LostTrust fidye yazılımı işleminin, neredeyse aynı veri sızıntısı siteleri ve şifreleyiciler kullanan bir metaencryptor yeniden markası olduğuna inanılmaktadır.
LostTrust, Mart 2023'te organizasyonlara saldırmaya başladı, ancak bir veri sızıntısı sitesi kullanmaya başladıkları Eylül ayına kadar yaygın olarak bilinmedi.
Şu anda, veri sızıntısı sitesi dünya çapında 53 kurbanı listeliyor ve bazıları verileri fidye ödemediği için zaten sızdı.
Fidye yazılımı çetesinin yalnızca Windows cihazlarını hedeflediği veya bir Linux şifrelemesini de kullanıp kullanmadıkları belirsizdir.
Metaencryptor, Ağustos 2022'de piyasaya sürüldüğüne inanılan ve Temmuz 2023'e kadar on iki kurbanı biriktiren bir fidye yazılımı operasyonudur ve ardından siteye yeni bir kurban eklenmedi.
Bu ay, 'LostTrust' çetesi için yeni bir veri sızıntı sitesi başlatıldı, siber güvenlik araştırmacısı Stefano Favarato, metaencryptor'un veri sızıntı sitesi ile aynı şablonu ve biyografiyi kullandığını fark etti.
Hem Metaencryptor hem de LostTrust veri sızıntı sitelerinde bir açıklama, "Kendilerini ağ güvenliği alanında uzman olarak tanımlayan bir grup genciz," diye açıklıyor hem Metaencryptor hem de LostRust Veri sızıntı sitelerinde bir açıklama okuyor.
"Bu blog ve bu çalışma sadece ticari kullanımdır, ayrıca ana kullanım değil. Politika, istihbarat teşkilatları ve NSB ile hiçbir ilgimiz yok."
BleepingComputer ayrıca, hem LostTrust [Virustotal] hem de Metaencryptor [Virustotal] şifrelemelerinin hemen hemen aynı olduğunu, fidye notlarında, gömülü genel anahtarlarda, fidye not adları ve şifreli dosya uzantılarında bazı küçük değişiklikler olduğunu buldu.
Ayrıca, siber güvenlik araştırmacısı MalwareHunterTeam, BleepingComputer'a LostTrust ve Metaencryptor'un SFILE2 fidye yazılım şifrelemesine dayandığını söyledi. Bu ilişki, LostTrust ve SFILE şifrelemeleri arasında çok fazla kod örtüşmesi gösteren bir intezer taraması ile desteklenir.
İki işlem arasındaki anlamlı örtüşme nedeniyle, LostTrust'un metaencryptor operasyonunun yeniden markası olduğuna inanılmaktadır.
BleepingComputer, LostTrust şifrelemesinin bir örneğini buldu ve aşağıda kısa bir analiz yaptı.
Şifreleme, iki isteğe bağlı komut satırı bağımsız değişkeni ile başlatılabilir: --onlyPath (belirli bir yolu şifreleyin) ve --enable paylaşımları (şifreleme ağ paylaşımları).
Başlatıldığında, şifreleme aşağıda gösterildiği gibi şifreleme işleminin geçerli durumunu görüntüleyen bir konsol açacaktır.
Modifiye edilmiş bir Metaencryptor şifrelemesi olduğunu belirten şifrelemedeki 'metaencryting' dizesine dikkat edin.
Yürütüldüğünde, LostTrust, Firebird, MSSQL, SQL, Exchange, WSBEX, PostgreSQL, Backp, Tomcat, SBS ve SharePoint dizelerini içeren herhangi bir hizmet de dahil olmak üzere tüm dosyaların şifrelenmesini sağlamak için çok sayıda Windows hizmetlerini devre dışı bırakacak ve durduracaktır.
Şifreleme ayrıca Microsoft Exchange ile ilişkili ek hizmetleri devre dışı bırakacak ve durduracaktır.
Dosyaları şifrelerken, şifreleme aşağıda gösterildiği gibi .lostTrustRUstencoded uzantıyı şifrelenmiş dosyanın adlarına ekler.
Cihazdaki her klasörde, tehdit aktörleri kendilerini önceki beyaz şapka bilgisayar korsanları olarak tanıtmakla birlikte! LostRustAncoded.txt adlı fidye notları oluşturulacaktır. Ancak, kötü ödeme yapıldıktan sonra siber suçlara geçmeye karar verdiler.
KayıpTrust Ransom Note, "Ekibimizin yasal ve sözde beyaz şapka hackleme konusunda kapsamlı bir geçmişi var. Ancak, müşteriler genellikle bulunan güvenlik açıklarının küçük ve hizmetlerimiz için kötü ödendiğini düşündü."
Diyerek şöyle devam etti: "Bu yüzden iş modelimizi değiştirmeye karar verdik. Şimdi BT güvenliği için iyi bir bütçe tahsis etmenin ne kadar önemli olduğunu anlıyorsunuz."
Bu fidye notları, şirketin dosyalarına ne olduğu hakkında bilgi içerir ve fidye yazılımı çetesinin TOR müzakere sitesine benzersiz bir bağlantı içerir.
Müzakere sitesi, şirket temsilcilerinin tehdit aktörleriyle müzakere etmesine izin veren bir sohbet özelliği ile çıplak kemiklerdir.
BleepingComputer'a LostTrust saldırıları için fidye taleplerinin 100.000 $ ile milyonlarca değişmesi söylendi.
Diğer fidye yazılımı işlemleri gibi, LostTrust, bir fidye ödenmezse çalınan verilerini sızdırmakla tehdit ederek şirketleri zorlamak için kullanılan bir TOR veri ihlali sitesi kullanır.
LostTrust'un veri sızıntı sitesinde 53 kurban var, bazı şirketler zaten verileri sızdı.
Şu anda, bir fidye talebi ödemenin verilerin ve çalışan bir şifrelemenin silinmesine yol açıp açmayacağı bilinmemektedir.
Fidye yazılımı saldırısının vurduğu otomasyon devi Johnson kontrolleri
MGM Casino'nun ESXI sunucularının fidye yazılımı saldırısında şifrelendiği iddia ediliyor
Caesars Entertainment fidye ödemesini, Müşteri Veri Hırsızlığı
Bilgisayar korsanları başarısız kilitbit saldırısını kaydetmek için yeni saat 03:00 fidye yazılımı kullanır
İlk Erişim Broker Ekonomisi: Karanlık Web Hacking Forumlarına Derin Dalış
Kaynak: Bleeping Computer