Siber güvenlik uzmanları, yeni bir siber suç grubuna ışık tuttu. Gölge Sendikası (eski adıyla Infra Storm) geçen yıl yedi farklı fidye yazılımı ailesinden yararlanmış olabilir.
Group-IB ve Bridewell yeni bir ortak raporda “ShadowSyndicate, çeşitli fidye yazılımı grupları ve fidye yazılımı programlarının bağlı kuruluşlarıyla çalışan bir tehdit aktörüdür” dedi.
16 Temmuz 2022’den bu yana aktif olan aktör, Quantum, Nokoyawa, BlackCat, Royal, Cl0p, Cactus ve Play türleriyle ilgili fidye yazılımı faaliyetleriyle bağlantı kurarken aynı zamanda Cobalt Strike ve Sliver gibi kullanıma hazır sömürü sonrası araçları da kullanıyor. IcedID ve Matanbuchus gibi yükleyicilerin yanı sıra.
Bulgular, 52’si Cobalt Strike için komuta ve kontrol (C2) olarak kullanılan 85 sunucuda keşfedilen farklı bir SSH parmak izine (1ca4cbac895fc3bd12417b77fc6ed31d) dayanıyor. Bu sunucular arasında sekiz farklı Cobalt Strike lisans anahtarı (veya filigranı) bulunmaktadır.
Sunucuların çoğunluğu (23) Panama’da bulunuyor ve bunu Kıbrıs (11), Rusya (9), Seyşeller (8), Kosta Rika (7), Çekya (7), Belize (6), Bulgaristan (3) takip ediyor. , Honduras (3) ve Hollanda (3).
Group-IB ayrıca ShadowSyndicate’i TrickBot, Ryuk/Conti, FIN7 ve TrueBot kötü amaçlı yazılım operasyonlarına bağlayan ek altyapı çakışmaları da bulduğunu söyledi.
“Cl0p fidye yazılımı bağlı kuruluşlarına bağladığımız 149 IP adresinden, Ağustos 2022’den bu yana 4 farklı kümeden 12 IP adresinin mülkiyetinin ShadowSyndicate olarak değiştirdiğini gördük, bu da bu gruplar arasında bazı potansiyel altyapı paylaşımının olduğunu gösteriyor.” şirketler söyledi.
Açıklama, Alman kolluk kuvvetlerinin, DoppelPaymer fidye yazılımı grubuyla ilişkili aktörlere yönelik ikinci bir hedefli saldırı duyurmasının ardından geldi; bu aktörlerden bazıları, bu Mart ayı başlarında Almanya ve Ukrayna’da iki şüpheliye yönelik arama emirlerini yerine getirerek hedef alındı.
44 yaşındaki Ukraynalı ve 45 yaşındaki Alman vatandaşının, ağda önemli sorumluluklar üstlendiği ve fidye yazılımı saldırılarından yasa dışı gelir elde ettiği iddia ediliyor. İsimleri açıklanmadı.
Bu gelişme aynı zamanda ABD Federal Soruşturma Bürosu (FBI) ve Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) tarafından geniş bir yelpazedeki kritik altyapı sektörlerini hedef alan Snatch (eski adıyla Team Truniger) adlı çifte şantaj aktörü hakkında yayınlanan ortak tavsiye kararının ardından geldi. 2021 ortasından beri.
Ajanslar, “Snatch tehdit aktörleri, bir kurbanın ağına erişim sağlamak ve ağında kalıcılığı sürdürmek için birkaç farklı yöntem kullanıyor” diyerek, taktiklerinin tutarlı bir şekilde evrimleştiğini ve kötü amaçlı yazılımın, Windows sistemlerini Güvenli Mod’da yeniden başlatarak tespitten kaçma becerisine dikkat çekti.
“Snatch üyeleri, kaba kuvvet uygulamak ve kurbanların ağlarına yönetici kimlik bilgileri kazandırmak için öncelikle Uzak Masaüstü Protokolü’ndeki (RDP) zayıflıklardan yararlanmaya güveniyor. Bazı durumlarda Snatch üyeleri, suç forumlarından/pazar yerlerinden güvenliği ihlal edilmiş kimlik bilgileri arıyor.”
ABD İç Güvenlik Bakanlığı (DHS), en son Ulusal Tehdit Değerlendirmesi raporunda, fidye yazılımı gruplarının kurbanlara finansal olarak şantaj yapma yeteneklerini geliştirmek için sürekli olarak yeni yöntemler geliştirdiğini ve 2023’ün 2021’den sonra en karlı ikinci yıl haline geldiğini belirtti.
DHS raporunda “Bu gruplar, hedeflerinin verilerini şifreleyip sızdırdıkları ve genellikle çalınan verileri kamuya açıklamakla, DDoS saldırıları kullanmakla veya kurbanı ödemeye zorlamak için kurbanın müşterilerini taciz etmekle tehdit ettikleri çok düzeyli gasp kullanımını artırdı.” söz konusu.
Yapay Zeka ile Yapay Zekayla Mücadele Edin — Yeni Nesil Yapay Zeka Araçlarıyla Siber Tehditlerle Mücadele Edin
Yapay zekanın yönlendirdiği yeni siber güvenlik zorluklarının üstesinden gelmeye hazır mısınız? Siber güvenlikte artan üretken yapay zeka tehdidini ele almak için Zscaler ile kapsamlı web seminerimize katılın.
Becerilerinizi Güçlendirin
Akira bunun bir örneğidir. Fidye yazılımı, Mart 2023’te Windows tabanlı bir tehdit olarak ortaya çıkmasından bu yana, Linux sunucularını ve VMWare ESXi sanal makinelerini kapsayacak şekilde erişim alanını genişletti ve trendlere hızla uyum sağlama becerisinin altını çizdi. Eylül ortası itibarıyla grup, ABD ve İngiltere’de 110 kurbanı başarıyla vurdu.
Fidye yazılımı saldırılarının yeniden canlanmasına siber sigorta taleplerinde de bir artış eşlik etti; ABD’de yılın ilk yarısında genel hasar sıklığı %12 arttı ve kurbanlar ortalama %61’lik bir artışla 365.000 dolardan fazla zarar bildirdi. 2022’nin ikinci yarısından itibaren.
Siber sigorta firması Coalition, “Geliri 100 milyon dolardan fazla olan işletmeler frekansta en büyük artışı gördü ve diğer gelir bantları daha istikrarlı olsa da taleplerde de artışlarla karşılaştılar” dedi.
Tehdit ortamındaki sürekli değişimin en iyi örneği, son aylarda en üretken ve evrimsel fidye yazılımı ailelerinden biri olmayı sürdüren ve öncelikli olarak bankacılık, perakende ve ulaşım sektörlerini kapsayan küçük ve büyük işletmeleri hedef alan BlackCat, Cl0p ve LockBit’tir. Aktif RaaS ve RaaS ile ilgili grupların sayısı 2023’te %11,3 artarak 39’dan 45’e yükseldi.
Geçtiğimiz hafta eSentire tarafından hazırlanan bir raporda, e-suç grubunun fidye yazılımını BT ortamına yaymak veya fidye yazılımını dağıtmak için kurban şirketlerin internete açık uzaktan izleme ve yönetim (RMM) araçlarından (veya kendi araçlarından) yararlandığı gözlemlenen iki LockBit saldırısı ayrıntılı olarak anlatıldı. bunu alt müşterilerine sunuyorlar.
Kanadalı şirket, bu tür arazide yaşama (LotL) tekniklerine güvenmenin, BT yönetim araçlarının kötü niyetli ve meşru kullanımını harmanlayarak tespit etme ve ilişkilendirme çabalarını karıştırmayı engelleme girişimi olduğunu söyledi.
Bu ay Sophos tarafından vurgulanan bir başka BlackCat saldırısı örneğinde, saldırganların isimsiz bir müşterinin Azure portalına erişim sağladıktan sonra Microsoft Azure Depolama hesaplarını şifrelediği görüldü.
“İzinsiz giriş sırasında tehdit aktörlerinin çeşitli RMM araçlarından (AnyDesk, Splashtop ve Atera) yararlandıkları ve hedefin Sophos Central hesabına erişmek için OTP’yi elde ettikleri tarayıcı uzantısı aracılığıyla hedefin yüklü LastPass kasasına erişmek için Chrome’u kullandıkları gözlemlendi Şirket, müşterilerin Sophos ürünlerini yönetmek için kullandıkları “dedi.
“Düşman daha sonra güvenlik politikalarını değiştirdi ve müşterinin sistemlerini ve uzak Azure Depolama hesaplarını .zk09cvt uzantılı yürütülebilir fidye yazılımı aracılığıyla şifrelemeden önce Merkez içindeki Kurcalama Korumasını devre dışı bıraktı.”