Siber güvenlik manzarası, Arkana fidye yazılımının zorlu bir tehdit aktörü olarak ortaya çıktığı ve büyük bir ABD internet servis sağlayıcısı olan Wideopenwest’e (vay!) Yıkıcı bir saldırı ile ilk kez ortaya çıktığı 2025 başında önemli bir ihlale tanık oldu.
Mart 2025’in sonlarında meydana gelen saldırı, sırasıyla yaklaşık 403.000 ve 2,2 milyon müşteri kaydı içeren iki kapsamlı veritabanını başarıyla açıkladığını iddia ettikleri için grubun sofistike yeteneklerini gösterdi.
Büyük veri hırsızlığının ötesinde, tehdit aktörleri, WOW!
Fidye yazılımı operasyonu, her biri mağdurların taleplerine uyma baskısını en üst düzeye çıkarmak için tasarlanmış fidye, satış ve sızıntı aşamalarından oluşan belirgin bir üç fazlı gasp modeli izler.
Arkana’yı geleneksel fidye yazılımı gruplarından ayıran şey, hassas bilgileri kamuya açıklamak ve kurbanları ödemeye açıklamak için “utanç duvarı” taktiklerini kullanan, derhal sistem şifrelemesinden ziyade psikolojik savaş ve veri açığa çıkışına ilk odaklanmalarıdır.
Grubun Rus dili Kiril metninin kullanımı da dahil olmak üzere iletişim kalıpları, Doğu Avrupa siber suçlu operasyonlarının daha geniş eğilimi ile uyumlu olarak Rus kökenlerini veya bağlantılarını şiddetle öneriyor.
Sokradar analistleri, Arkana’yı 2025’te en aktif siber suçlu organizasyonlarından biri olarak ortaya çıkan Qilin fidye yazılımı grubu tarafından işletilen sofistike bir fidye yazılım (RAAS) platformu olan genişleyen Qilin ağına bağlayan göstergelerle ilgili belirledi.
Araştırmacılar, Arkana’nın Karanlık Web altyapılarındaki “Hakkında & İletişim” sayfasında belirgin bir şekilde görüntülenen Qilin Network logosunu keşfettiklerinde bağlantı belirgin hale geldi ve doğrudan bağlantı veya paylaşılan operasyonel kaynakları önerdi.
.webp)
Bu ilişki, Tehdit manzarasında önemli bir artışı temsil eder, çünkü Qilin, bağlı kuruluşlara teknik ve yasal destek hizmetlerinin yanı sıra pas veya Go programlama dillerinde inşa edilmiş özelleştirilmiş fidye yazılımı yükleri sağlar.
Saldırı Vektör Analizi ve Kimlik Bilgisi Hasat Mekanizmaları
Teknik analiz, Arkana’nın birincil saldırı vektörünün, Geri ATT & CK çerçeve taktikleri T1078 (geçerli hesaplar), T1486 (darbe için şifrelenmiş veriler) ve T1565 (veri manipülasyonu) kullanan kimlik hırsızlığı ve yanal hareket tekniklerine odaklandığını ortaya koymaktadır.
.webp)
Grup genellikle enfekte personel bilgisayarlarından giriş bilgileri hasat ederek uzlaşmayı başlatır ve daha sonra faturalandırma platformları ve idari arayüzler de dahil olmak üzere dahili sistemlere erişmek için bu geçerli hesaplardan yararlanır.
İlk erişim belirlendikten sonra, tehdit aktörleri, kalıcılığı korumak ve algılamayı önlemek için Citrix ve Anydesk de dahil olmak üzere meşru uzaktan erişim yazılımını kullanırken, uzaktan komut yürütme için Psexec gibi yan hareket araçlarını kullanır.
Grubun metodolojisi, normal ağ trafiği ile karışmak ve güvenlik izleme sistemlerinden kaçmak için meşru idari araçlardan yararlanan “arazide yaşamak” teknikleri tercihini göstermektedir.
Hemen şifreleme üzerinden veri açığa çıkmasına odaklanmaları, bunları geleneksel fidye yazılımı gruplarından ayırır ve yüksek değerli müşteri veritabanlarını ve hassas kurumsal bilgileri hedefleyen uzun süreli gasp kampanyaları yoluyla finansal getirileri en üst düzeye çıkarmak için daha hesaplanmış bir yaklaşım önerir.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi