Yalnızca dört ay içinde ikinci kez, ALPHV (diğer adıyla BlackCat) fidye yazılımı çetesinin karanlık web sitesinde her şey yolunda gitmiyor. Güvenliği ihlal edilen kurbanların listeleri gitti. Onların yerine, “BU WEB SİTESİ ELE GETİRİLDİ” şeklindeki meşum mesajın altında gerçek bir kolluk kuvvetleri rozetleri bahçesi filizlendi.
Şu ana kadar FBI öyle ama her şey göründüğü gibi değil.
ALPHV tartışmasız dünyadaki en tehlikeli ikinci fidye yazılımı grubudur. Hizmet Olarak Fidye Yazılımı (RaaS), elde ettikleri fidyelerin bir kısmıyla fidye yazılımının bedelini ödeyen suç ortaklarına satıyor.
Uluslararası emniyet teşkilatlarından oluşan bir görev gücü bu kadar büyük bir hedefi vurduğunda, bunun hakkında biraz şarkı söyleyip dans etme eğiliminde oluyorlar. En azından duyurular var. FBI en son Aralık ayında ALPHV'yi planlanmamış bir ana sayfa yeniden dekorasyonuyla kesintiye uğrattığında, kolluk kuvvetleri bunu herkese söylemekten çok mutluydu.
Birleşik Krallık Ulusal Suç Ajansı (NCA) geçen ay LockBit çetesinden bir pay aldığında bunu yalnızca bir basın bülteniyle herkese söylemekle kalmadı, bunu bir hafta boyunca birinci sınıf trolleme şöleni ile kutladı. LockBit'in kendi web sitesinde.
Başarılarını kutlamak için her türlü nedenleri var, ancak bu yayından kaldırma (eğer gerçekten öyleyse) kolluk kuvvetleri tarafından sessizlikten başka bir şeyle karşılanmadı.
Aslında fidye yazılımı uzmanları alternatif bir açıklamayla konuyu değerlendirdiler: ALPHV, Aralık ayında kolluk kuvvetleri tarafından sağlanan yayından kaldırma pankartını geri dönüştürdü ve bağlı şirketlerinin parasıyla kaçarken izlerini kapatmak için sahte bir yayından kaldırma eylemi düzenledi.
Hikaye 21 Şubat 2024'te bir ALPHV iştirakinin ABD'nin en büyük sağlık teknolojisi şirketlerinden biri olan Change Healthcare'e saldırmasıyla başlıyor. Saldırı çok büyük bir aksamaya neden oldu ve Amerikan Hastaneler Birliği (AHA) Başkanı ve CEO'su Rick Pollack tarafından “tarihte ABD sağlık sistemine karşı türünün en önemli ve en önemli olayı” olarak tanımlandı.
3 Mart'ta RAMP karanlık web forumundaki bir kullanıcı, Change Healthcare saldırısının arkasındaki ortak olduklarını iddia etti. İki gün önce Change Healthcare'in ALPHV'ye 22 milyon dolar ödediğini, iddialarını 1 Mart'ta 350 bitcoin transferini gösteren bir Bitcoin cüzdanına bağlantıyla desteklediklerini ve daha sonra ALPHV'nin hesaplarını askıya aldığını iddia ettiler.
VX Yeraltı rapor edildi Bir gün sonra, diğer ALPHV üyelerinin de hesapları kilitlendi ve ALPHV, fidye yazılımının kaynak kodunu 5 milyon dolara satışa çıkarmadan önce görünüşte FBI'ı bir şey için işaret eden “belirsiz” bir mesaj yayınladı.
Bu tamamen inandırıcı olmayan dramın son perdesi, ALPHV karanlık web sitesinde “BU WEB SİTESİ ELE GETİRİLDİ” pankartının ortaya çıkmasıydı. Banner, kolluk kuvvetlerinin Aralık ayında kullandığı pankartın aynısı olmakla kalmayıp, ele geçirilen siteden tembelce kopyalanmış gibi görünüyordu.
Hediye, benekli Fidye yazılımı araştırmacısı Fabian Wosar tarafından yazılan bu dosya, kaldırılan görüntünün URL'siydi ve adlı bir dizinde saklanıyordu. THIS WEBSITE HAS BEEN SEIZED_files.
“Bunun gibi bir resim URL'si, Firefox ve Tor Tarayıcının, bir web sitesinin bir kopyasını diske kaydetmek için 'Sayfayı farklı kaydet' işlevini kullandığınızda oluşturduğu şeydir” diye belirtti.
Elbette kolluk kuvvetlerinin bunu yapması imkansız değil, ancak bu, yakın zamanda LockBit'in ortadan kaldırılmasında gösterilen taşsız çabadan çok uzak. İkna olmayan Wosar, X'e (eski adıyla Twitter) Europol ve NCA'daki bağlantılara ulaştığını ve onların “her türlü katılımı” reddettiklerini söyledi.
Bu, LockBit çetesinin, kurbanlarına fidye ödendiğinde çalınan verilerini silmediğinin ve suçlulara güvenilemeyeceğinin ortaya çıkmasının ardından, bir aydan kısa süre içinde yapılan ikinci hatırlatmadır.
Fidye yazılımından nasıl kaçınılır
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde düzeltmek için bir plan oluşturun; RDP ve VPN'ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin.
- İzinsiz girişleri önleyin. Tehditleri, uç noktalarınıza sızmadan veya onları etkilemeden önce durdurun. Fidye yazılımı dağıtmak için kullanılan kötüye kullanımları ve kötü amaçlı yazılımları önleyebilecek uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri tespit edin. Ağları bölümlere ayırarak ve erişim haklarını ihtiyatlı bir şekilde atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı meydana gelmeden önce olağandışı etkinlikleri tespit etmek için EDR veya MDR'yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını tanımlamak için birden fazla farklı algılama tekniği kullanan ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımını geri döndüren ThreatDown EDR gibi Uç Nokta Tespit ve Yanıt yazılımını kullanın.
- Tesis dışında, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri saldırganların erişemeyeceği bir yerde ve çevrimdışı olarak saklayın. Temel iş işlevlerini hızlı bir şekilde geri yükleyebileceğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğramayın. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların, kötü amaçlı yazılımlarının, araçlarının ve giriş yöntemlerinin tüm izlerini kaldırmalısınız.
İş çözümlerimiz, fidye yazılımının tüm kalıntılarını ortadan kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.