Siber suç, Hizmet olarak siber suç, Uç Nokta Tespiti ve Yanıtı (EDR)
Knight Fidye Yazılımına Yönelik Kimlik Avı Kampanyası FBI’ın Kesintisine Rağmen Devam Ediyor
Mathew J. Schwartz (euroinfosec) •
5 Ekim 2023
“Banka havalesi talebi.lnk”, “fatura OTP bank.pdf.lnk” ve “URGENT-Invoice-27-August.docx.lnk”nin ortak noktası nedir?
Ayrıca bakınız: Bugün Canlı Web Semineri | Kafanızı Buluta Taşıyın: Modern Güvenlik Sorunları ve Çözümleri
Cisco Talos’taki tehdit istihbaratı araştırmacılarının raporuna göre bunların tümü, Qakbot operasyonuna bağlı saldırganlar tarafından yakın zamanda gönderilen kimlik avı e-posta mesajlarına eklenen Zip arşivlerinde dağıtılan Windows kısayol dosyalarının adlarıdır.
Qakbot faaliyeti, FBI’ın öncülük ettiği ve ağustos ayının sonlarında botnet operasyonunun altyapısının önemli bir bölümünü kesintiye uğratan devasa bir uluslararası kolluk kuvvetleri operasyonuna rağmen gerçekleşti. Botnet operasyonu ve kötü amaçlı yazılımının adı üzerinde oynanan bir oyun olan “Ördek Avı Operasyonu”, 52 sunucunun ve yaklaşık 9 milyon dolar değerindeki kripto para biriminin ele geçirilmesiyle ve ayrıca Qakbot kötü amaçlı yazılımının 700.000 uç noktadan zorla kaldırılmasıyla sonuçlandı (bkz.: ‘Ördek Avı’ Operasyonu Qakbot’u Parçaladı).
Talos araştırmacıları, izledikleri kimlik avı kampanyasının yayından kaldırılmadan önce başlatıldığını ve o zamandan beri devam ettiğini söylüyor. Bu, polisin Qakbot’un operasyonlarının yalnızca bir kısmını aksattığını gösteriyor. Araştırmacılar, “Kolluk kuvvetleri operasyonu Qakbot operatörlerinin spam dağıtım altyapısını değil, yalnızca komuta ve kontrol sunucularını etkilemiş olabilir” dedi.
Kaldırmanın ardından çok sayıda güvenlik araştırmacısı, herhangi bir siber suç kesintisinin her zaman memnuniyetle karşılanacağını ancak kolluk kuvvetlerinin yalnızca altyapıyı bozmayı başardığı konusunda uyardı. Operasyonu kim yönetiyorsa ve çalıştırdıkları geliştiriciler serbest kalacak ve böylece kazançlı operasyonun tehlikeye atılan kısımlarını yeniden inşa edebilecekleri konusunda uyardılar (bkz: Siber Suç Sarsıntıları: Uzmanlar Qakbot’un Yeniden Dirilişini Tahmin Ediyor).
Kimlik Avı Kampanyası Fidye Yazılımını Zorluyor
Cisco Talos, grup tarafından başlatılan önceki kampanyalarla aynı makinede oluşturulmuş görünen en son kötü amaçlı dosyalardaki meta veriler nedeniyle devam eden kimlik avı kampanyasını Qakbot’a atfettiğini söyledi. Araştırmacılar, kötü amaçlı dosyalar arasındaki ortak noktalardan birinin, “0x2848e8a8” seri numarasına sahip bir sabit sürücüyü işaret eden meta veriler olduğunu söyledi.
Bu kimlik avı kampanyasında, ekli Zip arşivleri, bir Excel eklenti uzantısını yüklemek için tasarlanmış bağlantı dosyalarını içerir. .xll Araştırmacılar, bir uç noktaya kalıcı uzaktan erişim sağlamak için Remcos arka kapısını kuracak olan dosyanın da arşivde yer aldığını söyledi. Ayrıca bağlantı dosyasının, uzak bir IP adresinden Ransom Knight, diğer adıyla Knight fidye yazılımı adı verilen fidye yazılımını yükleyen bir yürütülebilir dosyayı indirmek için tasarlanmış bir Powershell betiği çalıştırdığını da buldular.
Mayıs ayında, Cyclops hizmet olarak fidye yazılımı operasyonu Knight’ı Cyclops fidye yazılımının 2.0 sürümü olarak piyasaya sürdü ve kripto kilitleyen kötü amaçlı yazılımı sıfırdan yeniden yazdıklarını ve hedef odaklı kimlik avı kampanyaları aracılığıyla bunu dağıtacak işbirlikçiler aradıklarını söyledi. Tehdit istihbarat firması Kela’nın bildirdiğine göre. Mayıs ayında siber suç forumlarında “RaaS Knight” için görünmeye başlayan reklamlarda, fidye yazılımının yalnızca Windows sistemlerini değil aynı zamanda Linux, VMware ESXi ve macOS’u da zorla şifrelemek için kullanılabileceğini iddia edildi.
Hizmet olarak fidye yazılımı operasyonları, önceden seçilmiş iş ortaklarına, diğer bir deyişle bağlı kuruluşlara, sık sık güncellenen kripto kilitleyici kötü amaçlı yazılımlar sağlar. Operatörler genellikle ödenen her fidyenin %20 ila %30’unu tutar, geri kalanı ise kurbanı enfekte eden bağlı kuruluşa gider.
“Şifrelemenin ardından dosyalar bir .knight, .knightl veya .knight_l güvenlik firması SentinelOne, Knight’ın, çalma işlevi de dahil olmak üzere fidye yazılımının daha tam özellikli bir sürümünün yanı sıra “daha geniş, hedefsiz, spam tabanlı saldırılar” için tasarlanmış bir Knight Lite sürümünü sunduğunu söyledi.
Knight, Cyclops’un kendisini yeniden markalaştırmasıyla bağlı kuruluşlarına kar paylaşımı yaklaşımları seçeneği sunuyor. “Operasyonun arkasındaki aktör, bunun ‘ortak dostu’ olduğunu iddia etti ve iki işbirliği yolu sundu: Cyclops ekibinin mağdurlarla pazarlık yaptığı ‘depozitosuz’ ve bağlı kuruluşların müzakereleri kendi başlarına yürütebildiği ‘depozitolu’. ” dedi Kela. “Aktör ayrıca ‘piyasadaki en düşük komisyon payını’ aldıklarını belirtti ancak başarılı bir şekilde ödenen fidyelerden alacakları payı tam olarak belirtmedi.”
Knight, fidyeyi ödemeyen kurbanların bir alt kümesini listeleyen, onlara ve gelecekteki kurbanlara ödeme yapmaları için baskı yapmaya çalışan bir veri sızıntısı blogu tutuyor.
Cisco Talos, Qakbot’un veya Qakbot’u kiralayan birinin fidye yazılımı operasyonunu yürütmekle herhangi bir ilgisi olmasından ziyade Knight’ın bir üyesi olduğundan şüphelendiğini söyledi.
Qakbot’un uç noktalara kötü amaçlı yazılım bulaştırmak ve onları komut ve kontrol sunucuları aracılığıyla uzaktan kontrol etmek için kendi botnet altyapısını yeniden başlatıp başlatmayacağı henüz bilinmiyor. Qakbot, 2008 yılında bir bankacılık Truva atı olarak piyasaya sürülmüş ve daha önce dünyanın en uzun süredir devam eden botnet’lerinden biriydi. Uzun yıllar ve daha sonra yapılan yükseltmelerden sonra, kıdemli FBI ve Adalet Bakanlığı yetkilileri, kötü amaçlı yazılımın yüz milyonlarca dolarlık kayba yol açtığını söyledi. Qakbot’un operatörleri bu kadar kâr etme potansiyelinden vazgeçebilecek mi?