CTI_Arastirmalarim

DeathGrip Ransomware IoC Çalışması





Ali Can Gönüllü | Siber Güvenlik Uzmanı
alicangonullu[at]yahoo.com


Disclaimer | Yasal Uyarı

Bu blog yazısında sağlanan bilgiler yalnızca eğitim ve bilgilendirme amaçlıdır. Bilgisayar korsanlığı, siber saldırılar veya bilgisayar sistemlerine, ağlara veya verilere herhangi bir şekilde yetkisiz erişim de dahil olmak üzere herhangi bir yasa dışı veya etik olmayan faaliyeti teşvik etme veya reklam etme amacı taşımaz.

Disclaimer: The information provided in this blog post is intended for educational and informational purposes only. It is not intended to encourage or promote any illegal or unethical activities, including hacking, cyberattacks, or any form of unauthorized access to computer systems, networks or data.

Grup Hakkında

DeathGrip Ransomware grubu, 2024 yılında ortaya çıkmıştır. Telegram ve diğer yeraltı forumları aracılığıyla tanıtılan DeathGrip RaaS, karanlık web'deki tehdit aktörlerine LockBit 3.0 ve Chaos oluşturucuları da dahil olmak üzere gelişmiş fidye yazılımı araçları sunuyor. Sızdırılan fidye yazılımı oluşturucuları kullanılarak oluşturulan yükleri, gerçek dünya saldırılarında zaten gözlemleniyor ve asgari teknik becerilere sahip kişilerin tam gelişmiş fidye yazılımı saldırıları dağıtmasına olanak sağlıyor.

Bulaşma Yöntemi

Öncelikli olarak loader görevine sahip olan EXE dosyası çalışır ardından EXE dosyası bir SCR dosyası indirir ve sistemi enfekte eder.

Çalışma Mantığı

Öncelikle "F-Secure-Safe-Network-Installer.exe" adlı bir EXE dosyasıyla gelir. EXE dosyasının içeriğine bakıldığında iki adet URL ile bağlantı kurulduğu tespit edilmiştir. Bunlardan biri "kenesrakishevinfo[.]com" domain adresi diğeri ise asıl zararlının bulunduğu "master-repogen[.]vercel[.]app" (76[.]76[.]21[.]241) URL adresidir.



URL adresine girildiğinde ise bir dosya bağlantısı bizi karşılamaktadır.



Dosyalar indirildiğinde ise "Yashma Ransomware Builder" yazılımı çıkmaktadır.



Serverin diğer SCR dosyasına baktığımızda ise farklı olduğunu görüyoruz. Bu da her iki zararlı yazılımın birbiriyle bağlantılı olduğunu göstermektedir. Ancak biz "server.scr" yani bununla ilgileniyoruz.



"kenesrakishevinfo[.]com" web sitesine odaklandığımızda Rusya kaynaklı bir zararlı yazılım olduğunu Çeçen lider Kadirov'un görsellerinden anlıyoruz.



Zararlı yazılım güvenli bir ortamda çalıştırıldığında ise bir ransomware notu ile çeşitli adresler gelmektedir. ~~~ LockBit 3.0 the world's fastest ransomware since 2019~~~....>>>> Your data are stolen and encrypted.....The data will be published on TOR website if you do not pay the ransom ....DeathGrip Ransomware Attack | t[.]me/DeathGripRansomware....This computer is attacked by russian ransomware community of professional black hat hackers. ..Your every single documents / details is now under observation of those hackers...If you want to get it back then you have to pay 1000$ for it.....This Attack Is Done By Team RansomVerse You Can Find Us On Telegram.. @DeathGripRansomware Contact The Owner For The Decrypter Of This Ransomware....#DeathGripMalware......>>>> What guarantees that we will not deceive you? .....We are not a politically motivated group and we do not need anything other than your money. .. ...If you pay, we will provide you the programs for decryption and we will delete your data. ...Life is too short to be sad. Be not sad, money, it is only paper... ...If we Links for Tor Browser: http://lockbitsupt7nr3fa6e7xyb73lk6bw6rcneqhoyblniiabj4uwvzapqd[.]onion

Telegram adresine bakıldığında iki adet üyesi olduğu görülmektedir.



Telegram adresine bakıldığında iki adet üyesi olduğu görülmektedir.



Yönlendirme takip edildiğinde "MEDUSA" adından bir Telegram ChatBot adresine yönlendirildiğimizi görüyoruz.



Buradan da grubun hem LockBit hem de Medusa grubuyla alakalı olduğunu tespit edebiliriz. Medusa zararlı yazılım grubunu daha önce araştırmıştık buradan ulaşabilirsiniz. # Sonuç

Rusların kontrolünde olan bu zararlı yazılımlarla çeşitli erişimler elde ederek saldırılarına devam etmektedir. Bu saldırılara karşı,

# Kaynaklar

This site is open source. Improve this page.