Siber Muhbir

Siber güvenlik şirketi, paylaşılan bir raporda, "Saldırılar arasında küçük farklılıkların bile olağandışı olmaması, bunların hizmet olarak fidye yazılımını (RaaS) satın alan ve onunla birlikte verilen oyun kitaplarından adım adım talimatları izleyen bağlı kuruluşlar tarafından gerçekleştirildiğini gösteriyor" dedi.

Bulgular, Adlumin tarafından izlenen, neredeyse aynı taktikleri ve aynı sırayla farklı sektörleri kapsayan çeşitli Play fidye yazılımı saldırılarına dayanmaktadır.

Bu, kötü amaçlı dosyayı gizlemek için ortak müzik klasörünün (C:\...\public\music) kullanımını, yüksek ayrıcalıklı hesaplar oluşturmak için aynı parolayı ve her iki saldırıyı ve aynı komutları içerir.

Balloonfly ve PlayCrypt olarak da adlandırılan Play, ilk olarak Haziran 2022'de ortaya çıktı ve ağlara sızmak ve AnyDesk gibi uzaktan yönetim araçlarını bırakmak ve nihayetinde fidye yazılımını dağıtmak için Microsoft Exchange Server'daki (yani ProxyNotShell ve OWASSRF) güvenlik açıklarından yararlandı.

Çifte şantaj için Grixba gibi özel veri toplama araçlarını kullanmanın yanı sıra, Play'i diğer fidye yazılımı gruplarından ayıran dikkate değer bir özellik, kötü amaçlı yazılımı geliştirmekten sorumlu operatörlerin de saldırıları gerçekleştirmesiydi.

Bu nedenle yeni gelişme, bir değişime işaret ediyor ve bir RaaS operasyonuna dönüşümünü tamamlayarak onu siber suçlular için kazançlı bir seçenek haline getiriyor.

Adlumin, "RaaS operatörleri, belgeler, forumlar, teknik destek ve fidye müzakere desteği dahil olmak üzere bir bilgisayar korsanının ihtiyaç duyacağı her şeyle birlikte gelen fidye yazılımı kitlerinin reklamını yaptığında, senaryo çocukları şanslarını denemek ve becerilerini kullanmak için cazip olacaklar" dedi.

"Ve bugün muhtemelen 'gerçek bilgisayar korsanlarından' daha fazla senaryo çocuğu olduğu için, işletmeler ve yetkililer not almalı ve büyüyen bir olay dalgasına hazırlanmalıdır."