dosyaları şifreleyen ve ardından fidye talep eden kötü amaçlı yazılımlardır. Yıl sonu devir işlemleri, hackerlar için potansiyel bir fırsattır. Bu dönemde kurumlar ve işletmeler, finansal hesaplamaları tamamlamak, raporları düzenlemek ve yeni yıla hazırlanmak için genellikle yoğun bir şekilde çalışırlar. Hackerlar da bu süreci hedef alarak çeşitli saldırı yöntemlerini devreye sokmaktadır.
Özellikle bu dönemde dikkat edilmesi gereken noktalar:
1. Fidye Yazılımları ve Sosyal Mühendislik Saldırıları: Hackerlar, yıl sonu devir işlemlerinin karmaşıklığından yararlanarak çalışanlara sahte e-postalar gönderebilir. Bu e-postalar, önemli belgeleri içeriyor gibi görünür ve çalışanları bu belgeleri açmaya yönlendirmeye çalışır.
2. Sahte Web Siteleri ve Phishing: Finansal işlemler için kullanılan sitelere benzeyen sahte web siteleri oluşturularak kullanıcı bilgileri ele geçirilmeye çalışılabilir. Bu siteler, gerçek sitelerle neredeyse aynı görünebilir ve kullanıcıları yanıltabilir.
3. Zayıf Güvenlik Duvarları: Yıl sonu devir işlemlerinde, saldırganlar zayıf güvenlik duvarlarını hedef alabilir ve bu açıklardan faydalanarak ağlara sızma girişiminde bulunabilirler
Ransomware saldırısına uğrarsanız:
Ransomware saldırılarına karşı bilinçli olmak ve düzenli olarak güvenlik önlemleri almak, ciddi sonuçlardan korunmanıza yardımcı olur.
Sistem yöneticileri, Ransomware saldırılarına karşı ek tedbirler almalı ve sürekli olarak güvenlik önlemlerini kontrol etmelidir.
1. Güvenlik Duvarı ve Yazılım Güncellemelerini Takip Edin: Sistem yöneticileri, güvenlik duvarlarını ve güncel yazılımları düzenli olarak kontrol etmeli ve gerekli güncellemeleri zamanında yapmalıdır. Bu, sistemlerin güncel tehditlere karşı daha dirençli olmasını sağlar.
2. Güçlü Yedekleme ve Sıklıkla Kontrol: Yedekleme işlemleri sistem yöneticileri için kritik öneme sahiptir. Düzenli olarak yedek alınmalı ve bu yedeklerin doğru şekilde çalıştığından emin olunmalıdır. Test edilmemiş yedekler, saldırı sonrası kurtarma sürecini zorlaştırabilir, kimi zaman imkansız hale getirebilir.
3. Kullanıcı Eğitimleri ve Bilinçlendirme: Çalışanlara, bilinmeyen e-postalardan gelen bağlantılara tıklamama, şüpheli dosyaları açmama gibi konularda eğitim verilmelidir. Bu, saldırıların önlenmesinde kritik bir rol oynar.
4. Erişim Kontrollerini Güçlendirin: Kullanıcıların erişebileceği sistem ve dosyalarda sıkı erişim kontrolü kurarak yetkilendirme süreçlerini iyileştirin. Böylelikle, saldırı durumunda zararın yayılması önlenir.
5. Acil Durum Planı Oluşturun ve Test Edin: Sistem yöneticileri, olası bir Ransomware saldırısına karşı acil durum planı hazırlamalı ve bu planı düzenli olarak test etmelidir. Ekiplerin saldırı anında ne yapacaklarını bilmeleri önemlidir.
Sistem yöneticileri için bu ek önlemler, kurumsal sistemlerin güvenliğini arttırır ve olası Ransomware saldırılarının etkilerini minimize etmeye yardımcı olur.
Fidye Yazılımı Şoku, ödeme yapanların %92’si verilerini geri alamıyor!
Apple, önemli bir siber suç çetesinin 50 milyon dolarlık fidye yazılımı saldırısına maruz kaldıktan sonra, kuruluşların ödeme yapsalar dahi verilerin geri alınma ihtimalinin ne kadar düşük olduğunu ortaya çıkardı. 23 Nisan’da, REvil fidye yazılımı operasyonunun arkasındaki siber suç çetesi, Apple’dan fidye talep etmek için Quanta Computer sunucularına sızıp henüz yayınlanmamış bazı modellerin çizimlerini ele geçirdi. Zararlı yazılım araştırmaları ile bilinen Bleeping Computer, REvil’in, Apple’a ait ele geçirilen bilgilerin DarkWeb üzerindeki sunuculardan silindiğini bildirdi. Bleeping Computer muhabiri, REvil ve Quanta Computer tarafından oluşturulan özel bir sohbet kanalında, görüşmelerin gerçekleşebilmesi için saldırganların muhabirlerle görüşmeyi bırakma sözü istediğini söyledi. Ayrıca, fidyenin 7 Mayıs’a kadar ödenmesi halinde 50 milyon dolardan 20 milyon dolara düşeceğini belirtti.
REvil, Apple tasarım üreticisi Quanta Computer’a ait bazı yeni Apple ürünlerinin şemalarını çaldığını söyledi. Ardından DarkWeb’de 9to5Mac’in 2021 MacBook Pro ile ilgili olduğunu iddia ettiği birkaç taslak yayınladı.
Siber güvenlik ile ilgili araştırmalar yapan firmalar süreci daha detaylı bir şekilde takibe almaya başladı. Bununla birlikte, ödeme yapılacak olsa bile, yeni araştırma bugün fidye yazılımının şok edici gerçekliğini ortaya koydu: Kuruluşların% 92’si tüm verilerini geri almıyor(!)
Fidye ödemeniz, verilerinizi kurtarmayı garanti etmiyor
Sophos State of Ransomware 2021 raporuna göre, fidye ödemeye karar veren kuruluşların sayısı geçen yıl %26 iken 2021’de bu oran %32’ye yükseldi. Aynı anket, ödeme yapmasına rağmen yalnızca %8’inin tüm verilerini geri aldığını belirtti. Ödeme yapanların yaklaşık üçte biri (% 29), şifrelenmiş verilerin yarısından fazlasına ulaşamadı. Raporda, verileri fidye yazılımı ile şifrelenen kuruluşların sayısı 2020’de %73 iken, 2021’de %54’e düştüğü güzel bir haber gibi görünse de, fidye saldırılarının her geçen gün değişmesi akıllarda sürekli soru işareti bırakıyor. Sophos’un baş araştırmacısı Chester Wisniewski, “”Saldırganların daha büyük ölçekli, genel, otomatik saldırılardan, insanların klavye dokunuşlarını içeren daha hedefli saldırılara doğru hareket ettiğini gördük.”” dedi. Wisniewski şöyle devam etti, “”ve bunun genel iyileştirme maliyetlerini ikiye katladığını ankete yansıdığını görüyoruz.””
Fidye yazılımı kurtarmanın maliyeti 12 ayda 2’ye katlandı
Sophos araştırmacısı, ortalama fidye yazılımı kurtarma maliyetlerinin, bir önceki yıla göre 761.106 dolardan 1.85 milyon dolara çıktığını belirtti. Fidyelerin tutarı, hedef alınan kuruluşun büyüklüğüne ve çalınan verilerin değerine bağlı olarak çok büyük farklılıklar gösterse de Sophos, ödenen fidyelerin ortalama 170.404$ olduğunu belirtti. Quanta ve Apple’dan talep edilen 50 milyon dolar veya Garmin’den talep edilen 10 milyon dolar gibi karşılaştığımız büyük rakamların, saldırılardan etkilenen firmaların fidye ödemeye karar vermeleri halinde ödenen ortalama fidye miktarının şaşırtıcı olmadığını belirtti. Fidye yazılımı bir iştir, kirli, illegal ama yine de bir iştir. Saldırıları gerçekleştiren çeteler iyi organize olmuş, müzakere sürecine alışmış, süreci de iyi kontrol ederek profesyonel olduklarını hissettiriyor.
Bir fidye yazılımı saldırısını neyin oluşturduğunun tanımı değişiyor. Saldırganların, çalınan bilgileri sızdırmamaları karşılığında fidye talep etmesi sıkça karşılaşılan bir durumdur. Ödeme yapmayı reddetmeniz durumunda, sizden ele geçirdikleri bilgileri yayarak itibarınızı hedef alacak yollar deneyebilirler. Ödeme yapmanız durumunda ise verilerinize %8 ihtimalle ulaşabileceksiniz…
Hela Ransomware, her dosyayı rastgele bir RSA-4096 ve AES-256 anahtarıyla şifreleyip, şifrelenmiş RSA-4096 ve AES-256 anahtarını da, dosyanın içindeki belirli bir ofsete ekler. Böylece hedef sistem içindeki her dosya farklı bir anahtarla şifrelenmiş olur. Şifrelenmiş verilerin çözülmesi içinde RSA özel anahtarı gerekmektedir. (hela fidye virüsü, yayılım esnasında shadow copy leri de siliyor.) Ragnarok fidye yazılım ailesiyle ”.ragnarok_cry”, ”.ragnarok”, ”.rgnk”, ”.odin” varyantlarıyla daha önce karşılaşmıştık. Ragnarok ransomware ailesinin yeni jenerasyonu ”.hela” ile tekrar karşımıza çıkıyor. Hela fidye virüsü sisteme bulaştıktan sonra bütün dosyaları şifreleyerek ulaşılmaz bir hale getirir. Hela fidye virüsü verileri RSA4096 ve AES-256 şifreleme algoritmaları kullanılarak şifreler. Şifreleme işlemi sırasında, etkilenen dosyalara ” .[random_numara].hela ” uzantısı eklenir . Örnek verecek olursak, orijinal olarak ” 1.jpg ” adlı bir fotoğraf dosyası, şifrelemenin ardından ” 1.jpg.08469.hela ” şeklinde bilgisayarınızdaki hiç bir programla açılamayacak bir dosya olarak görünür. Şifreleme işlemi tamamlandıktan sonra, Masaüstüne “!!Read_Me.[random_numara].html” (örn. “!!Read_me.08469.html”) – başlıklı bir fidye notu düşer. Fidye notunun içinde genellikle şifre çözme aracının satın alınmasıyla ilgili bir talimat bulunur. Bu şifre çözme aracı, fidye yazılımı geliştiricileri tarafından oluşturulmuştur. Fidye notu (“!!Beni Oku.[random_numara].html”), kurbanların verilerinin RSA4096 ve AES şifreleme algoritmaları kullanılarak şifrelendiğini bildirir. Ek olarak, fidye notu, özel ve şirketle ilgili içeriğin güvenliği ihlal edilmiş sistemden sızdırıldığını belirtir.
Fidye notu mağdurlara, şifre çözme için ödeme yapmaları gerektiği bildirilir. Siber suçlular, mağdurlara, değerli bilgiler içermeyen şifreli bir dosya göndererek veri kurtarmayı test edebileceklerini söylerler. Fidye notu, bir hafta içinde fidye talepleri yerine getirilmezse, çalınan veriler çevrimiçi olarak yayınlanacağını bildiren talimatlarla sona erer.
Adı : Hela Virüsü
Fidye Yazılım Ailesi : Ragnarok
Uzantısı : .[random_number].hela
Fidye Notu : !!Read_Me.[random_numara].html
Talep Edilen Fidye Tutarı : 40.000$ – 1200.000$ (1 BTC – 30 BTC)
İletişim : CHRISTIAN1986@TUTANOTA.COM ve melling@confidential.tips
AV Algısı : Win32:RansomX-gen [Ransom], Gen:Heur.Ransom.RentS.Gen.1, Win32/Kryptik.HGSY , HEUR:Trojan.Win32.DelShad , Ransom:Win32/Ragnarok.PC!MTB Örnek bir “!!Read_Me.[random_numara].html” dosyası:
Dear Sir
Your files are encrypted with RSA4096 and AES encryption algorithm.
But don't worry, you can return all your files!! follow the instructions to recover your files
Cooperate with us and get the decrypter program as soon as possible will be your best solution.
Only our software can decrypt all your encrypted files.
What guarantees you have?
We take our reputation seriously. We reject any form of deception
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain any valuable information.
When hiring third-party negotiators or recovery companies. listen to what they tell you. try to think.
Are they really interested in solving your problems or are they just thinking about their profit and ambitions?
By the way. We have stolen lots of your company and your private data which includes doc,xls,pdf,jpg,mdf,sql,pst...
Here we upload sample files of your company and your private data on our blog :
hxxp://sushlnty2j7qdzy64qnvyb6ajkwg7resd3p6agc2widnawodtcedgjid.onion/
We promise that if you don't pay within a week, we will package and publish all of your company and your data on our website.
We also promise we can decrypt all of your data and delete all your files on internet after your payment.
Such leaks of information lead to losses for the company. fines and lawsuits. And don't forget that information can fall into the hands of competitors!
For us this is just business and to prove to you our seriousness.
Our e-mail:
CHRISTIAN1986@TUTANOTA.COM
Reserve e-mail:
melling@confidential.tips
Hela uzantılı fidye virüsü, Phishing E-postaları ve Trojan olarak iki yol ile bulaştığı gözlemlenmiştir. E-postanızda, farklı faturalar ödemeniz veya paketinizi yerel FedEx departmanından almanız gerektiğini belirten birçok mesaj görebilirsiniz. Ancak tüm bu mesajlar, bu şirketlerin tanıdık resmi e-postalarından değil, bilinmeyen e-posta adreslerinden gönderilir. Tüm bu postalar, fidye yazılımı taşıyıcısı olarak kullanılan ekli dosyayı içerir. Bu dosyayı açtığınız anda sisteminize Hela fidye virüsü bulaşacaktır. Bazen Trojan virüsleri, kendilerini yasal programlar olarak gösterecek yöntemler kullanabilir ve fidye yazılımlarını önemli bir güncelleme veya programın düzgün çalışması için gerekli olan büyük bir uzantı paketi olarak indirilmek üzere aldatıcı yöntemler uygulayabilir. İndirdiğiniz dosya ile gelen Hela fidye virüsü dosyayı açtığınız anda sisteminize bulaşabilir.
Fidye ödemelerini kesinlikle tavsiye etmiyoruz! Hela Ransomware en tehlikeli fidye virüslerinden biridir. Yalnızca verilerinizi şifrelemekle kalmaz, aynı zamanda bilgisayarınızı boş bir kutu haline getirir ve sizin için birkaç kritik soruna da neden olur. Bir an önce bu sorundan kurtulmak için para ödemeyi düşünüyorsanız, büyük bir hata yapmak üzeresiniz demektir. Fidye talebini yerine getirmek yapılacak en kötü şeydir. Bilgisayarınız zaten tehlikede, verileriniz yüksek risk altında ve suçluların talimatlarını körü körüne takip etmek onların ekmeğine yağ sürmek gibidir. Birçok kurban, işlem tamamlanır tamamlanmaz siber saldırganların kendilerine decryption key bile göndermeden tüm iletişim araçlarını sonlandırırlar.
Fidye ödemeleri, bilgisayar korsanlarının daha fazla suç işlemesine neden olmaktadır. Bilgisayar korsanları verilerinizin şifresini çözse bile, verilerinizin bir kısmı şifreleme esnasında çalıştığı için dosyalarınız bozulmuş olabilir. Bilgisayar korsanları fidye virüsünün güncellenmiş bir sürümünü yayınlar yayınlamaz sisteminize tekrar virüs bulaştırmak için backdoor kodlarını sisteminizin derinliklerinde bırakmış olabilirler. Ayrıca, tarayıcınızda ve diğer zararlı tehditler için arka kapı olarak çalışacak önemli sistem ayarlarında birkaç değişiklik yapar. Ödeme yaptığınızda bile dosyalarınızı geri alacağınızın veya bilgisayar korsanlarının sizi tehdit etmeyi bırakacağının garantisi yoktur.
Sisteminizi ve önemli verilerinizi korumanın tek yolu .hela fidye virüsünden kurtulmaktır. Bu tehlikeli Ransomware sisteminizde kaldığı sürece verileriniz asla güvende değildir. Bu nedenle, bu tehdidi tüm gizli kodlarıyla birlikte sisteminizden en kısa sürede tamamen kaldırmayı denemelisiniz. Tüm şifrelenmiş dosyaların güvende olduğundan emin olun, çünkü verilerin şifresini çözmek için şifrelenmiş dosyalara ihtiyacınız olacaktır. Hela fidye virüsünün sisteminizden tamamen silindiğinden emin olduktan sonra, sisteminizi geri yükleyerek tüm önemli dosyaları yükleyebilirsiniz. Kullanılabilir bir yedekleme dosyası yoksa, dosyalarınızı güvenli bir şekilde geri yüklemek için bu konuda uzman kişilerle iletişime geçmeden hiç bir işlem yapmamaya dikkat etmeniz gerekmektedir.
LMAS fidye virüsü, STOP/DJVU fidye virüsü ailesine ait, belgelerinizi şifreleyen ve daha sonra bunları çözmek için ödeme yapmaya zorlayan bir virüs çeşididir. Djvu/STOP fidye yazılımı ailesi, ilk olarak virüs analisti (Malware Hunter) Michael Gillespie tarafından keşfedildi).
LMAS virüsü temelde diğer DJVU ailesine benzer (fdcz, reig, ekvf, , Urnb, Ytbn) bir karakteristik bir yapıya sahiptir. Bu virüs, bilinen tüm yaygın dosya çeşitlerini şifreler ve tüm dosyalara özel “.lmas” uzantısını ekler. Örneğin, “1.jpg” dosyası “1.jpg.lmas”olarak değiştirir. Şifreleme başarıyla tamamlandıktan sonra, iletişim kurmak ve fidye talep etmek için her klasörün içerisine “_readme.txt” adında bir txt dosyası ekler.
Adı: LMAS Fidye Virüsü
Fidye yazılımı ailesi: DJVU/STOP
Uzantısı: .LMAS
Fidye yazılımı notu: _lmas.txt
Talep Edilen Fidye: 490$ – 980$ (Bitcoin cinsinden)
Iletişim: helpteam@mail.ch, helpmanager@airmail.cc
AV Algılaması: Trojan-Dropper.Win32.Scrop.huv, Win32:Unitrix, Truva Atı:Win32/Occamy.C8A
Dosyalarınızın çoğunu (fotoğraflar, videolar, belgeler) şifreler ve “.lmas” uzantısı ekler; Kurbanın verileri geri yükleme girişimlerini imkansız hale getirmek için gölge kopyalarını silebilir; Güvenlikle ilgili belirli sitelere erişimi engellemek için HOSTS dosyasına etki alanlarının listesini ekler; Azorult Spyware gibi sisteme şifre çalan Truva atı yükler.
DJVU/STOP virüsü tarafından kullanılan şifreleme algoritması AES-256’dır. Yani, belgeleriniz tamamen benzersiz olan çevrimiçi bir şifre çözme anahtarıyla şifrelendiyse, maalesef ki, benzersiz anahtar olmadan dosyaların şifresini çözmek imkansızdır. LMAS çevrimiçi modda çalıştıysa, AES-256 anahtarına erişmeniz imkansızdır. LMAS virüsünün çözme anahtarları siber korsanların sahip olduğu uzak bir sunucuda saklanır.
Şifre çözme anahtarını almak için 980$ fidye talep edilmektedir. Ödeme ayrıntılarını öğrenmek için, kurbanların e-posta yoluyla iletişime geçmeleri için yönlendirilir (helpteam@mail.ch).
LMAS fidye virüsüne ait örnek virüs notu aşağıdaki gibidir:
ATTENTION!
Don't worry. You can return all your files!
All your files like photos, databases, documents, and other important are encrypted with the strongest encryption and unique key.
The only method of recovering files is to purchase a decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted files from your PC, and we decrypt it for free.
But we can decrypt only 1 file for free. The file must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-WJa63R98Ku
The price of private keys and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's the price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get an answer in more than 6 hours.
To get this software you need writes on our e-mail:
helpteam@mail.ch
Reserve an e-mail address to contact us:
helpmanager@airmail.cc
Your personal ID:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Kullanılabilir yedeklemeleri deneyin veya alanında uzman biriyle iletişime geçin!
_readme.txt dosyası içerisinde, şifrelenen dosyalar için 72 saat içerisinde LMAS zararlı yazılım sahipleri ile iletişime geçmeleri gerektiğini bellirten bir not bulunur. 72 saat içinde iletişime geçmeniz şartıyla, kurbanlara % 50 indirim uygulanacağı belirtilir. Böylece fidye miktarı 490$’a kadar indirilecektir). Ancak, fidyeyi ödemekten kesinlikle uzak durun!
Kesinlikle siber korsanlarla iletişime geçmemenizi ve ödeme yapmamanızı öneririz. Kayıp verileri kurtarmak için en gerçek çözümlerinden biri mevcut yedeklemeleri kullanarak veya alanında uzman bir ekiple iletişime geçmektir.
Şifrelenmiş verileriniz üzerinde bilinçsizce yapılacak işlemler verilerinize ulaşmanızı sağlamayacağı gibi kalıcı veri kayıplarına da sebebiyet verebilir. Değerli verilerinizin kaybolmasını önlemek için tek çözüm, önemli dosyalarınızın yedeklerini düzenli olarak fiziksel olarak harici bir ortamda saklamaktır. Örneğin, yedeklemelerinizi USB flash sürücü, ağdan gerektiğinde izole edilebilecek bir ağ depolama (NAS) cihazına veya başka bir harici sabit sürücü depolama alanında tutulabilirsiniz. İsteğe bağlı olarak, çevrimiçi (bulut) depolama çözümüne de başvurabilirsiniz.
Wrui fidye virüsü, STOP/DJVU fidye virüsü ailesine ait, belgelerinizi şifreleyen ve daha sonra bunları çözmek için ödeme yapmaya zorlayan bir virüs çeşididir. Djvu/STOP fidye yazılımı ailesi, ilk olarak virüs analisti (Malware Hunter) Michael Gillespie tarafından keşfedildi).
Wrui virüsü temelde diğer DJVU ailesine benzer (, Urnb, Ytbn) bir karakteristik bir yapıya sahiptir. Bu virüs, bilinen tüm yaygın dosya çeşitlerini şifreler ve tüm dosyalara özel “.wrui” uzantısını ekler. Örneğin, “1.jpg” dosyası “1.jpg.wrui”olarak değiştirir. Şifreleme başarıyla tamamlandıktan sonra, iletişim kurmak ve fidye talep etmek için her klasörün içerisine “_readme.txt” adında bir txt dosyası ekler.
Adı: Wrui Virüs
Fidye yazılımı ailesi: DJVU/STOP fidye yazılımı
Uzantısı: .wrui
Fidye yazılımı notu: _readme.txt
Talep Edilen Fidye: 490$ – 980$ (Bitcoin cinsinden)
Iletişim: helpteam@mail.ch, helpmanager@airmail.cc
AV Algılaması: Win32/Keygen.AOO potansiyel olarak güvensiz, Ransom:Win64/DelShad! MSR, Win32:SwPatch [Wrm]
Dosyalarınızın çoğunu (fotoğraflar, videolar, belgeler) şifreler ve “.wrui” uzantısı ekler; Kurbanın verileri geri yükleme girişimlerini imkansız hale getirmek için gölge kopyalarını silebilir; Güvenlikle ilgili belirli sitelere erişimi engellemek için HOSTS dosyasına etki alanlarının listesini ekler; Azorult Spyware gibi sisteme şifre çalan Truva atı yükler.
DJVU/STOP virüsü tarafından kullanılan şifreleme algoritması AES-256’dır. Yani, belgeleriniz tamamen benzersiz olan çevrimiçi bir şifre çözme anahtarıyla şifrelendiyse, maalesef ki, benzersiz anahtar olmadan dosyaların şifresini çözmek imkansızdır. Wrui çevrimiçi modda çalıştıysa, AES-256 anahtarına erişmeniz imkansızdır. Wrui virüsünün çözme anahtarları siber korsanların sahip olduğu uzak bir sunucuda saklanır.
Şifre çözme anahtarını almak için 980$ fidye talep edilmektedir. Ödeme ayrıntılarını öğrenmek için, kurbanların e-posta yoluyla iletişime geçmeleri için yönlendirilir (helpteam@mail.ch).
Wrui fidye virüsüne ait örnek virüs notu aşağıdaki gibidir:
ATTENTION!
Don't worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-WJa63R98Ku
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
helpteam@mail.ch
Reserve e-mail address to contact us:
helpmanager@airmail.cc
Your personal ID:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Kullanılabilir yedeklemeleri deneyin veya alanında uzman biriyle iletişime geçin!
_readme.txt dosyası içerisinde, şifrelenen dosyalar için 72 saat içerisinde Wrui zararlı yazılım sahipleri ile iletişime geçmeleri gerektiğini bellirten bir not bulunur. 72 saat içinde iletişime geçmeniz şartıyla, kurbanlara % 50 indirim uygulanacağı belirtilir. Böylece fidye miktarı 490$’a kadar indirilecektir). Ancak, fidyeyi ödemekten kesinlikle uzak durun!
Kesinlikle siber korsanlarla iletişime geçmemenizi ve ödeme yapmamanızı öneririz. Kayıp verileri kurtarmak için en gerçek çözümlerinden biri mevcut yedeklemeleri kullanarak veya alanında uzman bir ekiple iletişime geçmektir.
Şifrelenmiş verileriniz üzerinde bilinçsizce yapılacak işlemler verilerinize ulaşmanızı sağlamayacağı gibi kalıcı veri kayıplarına da sebebiyet verebilir. Değerli verilerinizin kaybolmasını önlemek için tek çözüm, önemli dosyalarınızın yedeklerini düzenli olarak fiziksel olarak harici bir ortamda saklamaktır. Örneğin, yedeklemelerinizi USB flash sürücü, ağdan gerektiğinde izole edilebilecek bir ağ depolama (NAS) cihazına veya başka bir harici sabit sürücü depolama alanında tutulabilirsiniz. İsteğe bağlı olarak, çevrimiçi (bulut) depolama çözümüne de başvurabilirsiniz.
PCQQ fidye virüsü, STOP/DJVU fidye virüsü ailesine ait, belgelerinizi şifreleyen ve daha sonra bunları çözmek için ödeme yapmaya zorlayan bir virüs çeşididir. Djvu/STOP fidye yazılımı ailesi, ilk olarak virüs analisti (Malware Hunter) Michael Gillespie tarafından keşfedildi).
Pcqq virüsü temelde diğer DJVU ailesine benzer (Lmas, Urnb, Ytbn, wrui, ) karakteristik bir yapıya sahiptir. Bu virüs, bilinen tüm yaygın dosya çeşitlerini şifreler ve tüm dosyalara özel “.pcqq” uzantısını ekler. Örneğin, “1.jpg” dosyası “1.jpg.pcqq “olarak değiştirir. Şifreleme başarıyla tamamlandıktan sonra, iletişim kurmak ve fidye talep etmek için her klasörün içerisine “_readme.txt” adında bir txt dosyası ekler.
Adı: PCQQ
Fidye yazılımı ailesi: DJVU/STOP
Uzantısı: .pcqq
Fidye yazılımı notu: _readme.txt
Talep Edilen Fidye: 490$ – 980$ (Bitcoin cinsinden)
Iletişim: helpteam@mail.ch, helpmanager@airmail.cc
AV Algılaması:
Dosyalarınızın çoğunu (fotoğraflar, videolar, belgeler) şifreler ve “.pcqq” uzantısı ekler; Kurbanın verileri geri yükleme girişimlerini imkansız hale getirmek için gölge kopyalarını silebilir; Güvenlikle ilgili belirli sitelere erişimi engellemek için HOSTS dosyasına etki alanlarının listesini ekler; Azorult Spyware gibi sisteme şifre çalan Truva atı yükler.
DJVU/STOP virüsü tarafından kullanılan şifreleme algoritması AES-256’dır. Yani, belgeleriniz tamamen benzersiz olan çevrimiçi bir şifre çözme anahtarıyla şifrelendiyse, maalesef ki, benzersiz anahtar olmadan dosyaların şifresini çözmek imkansızdır. Pcqq çevrimiçi modda çalıştıysa, AES-256 anahtarına erişmeniz imkansızdır. Pcqq virüsünün çözme anahtarları siber korsanların sahip olduğu uzak bir sunucuda saklanır.
Şifre çözme anahtarını almak için 980$ fidye talep edilmektedir. Ödeme ayrıntılarını öğrenmek için, kurbanların e-posta yoluyla iletişime geçmeleri için yönlendirilir (helpteam@mail.ch).
Pcqq fidye virüsüne ait örnek virüs notu aşağıdaki gibidir:
ATTENTION!
Don't worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-WJa63R98Ku
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
helpteam@mail.ch
Reserve e-mail address to contact us:
helpmanager@airmail.cc
Your personal ID:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Kullanılabilir yedeklemeleri deneyin veya alanında uzman biriyle iletişime geçin!
_readme.txt dosyası içerisinde, şifrelenen dosyalar için 72 saat içerisinde Pcqq zararlı yazılım sahipleri ile iletişime geçmeleri gerektiğini bellirten bir not bulunur. 72 saat içinde iletişime geçmeniz şartıyla, kurbanlara % 50 indirim uygulanacağı belirtilir. Böylece fidye miktarı 490$’a kadar indirilecektir). Ancak, fidyeyi ödemekten kesinlikle uzak durun!
Kesinlikle siber korsanlarla iletişime geçmemenizi ve ödeme yapmamanızı öneririz. Kayıp verileri kurtarmak için en gerçek çözümlerinden biri mevcut yedeklemeleri kullanarak veya alanında uzman bir ekiple iletişime geçmektir.
Şifrelenmiş verileriniz üzerinde bilinçsizce yapılacak işlemler verilerinize ulaşmanızı sağlamayacağı gibi kalıcı veri kayıplarına da sebebiyet verebilir. Değerli verilerinizin kaybolmasını önlemek için tek çözüm, önemli dosyalarınızın yedeklerini düzenli olarak fiziksel olarak harici bir ortamda saklamaktır. Örneğin, yedeklemelerinizi USB flash sürücü, ağdan gerektiğinde izole edilebilecek bir ağ depolama (NAS) cihazına veya başka bir harici sabit sürücü depolama alanında tutulabilirsiniz. İsteğe bağlı olarak, çevrimiçi (bulut) depolama çözümüne de başvurabilirsiniz.
Pcqq, sisteminize bulaşabilmek için çeşitli yöntemlere sahiptir. Eğer sisteminize bir defa bulaştıysa hangi yöntemle bulaştığı artık önemli değildir.
Crackithub[.]com, kmspico10[.]com, crackhomes[.]com, piratepc[.]net — gibi fidye virüsü dağıtılmasına olanak sağlayan siteler başlıca sebepler arasında yer alır. Bu virüsler, belirtilen sitelerinden indirilen herhangi bir PC’ye bulaşabilir ve sistemlerinize zarar verebilir.
Belirtilen sitelerden örnek zararlı içerik barındıran linkler:
xxxxs://crackithub[.]com/adobe-acrobat-pro/ xxxxs://crackithub[.]com/easyworship-7-crack/ xxxxs://kmspico10[.]com/ xxxxs://kmspico10[.]com/office-2019-activator-kmspico/ xxxxs://piratepc[.]net/category/activators/ xxxxs://piratepc[.]net/startisback-full-cracked/
Sisteminizin zarar görmesini önlemek için% 100 garanti olmasa da, fidye virüsü, trojan, backdoor, worm vb zararlı yazılımlardan korunmak için size vermek istediğimiz bazı ipuçları var.
Kötü amaçlı yazılımlar kendisini gizlemek için bazı özel ayarlar kullanırlar. Mevcut çalışan programlarınızın listelendiği “Görev Yöneticisi”nde görünmeyecek şekilde kendisini gizleyecektir. Sıkça kullanılan sistem uygulamalarının isimlerine benzer isimlerle tespit edilebilirliğini azaltacaktır. Sisteminizi başlattığınız andan itibaren arka planda düzenli olarak çalışıp sisteminize zarar verecek kötü amaçlı aktivitelerini gerçekleştirmeye devam edecektir. Şüpheli e-postaları ve bunların eklerinde iletilen dosyaları açmayın. Bilinmeyen adreslerden ve güvenilirliğinden emin olmadığınız dosyaları açmayın. Mutlaka güncel bir antivirüs yazılımı kullanın ve iş ortamınıza uygun bir şekilde gerekli konfigürasyonları yetkili birine yaptırın.
IGVM fidye virüsü, STOP/DJVU fidye virüsü ailesine ait, belgelerinizi şifreleyen ve daha sonra bunları çözmek için ödeme yapmaya zorlayan bir virüs çeşididir. Djvu/STOP fidye yazılımı ailesi, ilk olarak virüs analisti (Malware Hunter) Michael Gillespie tarafından keşfedildi).
Igvm virüsü temelde diğer DJVU ailesine benzer (Lmas, Urnb, Ytbn, wrui, pcqq ) karakteristik bir yapıya sahiptir. Bu virüs, bilinen tüm yaygın dosya çeşitlerini şifreler ve tüm dosyalara özel “.igvm” uzantısını ekler. Örneğin, “1.jpg” dosyası “1.jpg.igvm “olarak değiştirir. Şifreleme başarıyla tamamlandıktan sonra, iletişim kurmak ve fidye talep etmek için her klasörün içerisine “_readme.txt” adında bir txt dosyası ekler.
Adı: IGVM
Fidye yazılımı ailesi: DJVU/STOP
Uzantısı: .igvm
Fidye yazılımı notu: _readme.txt
Talep Edilen Fidye: 490$ – 980$ (Bitcoin cinsinden)
Iletişim: helpteam@mail.ch, helpmanager@airmail.cc
AV Algılaması: TROJAN-RANSOM.WİN32.CRYPTODEF
Belirtileri:
Dosyalarınızın çoğunu (fotoğraflar, videolar, belgeler) şifreler ve “.igvm” uzantısı ekler; Kurbanın verileri geri yükleme girişimlerini imkansız hale getirmek için gölge kopyalarını silebilir; Güvenlikle ilgili belirli sitelere erişimi engellemek için HOSTS dosyasına domain listesini ekler.
DJVU/STOP virüsü tarafından kullanılan şifreleme algoritması AES-256’dır. Yani, belgeleriniz tamamen benzersiz olan çevrimiçi bir şifre çözme anahtarıyla şifrelendiyse, maalesef ki, benzersiz anahtar olmadan dosyaların şifresini çözmek imkansızdır. Igvm çevrimiçi modda çalıştıysa, AES-256 anahtarına erişmeniz imkansızdır. igvm virüsünün çözme anahtarları siber korsanların sahip olduğu uzak bir sunucuda saklanır.
Şifre çözme anahtarını almak için 980$ fidye talep edilmektedir. Ödeme ayrıntılarını öğrenmek için, kurbanların e-posta yoluyla iletişime geçmeleri için yönlendirilir (helpteam@mail.ch).
Igvm fidye virüsüne ait örnek virüs notu aşağıdaki gibidir:
ATTENTION!
Don't worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-WJa63R98Ku
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
helpteam@mail.ch
Reserve e-mail address to contact us:
helpmanager@airmail.cc
Your personal ID:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Igvm Fidye Virüsü için ödeme yapmadan önce mutlaka okuyun!
Kullanılabilir yedeklemeleri deneyin veya alanında uzman biriyle iletişime geçin!
_readme.txt dosyası içerisinde, şifrelenen dosyalar için 72 saat içerisinde Igvm zararlı yazılım sahipleri ile iletişime geçmeleri gerektiğini bellirten bir not bulunur. 72 saat içinde iletişime geçmeniz şartıyla, kurbanlara % 50 indirim uygulanacağı belirtilir. Böylece fidye miktarı 490$’a kadar indirilecektir). Ancak, fidyeyi ödemekten kesinlikle uzak durun!
Kesinlikle siber korsanlarla iletişime geçmemenizi ve ödeme yapmamanızı öneririz. Kayıp verileri kurtarmak için en gerçek çözümlerinden biri mevcut yedeklemeleri kullanarak veya alanında uzman bir ekiple iletişime geçmektir.
Şifrelenmiş verileriniz üzerinde bilinçsizce yapılacak işlemler verilerinize ulaşmanızı sağlamayacağı gibi kalıcı veri kayıplarına da sebebiyet verebilir. Değerli verilerinizin kaybolmasını önlemek için tek çözüm, önemli dosyalarınızın yedeklerini düzenli olarak fiziksel olarak harici bir ortamda saklamaktır. Örneğin, yedeklemelerinizi USB flash sürücü, ağdan gerektiğinde izole edilebilecek bir ağ depolama (NAS) cihazına veya başka bir harici sabit sürücü depolama alanında tutulabilirsiniz. İsteğe bağlı olarak, çevrimiçi (bulut) depolama çözümüne de başvurabilirsiniz.
Igvm Bilgisayarıma Nasıl Bulaştı?
Igvm, sisteminize bulaşabilmek için çeşitli yöntemlere sahiptir. Eğer sisteminize bir defa bulaştıysa hangi yöntemle bulaştığı artık önemli değildir. Fakat başlıca sebepleri arasında güvenilir kaynaklardan elde edilmeyen uygulamalarla birlikte gelen gizli kurulum, özellikle ücretsiz paylaşılan crackli yardımcı programlar başlıca bulaşma sebepleri arasındadır. Bilgisayar kullanıcılarının çevrimiçi ücretsiz ve crackli yazılım elde etmek için kullandığı yasa dışı eşler arası (P2P) kaynakları da fidye virüslerinin bulaşması noktasında yaygın olarak görülen sebeplerdir. Bunun haricinde kurumsal firmalara yönelik, Igvm virüsünü yüklemeye ikna etmek için oluşturulan spam e-postalardır.
Crackithub[.]com, kmspico10[.]com, crackhomes[.]com, piratepc[.]net — gibi
fidye virüsü dağıtılmasına olanak sağlayan siteler başlıca sebepler arasında yer alır.
Bu virüsler, belirtilen sitelerden indirilen herhangi bir
PC’ye bulaşabilir ve sistemlerinize zarar verebilir.
Belirtilen sitelerden örnek zararlı içerik barındıran linkler:
xxxxs://crackithub[.]com/adobe-acrobat-pro/ xxxxs:
//crackithub[.]com/easyworship-7-crack/ xxxxs://kmspico10[.]com/ xxxxs://kmspico10[.]com/
office-2019-activator-kmspico/ xxxxs://piratepc[.]net/category/activators/
xxxxs://piratepc[.]net/startisback-full-cracked/
Igvm fidye virüsü özelinde bundan sonraki süreçte cihazınıza fidye virüsü benzeri zararlı yazılımların bulaşmasını önlemek için ne yapmalısınız?
Sisteminizin zarar görmesini önlemek için% 100 garanti olmasa da, fidye virüsü, trojan, backdoor, worm vb zararlı yazılımlardan korunmak için size vermek istediğimiz bazı ipuçları var.
Kötü amaçlı yazılımlar kendisini gizlemek için bazı özel ayarlar kullanırlar. Mevcut çalışan programlarınızın listelendiği “Görev Yöneticisi”nde görünmeyecek şekilde kendisini gizleyecektir. Sıkça kullanılan sistem uygulamalarının isimlerine benzer isimlerle tespit edilebilirliğini azaltacaktır. Sisteminizi başlattığınız andan itibaren arka planda düzenli olarak çalışıp sisteminize zarar verecek kötü amaçlı aktivitelerini gerçekleştirmeye devam edecektir. Şüpheli e-postaları ve bunların eklerinde iletilen dosyaları açmayın. Bilinmeyen adreslerden ve güvenilirliğinden emin olmadığınız dosyaları açmayın. Mutlaka güncel bir antivirüs yazılımı kullanın ve iş ortamınıza uygun bir şekilde gerekli konfigürasyonları yetkili birine yaptırın.
Şayet “IGVM” uzantılı fidye virüsü saldırısına maruz kaldıysanız bu konuda destek isteyebilir ve dosyalarınızın analizini talep edebilirsiniz.
“.jessy” uzantılı fidye virüsü, “Dharma” ransomware ailesine ait bir fidye yazılım çeşididir. Bir sisteme bulaştıktan sonra dosyaları şifreler, yeniden adlandırır ve iletişim kurabilmek için genellikle her klasörün içerisine bir txt doyası oluşturur. Bulaştığı her cihaz için bir ID oluşturur ve iletişim kurmak, ücret talep etmek vb işlemleri için bu ID numarasını baz alır. Oluşturulan her ID’nin sonuna iletişim için jessymail26@aol.com e-posta adresini ekler. Dosyaları şifreledikten sonra dosya adlarına “.jessy” uzantısını ekleyerek dosyaları yeniden adlandırır. Örneğin, “local.txt” dosyasını “local.txt.id[jessymail26@aol.com].Jessy olarak yeniden adlandırır. Bulaştığı sistemlerde aşağıdakine benzer virüs notu olarak tabir ettiğimiz notu bırakarak iletişime geçmenizi ister;
All your files have been encrypted! All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail jessymail26@aol.com Write this ID in the title of your message XXXXXX In case of no answer in 24 hours write us to theese e-mails:jessymail26@aol.com You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. Free decryption as guarantee Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) How to obtain Bitcoins The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click ‘Buy bitcoins’, and select the seller by payment method and price. hxxps://localbitcoins[dot]com/buy_bitcoins Also you can find other places to buy Bitcoins and beginners guide here: hxxps://www.coindesk[dot]com/information/how-can-i-buy-bitcoins/ Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Tüm dosyaları şifreyip uzantılarını değiştirdikten sonra her klasör içerisine “info.txt” veya “info.hta” ismi ile bir bilgilendirme dosyası oluşturur. Bu dosya içerisinde saldırgan ile nasıl iletişime geçeceğiniz, ödemeyi hangi şekilde yapacağınız, şifrelenen dosyalara müdahale etmemeniz gerektiği vb notlar bırakılır. Bırakılan not içerisinde saldırgan ile belirtilen mail adresleri üzerinden iletişime geçilmesi gerektiği, 24 saat içerisinde cevap verilmediği takdirde “TOR BROWSER” aracılığıyla belirtlen link ile iletişime geçilmesini belirten notlar bıraklıyor. İletişime geçtikten sonra, güven sağlamak amacıyla istedikleri miktarda fidyeyi alabilmek için bir kısım dosyayı ücretsiz olarak çözme “hizmeti” veriyor. Unutulmamalıdır sistemlerinize fidye virüsü bulaştırıp sizden ücret talep eden siber korsanlar, ödemeyi aldıktan sonra sizinle iletişimi kesebilirler. Fidye yazılımı geliştiricilerinin ödemeden sonra bile şifre çözme araçları / anahtarları göndermediğini unutmayın. Daha önce yaşanmış bir çok vakada olduğu gibi siber korsanlara güvenen kişiler genellikle dolandırılıyor. Fidye virüsüne maruz kalmadan önce mutlaka çalışan bir yedeğiniz olduğundan emin olun. Fidye virüsü saldırılarından minimum düzeyde etkilenmenin yolu her zaman çalışan ve güncel bir yedeğinizin olmasıdır.
Şayet “.jessy” uzantılı fidye virüsü saldırısına maruz kaldıysanız bu konuda destek isteyebilir ve dosyalarınızın ücretsiz olarak analizini talep edebilirsiniz.
LockBit fidye yazılımı grubu, FBI ve diğer uluslararası kolluk kuvvetleri tarafından gerçekleştirilen bir operasyonda kısa süreliğine zayıflatılmıştı. Fakat grup, beklenmedik bir şekilde hızlı bir toparlanma göstererek saldırılarına aralıksız devam ediyor. Bu durum siber güvenlik uzmanları tarafından endişeyle karşılanıyor.
Tarih: 2024-02-28
Lockbit ransomware grubunun 28 Şubat 2024 tarihinde 3 yeni firmayı daha kurban listesine eklediği tehdit istihbaratı ekiplerimizce tespit edilmiştir.
2024-03-15 tarihinde OYAK Savunma ve Güvenlik Sistemleri, LockBit fidye grubu tarafından gerçekleştirilen bir ransomware saldırısına maruz kaldı. Saldırıda 720 GB büyüklüğünde veri ele geçirildi.
Saldırının nedenleri tam olarak bilinmemekle birlikte, siber güvenlik zaafiyetleri veya insan hatası gibi faktörlerin rol oynamış olması muhtemeldir. Saldırının olası sonuçları arasında veri kaybı, finansal kayıp, itibar zedelenmesi gibi sonuçlar yer almaktadır.
Benzer saldırıların önlenmesi için aşağıdaki önlemlerin alınması önemlidir:
OpCronos operasyonundan sonra LockBit, saldırılarını daha da yoğunlaştırarak hızlı bir şekilde toparlanmayı başardı. 2024 yılında LockBit, aşağıdakiler de dahil olmak üzere birçok yüksek profilli saldırı gerçekleştirdi:
LockBit’in OpCronos operasyonundan sonra hızlı bir şekilde toparlanmasının ve saldırılarını daha da yoğunlaştırmasının birkaç sebebi var:
LockBit ve diğer ransomware saldırılarına karşı korunmak için aşağıdaki önlemleri almanız önerilir:
Bu belge, Socotra Ransomware olarak bilinen fidye yazılımı grubunun faaliyetleri ve teknik özellikleri hakkında bilgi vermektedir. Ayrıca, bu grupla ilişkili riskleri ve korunma yollarını da ele almaktadır.
Socotra Ransomware saldırısına maruz kalan kuruluşlar, DrDisk Lab’tan teknik destek alabilir. DrDisk Lab, fidye yazılımı saldırılarının çözümü konusunda uzmanlaşmış bir siber güvenlik ve veri kurtarma firmasıdır.
Cryptolocker, dosyaları şifreleyen ve kurtarma için fidye talep eden son derece tehlikeli bir fidye yazılımıdır. Bu rehber, Cryptolocker virüsüne karşı korunmak ve saldırı durumunda nasıl müdahale edileceğini detaylandırmaktadır.
Sosyal Mühendislik Saldırılarından Haberdar Olun: Sosyal mühendislik, insanları kandırarak kişisel bilgilerini veya hassas verilerini ifşa etmelerini sağlayan bir siber saldırı türüdür. Kimlik avı e-postaları, sahte web siteleri ve telefon dolandırıcılıkları yaygın sosyal mühendislik saldırıları arasındadır. Bu tür saldırılara karşı dikkatli olun, şüpheli görünen e-postalara veya web sitelerine tıklamayın ve kişisel bilgilerinizi asla telefonla veya internette kim olduğunuzu bilmediğiniz kişilere vermeyin.
Yazılımlarınızı Güncel Tutun: İşletim sisteminiz, tüm uygulamalarınız ve antivirüs yazılımınız dahil olmak üzere tüm yazılımlarınızı güncel tutun. Yazılım güncellemeleri genellikle güvenlik açıklarını ve hataları düzeltir ve sisteminizi daha az savunmasız hale getirir.
Bilgisayarınızı Gözetimsiz Bırakmayın: Bilgisayarınızı asla gözetimsiz bırakmayın, özellikle de bir oturum açtıysanız. Bilgisayardan ayrılırken her zaman oturumu kapatın ve şifrenizi girmeden asla geri dönmeyin.
Mobil Cihazlarınızı Güvende Tutun: Akıllı telefon ve tabletleriniz gibi mobil cihazlarınızı da fidye yazılımlarına karşı korumayı unutmayın. Bu cihazlar için güvenlik yazılımı yükleyin, güçlü parolalar kullanın ve yalnızca resmi uygulama mağazalarından uygulama indirin.
Şüpheli Aktiviteleri Bildirin: Bilgisayarınızda veya ağınızda şüpheli bir aktivite fark ederseniz, derhal yetkililere bildirin. Bu, virüsün yayılmasını önlemeye ve hızlı müdahale için yardımcı olacaktır.
Verilerinizi Yedekleyin: Verilerinizin düzenli yedeklerini alarak, bir saldırı durumunda dosyalarınızı kurtarma şansınızı artırabilirsiniz. Yedeklerinizi çevrimdışı bir ortamda saklamayı unutmayın, böylece virüs tarafından şifrelenemezler.
Bilinçli Olun ve Kendinizi Güncel Tutun: Siber tehditlerle ilgili en son bilgilerden haberdar olmak için siber güvenlik haberlerini ve bloglarını takip edin. Bu, yeni tehditlere karşı hazırlıklı olmanıza ve kendinizi ve sisteminizi korumak için gerekli adımları atmanıza yardımcı olacaktır.
Cryptolocker virüsü ve diğer fidye yazılımları, günümüzde en yaygın siber tehditlerden biridir. Bu rehberde sunulan önlem ve müdahale planları, kullanıcıların ve kuruluşların bu tehdide karşı korunmasına ve saldırı durumunda hızlı ve etkili bir şekilde müdahale etmesine yardımcı olmayı amaçlamaktadır.
Unutmayın: Siber güvenlik, sürekli bir süreçtir. Bu rehberdeki adımları takip etmek ve güncel kalmak, bilgisayar sistemlerinizi ve verilerinizi korumak için en iyi yoldur.
BABARAP RANSOMWARE, son zamanlarda siber suç dünyasında öne çıkan bir ransomware grubudur. Karmaşık şifreleme algoritmaları ve hedef odaklı saldırı stratejileriyle bilinirler. Hızlı bir şekilde tanınırlık kazandılar ve genellikle sunucuları hedef almalarıyla ün kazandılar.
Grup Tipi: Ransomware
Hedef Sistemler: BABARAP RANSOMWARE, özellikle kurumsal sunucuları ve büyük ölçekli işletme ağlarını hedef alır. Sunucular genellikle yüksek değerli veriler barındırdığından, grup bu sistemleri hedeflemektedir.
Hedef Sektörler: Finans, sağlık, teknoloji, e-ticaret ve üretim gibi çeşitli sektörlerde faaliyet gösteren kuruluşları hedef alırlar. Bu sektörler genellikle hassas verilere sahip olduklarından, BABARAP’ın saldırıları büyük zararlara yol açmaktadır.
Etki Alanı: BABARAP ransomware grubu, işletme ağlarını ve sunucuları hedef alarak geniş bir etki alanına saldırı düzenlemektedir. Sunucuların şifrelenmesiyle birlikte, kurbanlar veri kaybı, iş sürekliliği bozulması ve itibar kaybı gibi ciddi sonuçlarla karşı karşıya kalabilirler.
Saldırı Yöntemleri: BABARAP, saldırılarını gerçekleştirmek için çeşitli yöntemler kullanır. Bunlar arasında şunlar yer alır:
Fidye Talepleri: BABARAP, şifrelenmiş verilere erişim karşılığında fidye ödemeleri talep eder. Ancak, fidye ödemek genellikle önerilmeyen bir çözümdür çünkü veri erişimini garanti etmez ve suç faaliyetlerini teşvik edebilir.
Grubun Saldırı Yöntemleri:
Grup, bilinen bir zafiyetten yararlanarak Esxi sunucularına sızıyor ve ardından şifreleme yazılımı yüklüyor. Bu zafiyet, VMware vCenter Server ve önceki sürümlerini etkileyen CVE-2021-21972 olarak bilinir. Bu zafiyet, saldırganların kimlik doğrulama olmadan sunucuya kök ayrıcalıkları elde etmesine olanak tanımaktadır.
Grubun Motivasyonu: Grubun temel motivasyonu, şifrelenmiş verilere erişim karşılığında fidye talep etmektir. Kurbanlar, verilerini kurtarmak için fidye ödemeye zorlanır.
Tehdit Seviyesi:
Bu grubun saldırıları kritik altyapıya sahip kurumlar ve kuruluşlar için önemli bir tehdit oluşturmaktadır. Sunucuların şifrelenmesi, iş kesintilerine, veri kaybına ve mali kayıplara yol açabilir.
Virüs Notu: “Go to https://getsession.org/; download & install; then add 05c5dbb3e0f6c173dd4ca479587dbeccc1365998ff********************** to your contacts and send a message with this codename —> BABARAP ”
Kendinizi Korumak: BABARAP gibi ransomware gruplarına karşı kendinizi korumak için yapabileceğiniz birkaç şey var:
Kendinizi Korumak İçin İpuçları:
Saldırıya Uğradıysanız: BABARAP tarafından saldırıya uğradıysanız, aşağıdakileri yapmanız önemlidir:
BABARAP, siber suç dünyasında yeni olan bir gruptur. Karmaşık saldırı teknikleri ve hedef odaklı stratejileri nedeniyle önemli bir tehdit oluşturmaktadırlar. Kendinizi korumak için yukarıdaki adımları takip etmeniz ve saldırıya uğradıysanız doğru adımları atmanız önemlidir.
Microsoft araştırmacıları, birden fazla ransomware operatörünün, domaine bağlı ESXi hipervizörlerinde tam yönetici izinleri elde etmek için yararlandığı bir güvenlik açığını keşfetti. ESXi hipervizörleri, ağdaki kritik sunucuları içerebilecek sanal makineleri barındırır. Bir ransomware saldırısında, bir ESXi hipervizöründe tam yönetici iznine sahip olmak, tehdit aktörünün dosya sistemini şifreleyebileceği anlamına gelir ve bu, barındırılan sunucuların çalışmasını ve işlev görmesini etkileyebilir. Ayrıca, tehdit aktörünün barındırılan sanal makinelerine erişmesine ve muhtemelen verileri dışarı çıkarmasına veya ağ içinde yatay olarak hareket etmesine olanak tanımaktadır.
CVE-2024-37085 olarak tanımlanan bu güvenlik açığı, üyelerine varsayılan olarak uygun doğrulama olmadan ESXi hipervizörüne tam yönetici erişimi verilen bir etki alanı grubunu içerir. Microsoft, bulguları VMware’e Microsoft Güvenlik Açığı Araştırmaları (MSVR) aracılığıyla koordine edilen güvenlik açığı açıklaması (CVD) yoluyla bildirdi ve VMware bir güvenlik güncellemesi yayınladı. Microsoft, ESXi sunucu yöneticilerine VMware tarafından yayınlanan güncellemeleri uygulamalarını ve blog yazımızda sağladığımız azaltma ve koruma yönergelerini takip etmelerini önerir. Bu sorunu ele almak için VMware’e iş birliği için teşekkür ederiz.
Bu blog yazısı, CVE-2024-37085’in analizini ve Microsoft tarafından güvenlik açığından yararlanarak gerçekleştirilen bir saldırının ayrıntılarını sunmaktadır. Bu araştırmayı, araştırmacılar, satıcılar ve güvenlik topluluğu arasında iş birliğinin önemini vurgulamak amacıyla paylaşıyoruz.
Microsoft güvenlik araştırmacıları, ransomware operatörleri Storm-0506, Storm-1175, Octo Tempest ve Manatee Tempest tarafından birçok saldırıda kullanılan yeni bir sonrası saldırı tekniği tespit etti. Birçok durumda, bu tekniğin kullanımı Akira ve Black Basta fidye yazılımlarının dağıtımına yol açtı. Teknik, aşağıdaki komutları çalıştırmayı ve etki alanında “ESX Admins” adlı bir grup oluşturmayı ve bir kullanıcı eklemeyi içerir:
Microsoft araştırmacıları, saldırıları ve tarif edilen davranışı araştırırken, tehdit aktörlerinin bu komutu kullanma amacının, tehdit aktörünün ESXi hipervizöründe tam yönetici erişimine yükseltmesine olanak tanıyan bir güvenlik açığından yararlanmak olduğunu keşfetti. Bu bulgu, bu yılın başlarında VMware’e bir güvenlik açığı bildirimi olarak rapor edildi.
Güvenlik açığının daha fazla analizi, bir Active Directory domaine katılan VMware ESXi hipervizörlerinin, varsayılan olarak “ESX Admins” adlı bir etki alanı grubunun herhangi bir üyesine tam yönetici erişimi verdiğini ortaya çıkardı. Bu grup, Active Directory’de yerleşik bir grup değildir ve varsayılan olarak mevcut değildir. ESXi hipervizörleri, sunucu bir domaine katıldığında böyle bir grubun varlığını doğrulamaz ve yine de bu isimle bir grubun herhangi bir üyesine tam yönetici erişimi sağlar, grup başlangıçta mevcut olmasa bile. Ayrıca, gruptaki üyelik adla belirlenir, güvenlik tanımlayıcısıyla (SID) değil.
Microsoft araştırmacıları bu güvenlik açığından yararlanmanın üç yöntemini belirledi:
ESXi hipervizörleri hedefleyen ransomware operatörleri;
Son bir yılda, ransomware aktörlerinin birkaç tıklama ile toplu şifreleme etkisini kolaylaştırmak için ESXi hipervizörlerini hedeflediğini gördük, bu da ransomware operatörlerinin hedefledikleri kuruluşlar üzerindeki etkiyi artırmak için sürekli olarak saldırı tekniklerini yenilediğini gösteriyor.
ESXi, birçok kurumsal ağda popüler bir üründür ve son yıllarda ESXi hipervizörlerinin tehdit aktörleri için tercih edilen bir hedef haline geldiğini gözlemledik. Bu hipervizörler, ransomware operatörleri Güvenlik Operasyon Merkezi’nin (SOC) radarında kalmak istiyorsa uygun hedefler olabilir, çünkü:
Karanlık webde satılan ESXi yetkisiz kabuğuna ait bir gönderinin ekran görüntüsü Şekil 1. Karanlık webde satılan ESXi yetkisiz kabuğu Storm-0506 Black Basta ransomware dağıtımı Bu yılın başlarında, Kuzey Amerika’da bir mühendislik firması, Storm-0506 tarafından Black Basta ransomware dağıtımı ile etkilendi. Bu saldırı sırasında tehdit aktörü, kuruluş içindeki ESXi hipervizörlerine yükseltilmiş ayrıcalıklar elde etmek için CVE-2024-37085 güvenlik açığını kullandı.
Tehdit aktörü, Qakbot enfeksiyonu yoluyla kuruluşa ilk erişimi elde etti, ardından etkilenen cihazlarda ayrıcalıklarını yükseltmek için bir Windows CLFS güvenlik açığını (CVE-2023-28252) kullandı. Tehdit aktörü daha sonra Cobalt Strike ve Pypykatz (Mimikatz’ın bir Python versiyonu) kullanarak iki etki alanı yöneticisinin kimlik bilgilerini çaldı ve dört etki alanı denetleyicisine yan hareketle ilerledi.
Kompromize edilmiş etki alanı denetleyicilerinde, tehdit aktörü özel araçlar ve bir SystemBC implantı kullanarak kalıcılık mekanizmaları kurdu. Aktör ayrıca, başka bir yan hareket yöntemi olarak birden fazla cihaza Uzaktan Masaüstü Protokolü (RDP) bağlantılarını brute force ile zorlamaya çalıştı ve ardından tekrar Cobalt Strike ve SystemBC kurdu. Tehdit aktörü daha sonra Microsoft Defender Antivirus’ü tespit edilmekten kaçınmak için çeşitli araçlar kullanarak karıştırmaya çalıştı.
Microsoft, tehdit aktörünün etki alanında “ESX Admins” grubunu oluşturduğunu ve yeni bir kullanıcı hesabı eklediğini gözlemledi; bu eylemlerin ardından, Microsoft, bu saldırının ESXi dosya sisteminin şifrelenmesi ve ESXi hipervizöründeki barındırılan sanal makinelerin işlevselliğini kaybetmesiyle sonuçlandığını gözlemledi. Aktör ayrıca, ESXi hipervizöründe barındırılmayan cihazları şifrelemek için PsExec kullanımı da gözlemlendi. Microsoft Defender Antivirus ve Microsoft Defender for Endpoint’deki otomatik saldırı kesintisi, Defender for Endpoint’in birleşik ajanının yüklü olduğu cihazlarda bu şifreleme girişimlerini durdurmayı başardı.
Storm-0506 tarafından bir saldırının başlangıç erişiminden ESXi güvenlik açığının istismarına ve Black Basta ransomwarenın dağıtımına ve ESXi hipervizöründeki sanal makinelerin toplu şifrelenmesine kadar birden fazla kötü niyetli eylemi takip eden saldırı zinciri diyagramı
Şekil 2. Storm-0506 saldırı zinciri
Microsoft, domaine bağlı ESXi hipervizörlerini kullanan kuruluşlara, CVE-2024-37085’i ele almak için VMware tarafından yayınlanan güvenlik güncellemesini uygulamalarını önerir. Aşağıdaki yönergeler, kuruluşların ağlarını saldırılardan korumasına da yardımcı olacaktır:
Yazılım güncellemelerini yüklemek mümkün değilse, riski azaltmak için aşağıdaki önerileri kullanabilirsiniz:
Active Directory ESX yöneticileri grubunun tam yönetici erişimi istenmiyorsa, bu davranışı şu gelişmiş ana bilgisayar ayarını kullanarak devre dışı bırakabilirsiniz:
‘Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd’.
Bu nedenle, kuruluşta diğer etki alanı gruplarını yönetebilecek yüksek ayrıcalıklı hesapları koruduğunuzdan emin olmanız önerilir:
Microsoft Defender for Endpoint ESXi güvenlik açıkları ve istismarlarıyla ilişkili tehdit etkinliklerini belirlemek için aşağıdaki uyarılar kullanılabilir:
Aşağıdaki uyarılar tehdit etkinliklerini belirlemek için kullanılabilir:
Müşteriler, tehdit aktörleri ve ilgili etkinlikler hakkında güncel bilgiler almak için aşağıdaki raporlara başvurabilirler:
Ağdaki ilgili etkinlikleri belirlemek için müşteriler aşağıdaki sorguları kullanabilir:
DeviceInfo
| where OSDistribution =~ “ESXi”
| summarize arg_max(Timestamp, *) by DeviceId
IdentityDirectoryEvents
| where Timestamp >= ago(30d)
| where AdditionalFields has (‘esx admins’)
DeviceInfo
| where OSDistribution =~ “ESXi”
| summarize arg_max(Timestamp, *) by DeviceId
| join kind=inner (DeviceTvmSoftwareVulnerabilities) on DeviceId
DeviceInfo
| where OSDistribution =~ “ESXi”
| summarize arg_max(Timestamp, *) by DeviceId
| join kind=inner (DeviceTvmSecureConfigurationAssessment) on DeviceId
Siber güvenlik dünyasında, her geçen yıl daha karmaşık ve tehlikeli tehditler ortaya çıkmaktadır. 2024 yılında ortaya çıkan RansomHub ransomware grubu, siber suç ekosisteminde hızla yükselen bir tehdit haline gelmiştir. RansomHub, LockBit ve ALPHV/BlackCat gibi köklü grupların yerini almış ve kısa sürede önemli saldırılara imza atmıştır. Bu makalede, RansomHub’ın çalışma yöntemleri, teknik altyapısı, hedef aldığı sektörler ve savunma stratejileri detaylı şekilde ele alınacaktır.
RansomHub, 2024 yılında faaliyet göstermeye başlamış bir ransomware-as-a-service (RaaS) grubudur. RaaS modeli, ransomware yazılımını geliştiren ve dağıtan çekirdek bir ekip ile bu yazılımı kullanarak saldırılar düzenleyen iş ortaklarından (affiliate) oluşur. Bu iş modeli, ransomware saldırılarının yayılmasını hızlandırır ve saldırı tekniklerinin daha geniş bir yelpazeye ulaşmasına olanak tanır. RansomHub, bu yapı ile kısa sürede dikkat çekmiştir.
RansomHub’ın bu denli kısa sürede yükselmesinin birkaç temel nedeni vardır:
RansomHub, özellikle kritik altyapı sektörlerine odaklanmıştır. Bu sektörler şunları içerir:
RansomHub, belirli ülkeleri hedef almamaktadır. Bunlar:
RansomHub, ransomware saldırılarında yaygın olarak kullanılan teknik ve yöntemleri benimsemektedir. Saldırı aşamaları genellikle şu şekilde ilerler:
İlk erişim genellikle iki yöntemle sağlanır:
Sisteme erişim sağlandıktan sonra RansomHub, ağ içinde keşif yaparak lateral hareket eder. Mimikatz gibi araçlarla kimlik bilgilerini ele geçiren grup, PsExec ve Remote Desktop Protocol (RDP) gibi tekniklerle ağda hareket eder.
Veri şifreleme işlemi, RansomHub’ın fidye taleplerinin merkezindedir. Curve25519 ve AES algoritmaları kullanılarak veriler şifrelenir. Bu işlem sırasında kurbanın verilerine erişimini tamamen engellemek amacıyla Volume Shadow Copy silinir. Ayrıca, RansomHub, fidye ödenmezse hassas bilgileri yayınlamakla tehdit ederek baskıyı artırmak için çifte fidye stratejisi uygular.
RansomHub, geleneksel şifreleme yöntemlerinden farklı olarak intermittent encryption (aralıklı şifreleme) kullanır. Küçük dosyalar tamamen şifrelenirken, daha büyük dosyalar belirli aralıklarla şifrelenir. Bu teknik, şifreleme sürecini hızlandırırken saldırının etkisini artırır.
We are the RansomHub.
Your company Servers are locked and Data has been taken to our servers. This is serious.
Good news: – your server system and data will be restored by our Decryption Tool; – for now, your data is secured and safely stored on our server; – nobody in the world is aware about the data leak from your company except you and RansomHub team;
FAQs: Who we are? – Normal Browser Links: https://ransomxifxwc5eteopdobynonjctkxxvap77yqifu2emfbecgbqdw6qd.onion.ly/ – Tor Browser Links: http://ransomxifxwc5eteopdobynonjctkxxvap77yqifu2emfbecgbqdw6qd.onion/
Want to go to authorities for protection? – Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined <This will be a huge amount,Read more about the GDRP legislation:https://en.wikipedia.org/wiki/General_Data_Protection_Regulation>,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!
Think you can handle it without us by decrypting your servers and data using some IT Solution from third-party “specialists”? – they will only make significant damage to all of your data; every encrypted file will be corrupted forever. Only our Decryption Tool will make decryption guaranteed;
Think your partner IT Recovery Company will do files restoration? – no they will not do restoration, only take 3-4 weeks for nothing; besides all of your data is on our servers and we can publish it at any time; as well as send the info about the data breach from your company servers to your key partners and clients, competitors, media and youtubers, etc. Those actions from our side towards your company will have irreversible negative consequences for your business reputation.
You don’t care in any case, because you just don’t want to pay? – We will make you business stop forever by using all of our experience to make your partners, clients, employees and whoever cooperates with your company change their minds by having no choice but to stay away from your company. As a result, in midterm you will have to close your business.
So lets get straight to the point.
What do we offer in exchange on your payment: – decryption and restoration of all your systems and data within 24 hours with guarantee; – never inform anyone about the data breach out from your company; – after data decryption and system restoration, we will delete all of your data from our servers forever; – provide valuable advising on your company IT protection so no one can attack your again.
Now, in order to start negotiations, you need to do the following: – install and run ‘Tor Browser’ from https://www.torproject.org/download/ – use ‘Tor Browser’ open http:// ***************************************************.onion/ – enter your Client ID: ***************************************************
There will be no bad news for your company after successful negotiations for both sides. But there will be plenty of those bad news if case of failed negotiations, so don’t think about how to avoid it. Just focus on negotiations, payment and decryption to make all of your problems solved by our specialists within 1 day after payment received: servers and data restored, everything will work good as new.
Geçtiğimiz günlerde ransomware alanında faaliyet gösteren siber saldırganların, artık ne derece kurumsallaşıtığını ve güçlendiğini gösteren ilginç bir haberle karşlılaştık. BlackBasta isimli grup, dark webde bir ihale ilanı yayınladı.
Bu ilana göre grup; özellikle Windows sistemleri için aktif olarak RCE (uzaktan kod yürütme) 0Day açıkları arıyor. CVE ID’leri veya demo sürümleri talep ediyorlar ve yerel ağları hedefleyenler de dahil olmak üzere kullanıcı etkileşimi gerektirmeyen istismarları satın almayı teklif ediyorlar. Bu meselede asıl haber değeri olan şey, grupların artık elde ettikleri ekonomik gücü adeta yatırım için kullanma becerilerin geldiği tehlikeli bir noktaya işaret ediyor.
Peki bu durumda yapabileceğimiz neler var?
Uzaktan kod yürütme saldırıları çeşitli güvenlik açıklarından faydalanabilir, bu nedenle bunlara karşı korunmak çok yönlü bir yaklaşım gerektirir. İşte RCE saldırılarını tespit etmek ve azaltmak için bazı en iyi uygulamalar:
Black Basta (AKA BlackBasta), ilk olarak 2022’nin başlarında ortaya çıkan ve hemen dünyadaki en aktif RaaS tehdit aktörlerinden biri haline gelen, faaliyetinin ilk birkaç ayında 19 önde gelen kurumsal kurban ve 100’den fazla doğrulanmış kurban toplayan bir fidye yazılımı operatörü ve Hizmet Olarak Fidye Yazılımı (RaaS) suç girişimidir. Black Basta, ABD, Japonya, Kanada, Birleşik Krallık, Avustralya ve Yeni Zelanda’daki kuruluşları, püskürtme ve püskürtme yaklaşımı kullanmak yerine son derece hedefli saldırılarla hedef alıyor. Grubun fidye taktikleri, kurbanlarının kritik verilerini ve hayati sunucularını şifreleyerek ve hassas verileri grubun halka açık sızıntı sitesinde yayınlamakla tehdit ederek çifte şantaj taktiği kullanıyor.
Black Basta’nın çekirdek üyeliğinin, kötü amaçlı yazılım geliştirme, sızıntı siteleri ve müzakere, ödeme ve veri kurtarma için iletişim yaklaşımlarındaki benzerlikler nedeniyle feshedilmiş Conti tehdit aktörü grubundan ortaya çıktığı düşünülmektedir. Black Basta ayrıca özel Uç Nokta Tespit ve Yanıt (EDR ) kaçırma modüllerindeki benzerlikler ve komuta ve kontrol (C2) operasyonları için IP adreslerinin örtüşen kullanımı nedeniyle FIN7 (AKA Carbanak) tehdit aktörü ile de ilişkilendirilmiştir.
DrDisk Lab, çok çeşitli cihaz ve platformlardan veri kurtarma konusunda uzmanlaşmış lider bir veri kurtarma ve adli bilişim şirketidir.