Nevada Fidye Saldırılarının Hedefinde VMware ESXi Sistemleri Var

Güvenlik araştırmacıları, Nevada fidye yazılımının hedefinde Windows ve VMware ESXi sistemleri olduğunu belirtiyor. Nevada fidye yazılımı, 10 Aralık 2022’de görülmeye başlandı ve şuana kadar %85 kesinti yapmayı başardı.

Nevada fidye yazılımı, Rust-based locker, sohbet portalı, kurbanlar için Tor ağında ayrı bir domaine sahip.

Windows makinelerini hedefliyorlar

Windows makinelerine odaklanan Nevada fidye yazılımı özellikle konsol desteği olan script ve komut dosyalarına odaklanıyorlar.

Nevada fidye yazılımının saldırı listesi Arnavutluk, Macaristan, Vietnam, Malezya, Tayland, Türkiye ve İran’a kadar uzanıyor.

Saldırıyı analiz ettiğimizde ilk olarak payload’lar MPR.dll kullanarak ağı analiz ettiğini ve şifrelenecek dosyaları şifreleme kuyruğuna eklediğini görüyoruz. Sonrasında şifreyici kendini sisteme service olarak ekliyor ve windows’u güvenli modda yeniden başlatıyor. Windows sistem klasörlerindeki ve kullanıcının Program Dosyalarındaki dosyaları, DLL’ler, LNK’ler, SCR’ler, URL’ler ve INI sistemin boot edemez hale gelmesini önlemek için şifrelemenin dışında tutuyor.

Şifreli dosyalara “.NEVADA” dosya uzantısı ekleniliyor ve fidye ödeme için 5 gün sürenin olduğu belirtilen bir fidye notu bırakılıyor. Not içerisinde fidyenin ödenmemesi durumunda dosyaların ifşa edileceği belirtiliyor.

Bir diğer hedef VMware altyapıları

Nevada fidye yazılımı Linux/VMware ESXi’lerde, Windows sistemlerde olduğu gibi aynı şifreleme algoritmasını (Salsa20) kullanıyor.

Linux locker aşağıdaki argumanları destekliyor

Kaynak: bleepingcomputer.com

Exit mobile version