Türkiye kökenli fidye yazılımı dünyaya yayılıyor

ESET araştırmacıları, Türkiye’nin finansal olarak yapılandırılmasını CosmicBeetle kurulumunun Spacecolon araç setini analiz ederek Scarab fidye yazılımını depolayan sunuculara dağıttıklarını tespit etti.

Siber güvenlik şirketi  ESET tarafından CosmicBeetle olarak isimlendirilen Spacecolon operatörleri net bir gayeye sahip olmasa da en çok Avrupa ülkesinde, Türkiye ve Meksika’da tespit edildi. 

Spacecolon, hassas bilgileri çalma yahut Scarab fidye yazılımını dağıtma yeteneğine sahip bir uzaktan erişim truva atı olarak hizmet veriyor. CosmicBeetle muhtemelen ZeroLogon’a karşı web sunucularını yahut kaba kuvvet uygulayabildiğini RDP çalışmayı hedeflemeyi hedefliyor. CosmicBeetle’ın ScRansom ismi verilen yeni bir fidye yazılımının yaygınna uzak olduğu düşünülüyor. muhtemelen kurban dosyalarına, dağıtılan web sunucuları yahut RDP birimleri aracılığıyla kaba kuvvetle zorlayarak sızıyor. Kimi Spacecolon yapıları çok sayıda Türkçe terim içerir; Bu nedenle ESET, Türkçe konuşan bir geliştirici tarafından yazıldığına inanılıyor.

 

Geçmişi 2020 yılına kadar uzanıyor

ESET’in araştırmalarına göre Spacecolon’un geçmişine göre en az Mayıs 2020’ye kadar uzanıyor ve faaliyetlerini sürdürüyor. ESET, Spacecolon’un operatörlerine “uzay” ve “scarab” kontağını temsil etmesi için CosmicBeetle’ı verdi. ESET telemetrisi tarafından tespit edilen Spacecolon hadiseleri, İspanya, Fransa, Belçika, Polonya ve Macaristan olmak üzere Avrupa Birliği çapında yaygınlıkla birlikte tüm dünyada kapsıyor. ESET, ayrıyeten Türkiye ve Meksika’da yüksek yaygınlık tespit etti. CosmicBeetle, yeni fidye yazılımı ScRansom’un sunumunu hazırlıyor gibi görünüyor. Spacelogon, sunucuları ele geçirildikten sonra sıralı yazılımın yazılımının yanı sıra, saldırganların güvenlik yetkisini devre dışı bırakmasına, hassas bilgilerin çalınmasına ve daha fazla erişim elde edilmesine olanak sağlayan çok çeşitli üçüncü taraf araçlar içerir.

 

Türkiye ve Meksika’da yüksek yaygınlık tespit edildi

ESET araştırmacısı Jakub Souček şu açıklamayı yaptı: “Spacecolon’un kurbanlarının ortasında CosmicBeetle tarafından kullanılan erişim tekniklerine karşı tekliflerinin dışında rastgele bir benzerlik gözlemlemedik. Amaçların odaklandığı menfaatler ya da büyüklükleri ortada da rastgele bir örüntü bulamadık. Lakin (tür ve coğrafyaya göre) birkaç isim vermek gerekirse, Spacecolon’u Tayland’ da bir hastane ve turizm beldesinde, İsrail’de bir sigorta şirketinde, Polonya’da yerel bir devlet kurumunda, Brezilya’da bir cümbüş sağlayıcısında, Türkiye’de bir çevre şirketinde ve Meksika’da bir toplu gözlemledik.”

CosmicBeetle muhtemelen ZeroLogon güvenlik açığına karşı dağıtım olan web sunucularını ya da kaba gücünü uygulayabilen RDP kimlik bilgilerine sahip unsurları hedef alıyor. Spacecolon ayrıyeten operatörlere sanat kapı kolaylığı de sağlayabiliyor. CosmicBeetle maksimum düzeyde yazılımını gizlemek için kayda değer bir çaba göstermiyor ve ele alınan sistemlerde çok sayıda iz bırakıyor.

 

Yeni bir fidye yazılımı geliştiriliyor

CosmicBeetle sunucuları bir web sunucusunu elekten geçirdikten sonra, kullandığı ana Spacecolon cihazı olan ScHackTool’u konuşlandırıyor. Hücumları büyük ölçüde araç GUI’sine ve operatörlerinin etkinleşmesine dönüştürülebilir. Uygun tasarımda talep üzerine sızdıkları makineye ek makinelerin indirmelerine ve çalıştırılmalarına olanak sağlar. CosmicBeetle şayet maksimum ücreti alınırsa, ScInstaller’ı dağıtabilir ve ScService’i yüklemek için daha fazla uzaktan erişim imkanı sağlar. CosmicBeetle’ın dağıttığı son yük Scarab fidye yazılımının bir özelliği. Bu sistem dahil olmak üzere pano gücünü izleyen ve kripto para bütçesini adresi yapabileceğiniz içerik içeriği Zararlı tarafından denetlenen bir adresle kırılan bir berbat maksatlı yazılım tipi olan ClipBanker’ı kullanıyor.

Türkiye’den VirusTotal’e yüklenen örneklere bakarsak yeni bir fidye yazılım ailesi geliştiriliyor. ESET Research, ScRansom, Spacecolon ile özgün parçalar tarafından yazıldığından neredeyse emin olan yeni bir yazılım yazılımı sunmaktadır. ScRansom tüm sabit, depoları ve uzaktaki dosyaları saklamaya çalışıyor. ESET, bu fidye yazılımının yaygında dağıtıldığını gözlemlemedi ve hala gelişme aşamasında görülüyor.

 

Kaynak: (BYZHA) Beyaz Haber Ajansı

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir