Cheerscrypt Linux Tabanlı Ransomware, Hem Linux Hem Windows Sistemlerini Şifreleme

Geçenlerde bir araştırmada, Sygnia güvenlik firması Linux tabanlı fidye yazılımı Cheerscrypt'i buldu. Bu fidye yazılımı, Night Sky fidye yazılımının TTP'leri kullanılarak bulundu.

Hem Cheerscrypt hem de Night Sky'ın arkasında Emperor Dragonfly (AKA DEV-0401 / BRONZE STARLIGHT) adında ortak bir tehdit grubu var.

Emperor Dragonfly tarafından konuşlandırılan birkaç açık kaynaklı araç vardı. Çinli kullanıcılara bu araçları sağlamak için, Çinli geliştiriciler bunları Çince olarak sıfırdan yazdılar.

'Emperor Dragonfly' fidye yazılımının orijinal operatörlerinin Çin'den geldiğine dair iddiaları doğruluyor.

Windows tabanlı sistemlerdeki dosyaları şifrelemenin yanı sıra, Cheerscrypt fidye yazılımı ESXi uygulamalarını da hedefler.

Cheerscrypt Ve Night Sky Arasındaki Bağlantı

Bu saldırıda kullanılan TTP'lerin Night Sky tarafından kullanılanlarla çok fazla ortak noktası olduğu son derece açıktır.

Cheerscrypt'in çalışmalarının ana odak noktası, ESXi sunucularının şifrelenmesi ve son yüktür. Night Sky'ın başka bir tehdit grubuyla bağlantılı olduğunu gösteren bazı bilgiler zaten mevcuttu, ancak Cheerscrypt henüz tanımlanmamıştı.

Rapora göre, Cheerscrypt'in operatörleri kendilerini Ukrayna yanlısı olarak tanıtıyorlar ve bu da gerçek kimliklerine dair tek ipucu sağladı. Bu, "Ukrayna'ya Zafer!" anlamına gelen "Слава Україні!" ifadesi ve Ukrayna bayrağı gösteren karanlık web sızıntısı sitesi ile belirtilmektedir.

Saldırı öldürme zinciri dört aşamaya ayrılmıştır ve işte bunlar:

• İlk erişim
• Ağ içinde dayanak noktası oluşturma
• Yanal hareket
• Veri sızıntısı ve fidye yazılımı yürütme

Fidye yazılımı bağlı kuruluşları ve fidye yazılımı için sızdırılmış kaynak kodu dünyasındaki aynı tehdit aktörünün bir parçası olarak iki fidye yazılımı türünü tanımlamak genellikle zordur.

Algılama Noktaları

Aşağıda, Emperor Dragonfly'un organizasyon ağındaki izlerini aramanıza yardımcı olabilecek bazı tespit ipuçları listelenmiştir:

• Şüpheli klasörlerdeki ikili dosyaları, komut dosyalarını ve yürütmeleri arayın.
• SMBExec infazlarının kanıtlarını arayın.
• WMIExec yürütmelerinin kanıtlarını arayın.
• Kullanıcıların kimlik doğrulamalarını ve olağandışı kaynaklardan gelen etkinlikleri izleyin.

Önlemler

Emperor Dragonfly'un TTP'lerine karşı savunmak için aşağıdaki önlemler uygulanabilir:

• Kritik güvenlik açıklarını belirleyin ve düzeltme eki uygulayın.
• Sunuculardan giden internet erişimini sınırlayın.
• Sanallaştırma platformunu koruyun.
• Ağ üzerinden yanal hareketi sınırlayın.
• Ayrıcalıklı hesapları koruyun.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.