TrickBot Zararlı Yazılımın Arkasındaki Tehdit Aktörleri ile İlişkili Yeni Bir Fidye Yazılımı Tespit Edildi: Diavol

Trickbot zararlı yazılımın arkasındaki tehdit aktörleri ile bağlantılı yeni bir fidye yazılımı tespit edilmiştir. (Referans Linki)

Diavol olarak adlandırılan fidye yazılımı, hedef sistemlere erişmek için TrickBot Botnet ağını kullanmakta ve hedef sistemlere eriştiğinde anti-analiz tekniği kullanarak zararlı kodları bitmap görüntüleri biçiminde gizlediğinden, resimlerin PE kaynak bölümünden gerekli kodları alarak yürütme izinlerine sahip bir ara belleğe eklemektedir. Diavol fidye yazılımı daha sonra sistemde bulunan dosyaları ve dizinleri şifreleyerek kullanıcıdan fidye talep etmektedir. Diavol, user-mode Asynchronous Procedure Calls (APCs) ve asimetrik bir şifreleme algoritması kullanmaktadır. Bu yaklaşım tespit edilen diğer fidye yazılımlardaki şifreleme metodu ile benzer değildir. Asimetrik şifreleme algoritmaları, simetrik algoritmalardan çok daha yavaş olduğundan tehdit aktörleri tercih ettiği bu algoritmayı tercih etmemektedir.

Gelişmiş zararlı yazılımların kurbanı olmamak adına; kullanılan sistemlerin güncel tutulması, resmi olmayan kaynaklardan dosya indirilmemesi ve tespit edilen IoC (Indicator of Compromise) bulgularının güvenlik cihazları tarafından engellenmesi önerilmektedir.

Domain:

r2gttyb5vqu6swf5[.]onion

173[.]232[.]146[.]118

File Hash-SHA256:

85ec7f5ec91adf7c104c7e116511ac5e7945bcf4a8fdecdcc581e97d8525c5ac
426ba2acf51641fb23c2efe686ad31d6398c3dd25c2c62f6ba0621455a3f7178
4bfd58d4e4a6fe5e91b408bc190a24d352124902085f9c2da948ad7d79b72618

Size nasıl yardımcı olalım?

İhtiyacınız olan her an Prisma danışmanları yanı başınızda. Bizimle 7/24 iletişime geçebilirsiniz.


    Brandefense ile siber saldırılara karşı önlem alın!