Bazı fidye yazılımı çeteleri, hedeflerin dosyalarını şifrelemek için kötü amaçlı yazılım kullanmayı bıraktı ve ödeme almak için bir veri hırsızlığı/gasp yaklaşımına geçti; Düşük profilli ve görünüşte pek aktif olmayan bir tehdit aktörü olan 0mega, bunların arasında görünüyor.
0mega ransomware operasyonu hakkında
0mega (sıfırla yazılır), fidye yazılımı/gasp işine nispeten yeni gelenlerden biridir.
Faaliyetlerinin kanıtı ilk olarak yaklaşık bir yıl önce, İngiltere merkezli bir elektronik onarım ve yenileme şirketi olan bir kurbanın ödemeyi reddettiği ve çetenin şirket verilerini özel sızıntı sitesine sızdırdığı zaman tespit edildi.
Ekip, şifrelenmiş dosyalara “.0mega” uzantısını ekleyen fidye yazılımı kullandı, ancak kötü amaçlı yazılımın bir örneği bulunamadı.
O zamandan beri, iki kurbanın daha çalınan verileri sızdırıldı.
Elbette, sızıntı sitesinin yalnızca birkaç kurbanı listelemesi, başka pek çok kurbanın olmadığı anlamına gelmez. Lawrence Abrams’a göre, bir kurban kuruluşun verileri sızdırıldı ve ardından kaldırıldı.
SaaS hesabının ele geçirilmesi + veri hırsızlığı = gasp
Obsidian Security’nin tehdit araştırma ekibi, isimsiz bir şirketin Sharepoint Online varlıklarından veri hırsızlığıyla sonuçlanan bir saldırının ayrıntılarını ortaya çıkarmak için çağrıldı ve saldırının arkasındaki tehdit aktörünün 0mega olduğuna inanıyorlar.
Saldırganlar önce şirketin çok faktörlü kimlik doğrulamanın etkinleştirilmediği Microsoft Global yönetici hizmeti hesaplarından birinin güvenliğini ele geçirdi ve ardından bunu, adlı yeni bir Microsoft AD kullanıcısı oluşturmak için kullandı. 0 mega ve çeşitli izinler ekledi (Global Yönetici, SharePoint Yöneticisi, Exchange Yöneticisi, Ekip Yöneticisi).
“Güvenliği ihlal edilmiş hizmet hesabı, 0 mega birden çok SharePoint sitesine ve koleksiyonuna hesap site koleksiyonu yöneticisi yetenekleri sunarken, aynı zamanda mevcut yöneticileri de kaldırır. Ekip, 2 saatlik bir süre içinde 200’den fazla yönetici kaldırma işlemi gerçekleştirdi.
0mega mevcut yöneticileri kaldırır (Kaynak: Obsidian Security)
Saldırganlar daha sonra yüzlerce şirket dosyasını çaldı ve veri hırsızlığına dikkat çekmek için binlerce metin dosyası yükledi. Bu dosyalar – adlı PREVENT-LEAKAGE.txt – ödeme müzakerelerini başlatmak için tehdit aktörüyle nasıl iletişime geçileceğine dair talimatlar içeriyordu (bir Tor sitesindeki bir sohbet odası aracılığıyla).
Obsidian’ın Help Net Security ile paylaştığı bilgilere göre saldırganlar, ödemenin (bitcoin cinsinden) yapılmaması durumunda ayrıntıları herkese açık olarak yayınlayacakları tehdidinde bulunuyor.
“Ödeme yapıldıktan sonra, çalınan dosyaları içeren ‘şifreli kasayı’ güvenli bir şekilde sileceklerini söylüyorlar ve bunun kanıtı da kurbanla paylaşılan bir rapor aracılığıyla.”
Farklı bir yaklaşım
Ekip, “Bu yaklaşım, saldırganların güvenliği ihlal edilmiş bir kullanıcının makinesindeki veya eşlenmiş bir sürücüdeki dosyaları şifreleyip ardından bunları Sharepoint ile eşitlediğinde bazı şirketlerin SharePoint 365 örneklerini fidye karşılığında aldığı vahşi ortamda gözlemlenenden farklı.”
Help Net Security’ye uzlaşma sonrası soruşturmalarının “2023’ün ilk yarısının sonlarında” gerçekleştiğini söylediler.
Ele geçirilen hizmet hesabının kimlik bilgilerinin ele geçirildiğini veya şirketin fidyeyi ödeyip ödemediğini bilmiyorlar.
Ancak hesapların, altyapının vb. “bu işlemi bilinen 0mega operatörlerin yaptığını gösteriyor” diyorlar ve diğer kuruluşların potansiyel saldırıları engellemesine yardımcı olmak için uzlaşma göstergeleri yayınladılar.