Hızla gelişen siber tehdit manzarasında, fidye yazılımı operasyonlarının gerçek doğasını anlamak giderek karmaşık hale geldi. Güvenlik ekiplerinin her fidye yazılımı ailesine ayrı, birleşik bir varlık olarak davranabileceği günler geride kaldı.
“Conti sonrası dönem”, bağlılıkların değiştiği, kimliklerin bulanık ve gizli bağlantıların tüm ekosistemi desteklediği kırık bir mutasyon pazarını başlattı.
Scylla Intel ve Domaintools Araştırma Ekibi ile ortaklaşa Jon DiMaggio’nun Analyst1’de yönettiği yeni bir işbirlikçi araştırma çabası, “Ruslara bağlı fidye yazılım gruplarının görsel ve analitik haritası” başlıklı aydınlatıcı bir infografikle sonuçlanıyor.
Proje, sadece bireysel grupları kataloglamak yerine, modern fidye yazılımı operasyonlarını yönlendiren karmaşık ilişkilerin ağını – paylaşılan kod, altyapı örtüşmeleri ve insan operatör göçü – ortaya koyuyor.
Bu araştırmanın temel amacı, izole fidye yazılımı “aileler” nin atfedilmesinin ötesine geçmek ve bunun yerine cezai grupları bağlayan gizli bağlantıları çizmekti.
“Örümcek” artımlı bir soruşturma kullanan analistler, Conti, Lockbit ve Evil Corp gibi yerleşik gruplarla başladı, daha sonra daha az bilinen aktörlerle benzerlik konularını takip etti.
Veri kaynakları açık kaynak zekası ve tarihi altyapı kayıtlarından tescilli tehdit yemlerine ve insan zekasına kadar değişmektedir.
Üst üste binen IP adresleri, pasif DNS kayıtları, paylaşılan TLS sertifikaları ve ortak teslimat vektörleri çapraz referans olarak, ekip kaynak havuzlama örneklerini ve bağlı kuruluş seviyesi yeniden kullanımı belirledi.
Kod analizi ayrıca, Black Basta ve Qakbot arasında paylaşılan parçaların yanı sıra Legacy Trickbot altyapısının sürekli kullanımını ortaya çıkardı.
Anydesk ve Quick Assist gibi araçların yaygınlığı, ortak eğitim veya operatör oyun kitaplarının altını çizdi ve görünüşte farklı gruplar arasında bir dereceye kadar standardizasyon önerdi.
Ortaya çıkan infografik, bu altyapı ve teknik çakışmaların kapsamlı bir görsel temsilini sağlar.
İnsan sermayesi ve operatör sürüklenmesi
Belki de araştırmanın en çarpıcı boyutu, insan örtüşmesi ve operatör sürüklenmesinin görselleştirilmesidir. Güvenlik uygulayıcıları genellikle kötü amaçlı yazılım suşlarının bir grubun kimliğini tanımladığını varsayar, ancak infografik ekosistemler arasında göç eden bireysel aktörleri vurgulayarak bu kavramı giderir.
Örneğin, “Wazawaka” olarak bilinen aktörün Revil, Babuk, Lockbit, Hive ve Conti ile bağları vardır, “Bassterlord” Revil’den Avaddon’a, sonra Lockbit’e geçti ve sonunda Hive.
Bu göçler, insan sermayesinin – bireysel operatörlerin becerileri ve ilişkileri – fidye yazılımı operasyonlarındaki birincil varlık olduğunu göstermektedir.
Marka bağlılıkları sürekli kanıtlar: Operatörler piyasa koşullarına uyum sağlar, kolluk baskısına yanıt olarak yeniden organize olurlar ve grup isimleri yerine güvenilir temaslara güvenir.
Yeniden markalama, bu bağlamda, bir kılık değiştirme olarak değil, stratejik bir pivot olarak ortaya çıkar – birden fazla kıyafet arasında uzmanlık ve yetenek taşıyan operatörlerin hareketliliği tarafından etkinleştirilir.
İnfografinin vahiyleri, savunucular ve politika yapıcılar için derin sonuçlara sahiptir. Birincisi, kod yeniden kullanımı veya altyapı paylaşımı bildirici grup kimliğine eşit değildir; Aktörler arasında işbirliğine ve yakınsamaya bakan tekil atıf riski varsayımları.
Bu araştırma, Ruslara bağlı fidye yazılımlarını destekleyen gizli ittifakları ve örtüşmeyi aydınlatarak, tehdit istihbaratı için yeni bir çerçeve sunuyor.
İkincisi, grup etiketleme giderek daha eskidir; Daha etkili bir lens, monolitik grup isimlerinden ziyade daha etkili TTP’ler, altyapı parmak izleri ve insan ağları – aktivite kümelerine odaklanır.
Son olarak, fidye yazılımı operasyonlarının modüler doğasını anlamak, bozulma stratejilerinin hazırlanması için kritik öneme sahiptir.
Gruplar müzakere, kalkınma veya altyapı yönetimi gibi rollerde uzmanlaştıkça, koşullar değiştikçe yeni yapılandırmalarda yeniden bir araya getirerek bir pazardaki bileşenler gibi çalışırlar.
Kalıcı Altyapı Yeniden Kullanımı ile birleştiğinde Evil Corp’un tekrarlanan yeniden markalaşması gibi yaptırımlar kaçınma taktikleri, nominal değişikliklere rağmen yeteneklerin dayanıklılığının altını çiziyor.
Güvenlik ekipleri, geçici marka isimleri üzerinde istikrarlı altyapı eserlerine ve insan ağı analizine öncelik vererek izleme metodolojilerini geliştirmelidir.
Domaintools soruşturmaları aracılığıyla sunulan tam infografik, bu dinamik suç ekosistemlerini anlamak ve bunlara karşı koymak için hem görsel bir rehber hem de stratejik bir yol haritası olarak hizmet vermektedir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.