Dolandırıcılık Yönetimi ve Siber Suç, Fidye Yazılımı
Ne demek istiyorsun, hastane hedefli sosyopat fidye yazılımları yalan söylemeye devam ediyor mu?
Mathew J. Schwartz (Euroinfosec) •
21 Mart 2025
Hatırlamak asla acıtmaz: Fidye yazılımı bilgisayar korsanları yalan söylemeye devam eden yalancılar yalan söylüyor.
Ayrıca bakınız: AI, Otomasyon ve Uyum: Bankacılık Risk Yönetiminde Yeni Sınır
Babuk veya Babuk2 adına giden gelişmekte olan bir fidye yazılımı grubu, düzinelerce yeni kurban iddia ederek itibarını artırmaya çalışıyor. Perşembe günü veri sızıntısı bloguna Perşembe günü yaptığı açıklamada, “Bugün 26 şirkete saldırdık ve bazı şirket bilgileri çaldık.” Dedi.
Grup, her bir şirketten “şirketin itibarını yok edecek ve şirket iflas edecek” yaklaşık 100 terabayt gizli belge bilgileri “çaldığını iddia etti. Bazı kullanıcılar bilgi satın aldı, ancak her bir taraftan bilgilerin sadece bir kısmı. Kurbanların bir ay içinde bir fidye ödemesini talep etti ya da verileri dökmesini istedi.
O kadar hızlı değil: “Bu kuruluşların çoğu daha önce CL0P fidye yazılımı grubu tarafından 2023’ün ortalarında Moveit güvenlik açığından yararlanıyordu-CVE-2023-34362-” dedi Milivoj Rajić, Dynarisk’teki tehdit zekası başkanı. “CL0P tarafından yürütülen ihlaller için kredi almaya çalışıyorlar.”
CLOP, CL0P, 2023’te ABD Anma Günü hafta sonu boyunca 2.700’den fazla kuruluş tarafından toplanan 95 milyondan fazla kuruluşla ilgili verileri doğrudan veya dolaylı olarak çalmak için sıfır günlük bir hareket kırılganlığını hedefledi. Uzmanlar, grubun etkilenen kuruluşlardan 75 milyon ila 100 milyon dolarlık sus ödemeler kazanmış olabileceğini söyledi (bkz:: Fedler probu hareketi sıfır gün boyunca ilerleme yazılımına bırakın).
Buna karşılık, Hizmet Olarak Fidye Yazılımı Grubu, kendisini Ocak ayında ilk kez ortaya çıkan Babuk olarak adlandırıyor.
Fidye yazılımı grupları her zaman yalanları tarafından yakalanır. Operatörler kime saldırdıkları, kaç kurban topladıkları ve çaldıkları ya da çalmadıkları, kendilerini gerçekten büyük ve kötü görünmesini sağlamak ve böylece daha fazla kurban ödemeye baskı yapıyorlar.
Salı günü blog yazısında, siber güvenlik firması Halcyon, “Yeni operasyon Babuk adını güvenilirlik için kullanıyor gibi görünüyor.” Dedi. Diyerek şöyle devam etti: “Bjorka olarak bilinen yönetici, çeşitli forumlarda ve telgrafta aktifti ve daha önce diğer veri ihlalleri ve gasp girişimleriyle ilişkilendirilmişti.”
“Merhaba Dünya” ile başlayan iletişim yayınlayan orijinal Babuk, Washington DC Metropolitan Emniyet Müdürlüğüne saldırdıktan sonra 2021’de karardı.
Orijinal Babuk’un ayrılık hareketlerinden biri, Haziran 2021’de Windows ve ESXI sistemlerini şifreleme yeteneğini içeren fidye yazılımı üreticisinin kaynak kodunu yayınlamaktı. Sızan kilitbit ve Conti kaynak kodunda olduğu gibi, inşaatçı o zamandan beri bir dizi saldırgan ve grup tarafından yeniden kullanıldı. Diğer gruplar daha ileri gider ve inşaatçının bitlerini kendi Frankenstein’ın canavar fidye yazılımlarını bir araya getirmek, kripto-kilitleme kötü amaçlı yazılımları bir diğerinden bir veri açığa vurma aracı olarak kullanır, bir fidye not varyasyonu ve komuta ve kontrol altyapısı ekler ve bu şekilde.
Yeni Babuk, güvenlik araştırmacıları Grubu Ocak ayı sonlarında ilk kez gördükleri için kendisi için bir isim oluşturmaya çalışıyor.
Rajić, “Babuk, özel şirketlere, hükümet ve savunma sektörlerine ait olduğu iddia edilen çok sayıda veritabanını sızdırıyor.” “Bununla birlikte, bu veritabanlarının bazıları için, Babuk’un iddialarının gerçekte ne kadar meşru olduğu hakkında bir kez daha soruları gündeme getiren verilerin geçerliliğini doğrulamak mümkün değildir.”
Rajić, grubun yakın zamanda Babuk 2.0, yani Babuk-Bjorka adlı bir bağlı kuruluş programı duyurduğunu ve “diğer tehdit aktörlerinin fidye yazılım araçlarını fidye payı karşılığında kullanmalarına izin verdiğini” söyledi.
Grubun gerçekte herhangi bir tür fidye yazılımı kullanıp kullanmadığı net değildir. Halcyon, “Grubun 2025’in başlarında birden fazla saldırı gerçekleştirme iddialarına rağmen, analizimiz yeni, canlı fidye yazılımı şifrelemesi veya yeni ağ müdahaleleri kanıtı olmadığını gösteriyor.” Dedi. “Bunun yerine, veriler geçmiş olaylardan geri dönüştürülüyor gibi görünüyor.”
Grubun nispeten yeni çıkışına rağmen, Babuk2 görünüşe göre başkasının saldırılarını geri dönüştürmeye çalıştığı için çağrılmaya devam ediyor.
Danışmanlık Rehber Güvenliği Ocak ayında, “kurban organizasyonu açıklamasının ve BABUK2’nin veri sızıntı sitesinde verilen ayrıntıların, Funksec, RansomHub, Lockbit ve Meow dahil olmak üzere farklı bir tehdit grubunun orijinal iddiası için kesin bir eşleşme olduğu grup tarafından iddia edilen en az 57 kurbanın sayıldığını bildirdi.
GuidePoint Güvenliği, “BABUK2 DLS’de listelenen veya iddia edilen iştirakler tarafından temasa geçen kuruluşlar için, herhangi bir iddia edilen saldırı ve geçmiş sızdırılmış verilerin olası geri dönüşümünü dışlamayı şiddetle tavsiye ediyoruz.” Dedi. Organizasyon, geçtiğimiz yıl “, tehdit aktörünün ek saldırısının gerçekleşmediği durumlarda, daha önce ihlal edilen verileri ödemeyi zorunlu kılan sofistike olmayan tehdit aktörleri” tarafından bir artış gördüğünü söyledi.
Her zaman olduğu gibi, asla nominal değer yalancılarını veya söyledikleri yalanları almayın.