Şubat ayında ortaya çıkan 2 yeni fidye saldırısı, Trend Micro’daki siber güvenlik araştırmacıları tarafından AlumniLocker ve Humble olarak adlandırıldılar[1]. Bunlar şu ana kadar görülenlerden farklı şekillerde bitcoin fidyesi almaya çalışıyorlar.
AlumniLocker, Thanos fidye yazılımının bir çeşidi ve kurbanından 10 Bitcoin tutarında bir ödeme talep ediyor. PDF şeklinde bir fatura eki olan oltalama (phishing) mailleri ile kurbanlarını arıyor. PDF, yükü bırakmak ve fidye yazılımını çalıştırmak için bir PowerShell betiği çalıştırıyor. O da bir ZIP arşivine dair bağlantı içeriyor.
AlumniLocker’ın arkasındaki saldırganlar, 48 saat içinde kendilerine ödeme yapılmazsa kurbanlarının ağından çalınan verileri yayınlamakla tehdit ediyorlar. Fidye talebinin çok büyük olduğuna ve saldırı tekniklerindeki diğer tutarsızlıklara – veri sızıntısı sitesinin çalışmaması – bakarak, AlumniLocker’ın arkasındakilerin muhtemelen yeni başladığı düşünülüyor.
Humble (İngilizce mütevazi demek) fidye yazılımı da ilk olarak Şubat ayında ortaya çıktı, ancak birçok yönden çok farklı. İlk olarak, fidye yazılımı çok daha küçük ve dosyaların iadesi için sadece 0.0002 Bitcoin (şu anda 10 $ ‘ın biraz altında) talep ediyor. Bu da Humble’ın kuruluşlar yerine bireyleri hedefliyor olabileceğini gösteriyor.
Humble’ın tam olarak nasıl dağıtıldığı hala bilinmiyor, ancak araştırmacılar, bunun oltalama saldırıları yoluyla olabileceğine dikkat çekiyor. Mağdurları fidyeyi ödemeye itmek amacıyla Humble, kurbanı, sistemlerini yeniden başlatmaları halinde Ana Önyükleme Kaydının (MBR) yeniden yazılacağını ve makineyi kullanılamaz hale getireceğini belirterek tehdit ediyor. Humble’ın ikinci versiyonu da aynı tehdidi taşıyor, ancak bunun yerine kurban beş gün sonra ödeme yapmazsa bunun olacağını söylüyor. Garip olan şey ise, yazarına raporlar göndermek için oyuncular arasında popüler olan bir ses, metin ve video iletişim hizmeti olan Discord’u kullanıyor.
Yeni fidye yazılımının her iki biçimi de alışılmadık, ancak her ikisi de fidye yazılımının, en iyi çetelerin nasıl bu kadar çok para kazandığını gören ve aynı şeyi yapmak isteyen siber suçlular için çekici olmaya devam ettiğini gösteriyor.
[1] New in Ransomware: AlumniLocker, Humble Feature Different Extortion Techniques