Siber Saldırganlar, Royal Mail Taklitleriyle Çözümü İçin Ücret Talep Eden Zararlı Yazılımı Yayıyorlar

Çarşamba günü, Proofpoint araştırmacıları, İngiliz posta taşıyıcısı Royal Mail’i taklit eden ve Prince fidye yazılımını dağıtan bir siber kampanyayı ortaya çıkardıkları bir rapor yayınladılar.

GitHub üzerinde açıkça mevcut olan bu fidye yazılımı varyantı, yalnızca eğitim amaçlı olduğunu belirten bir feragatname taşır. Ancak, hem İngiltere’deki hem de ABD’deki organizasyonları etkileyen hedefli bir saldırıda silah olarak kullanılmıştır.

Prens fidye yazılım saldırısı, saldırganların Royal Mail’i taklit ederek başladı ve hedeflenen organizasyonların web sitelerindeki halka açık iletişim formlarını kullanarak yanıltıcı e-postalar gönderdi. Bu e-postalar, kurbanları indirmeye teşvik eden Dropbox’ta barındırılan bir ZIP dosyasına bağlantı içeren bir PDF içeriyordu.

ZIP dosyasının içinde, şifreli bir ikinci ZIP dosyası ve şifreyi açıklayan bir metin dosyası bulunuyordu, bu da kurbanlar için yanıltıcı bir güvenlik hissi yaratıyordu.

Bir kez açıldığında, kısayol dosyası, sistemin geçici dizininde birkaç dosya oluşturan gizlenmiş JavaScript kodunu çalıştırdı. Bu kod, güvenlik önlemlerini atlatmak ve 20 dakikada bir bilgisayarın boşta olduğu sürece çalıştırmak için PowerShell betiklerini kullandı.

Ransomware çalıştırıldığında, kurbanların dosyalarını “.womp” uzantısı ile şifreledi ve kötü niyetli aktivitesini gizlemek için sahte bir Windows Güncelleme açılış ekranı gösterdi.

Masaüstünde bulunan fidye notu, şifre çözümü için 0.007 Bitcoin (yaklaşık 400 dolar) ödeme talep ediyordu. Ancak, analiz, fidye yazılımının ne şifre çözme mekanizması ne de veri sızdırma yeteneği olmadığını, bu durumun da onun kar getirmekten ziyade yıkım için tasarlandığını gösterdi.

Kritik olarak, bu kampanyada veri sızdırma yetenekleri veya şifre çözme mekanizmaları bulunmuyor, bu da onu tipik fidye yazılımlarından daha yıkıcı hale getiriyor. Fidye yazılımının kodlamasında benzersiz tanımlayıcıların olmaması, kurbanların fidyeyi ödeseler bile, dosya kurtarmanın garantisi olmadığını gösteriyor.

Proofpoint, bu kötü niyetli faaliyeti belirli bir tehdit unsuruyla ilişkilendirmemiştir. Prens fidye yazılımının açık kaynaklı olması, çeşitli aktörlerin onu serbestçe değiştirebilmesine ve kullanabilmesine olanak sağlar. Yaratıcısı, SecDbg olarak bilinir ve güvenlik önlemlerini aşmak için açıkça değişiklikler önerir, bu da atıf çabalarını daha da karmaşık hale getirir.

Bu olay, fidye yazılımı tehditlerinin gelişen doğasını vurgular. Bu tür saldırılar genellikle doğrudan e-postalardan kaynaklanmasa da, iletişim formlarının bir teslimat yöntemi olarak kullanılması daha geniş bir trendi yansıtır.

Bu durum, Royal Mail, UPS ve FedEx gibi posta hizmetlerinin düzenli olarak kötü niyetli aktörler tarafından taklit edilmesi sebebiyle özellikle endişe vericidir. Müşteriler genellikle resmi iletişimler gibi görünen ancak aslında dolandırıcılık olan sahte telefon aramaları, metin mesajları ve e-postalar alırlar. Bu, The Record tarafından belirtilmiştir.

Bu sorunla mücadele etmeye yardımcı olmak için Royal Mail, markalarını sömüren yaygın dolandırıcılıkların faydalı bir listesini sunar.

Organizasyonların, çalışanlarını şüpheli iletişimleri tanımayı ve herhangi bir anormallikleri iç güvenlik ekiplerine bildirmeyi öğrenmeleri konusunda teşvik edilmektedir. Siber tehditler giderek daha karmaşık hale geldikçe, olası ihlalleri önlemek için dikkat ve eğitim anahtardır.