Bilgisayar korsanları, güven ve güvenilirlikten yararlanmak için güvenlik araştırmacılarının kimliğine bürünür. Siber güvenlik topluluğunun meşru figürleri gibi davranarak:
- Hassas bilgilere erişim kazanın
- Mağdurları uygunsuz eylemlere yönlendirmek
- Şüphelerden kaçınırken kötü niyetli faaliyetlerinin başarısını artırın
Arctic Wolf Labs’taki siber güvenlik araştırmacıları yakın zamanda bilgisayar korsanlarının fidye yazılımı kurbanlarına yardım etmek için aktif olarak güvenlik araştırmacılarının kimliğine büründüğünü keşfetti.
MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.
Ücretsiz Kayıt Ol
Teknik Analiz
Arctic Wolf Labs araştırmacıları, sahte ‘yardımcıların’ çalınan verileri silme sözü vermesiyle, fidye yazılımı kurbanlarının yeniden gasp edildiğini tespit etti.
İki vakada güvenlik araştırmacısı gibi davranarak orijinal fidye yazılımı grubunun sunucularını hacklemeyi teklif ettiler. Bu, meşru bir araştırmacı gibi davranan ve başka bir fidye yazılımı grubundan saldırıya uğramış verileri silmeyi teklif eden bir tehdit aktörünün bilinen ilk vakasıdır.
Farklı kişiliklere rağmen güvenlik analistleri, her iki gasp girişiminin arkasında muhtemelen aynı aktörün olduğuna inanıyor.
Farklı görünmelerine rağmen her iki durum da temel unsurları paylaşıyor. İletişim tarzları analiz edildiğinde açık benzerlikler ortaya çıktı.
Bunun yanı sıra, benzersiz yönler aşağıdakileri içerir:
- Düşük fidye talepleri
- Yasal bir araştırmacı kılığına girmek
- Gelecekteki saldırıları önlemek için veri silme olanağı sunma
Vakalar
Siber güvenlik araştırmacılarının tespit ettiği iki durumdan aşağıda bahsettik:
- Durum 1 – Royal Fidye Yazılımının İhlali ve Etik Taraf Grup Verilerinin Silinmesi Gaspı: Bu vakada, Etik Taraf Grubu (ESG), Ekim 2023’te Royal fidye yazılımı kurbanına e-posta yoluyla kurban verilerinin Royal tarafından alındığını bildirdi. 2022’de Royal bunu sildiğini söyledi ancak ESG yanlışlıkla TommyLeaks’i suçladı. ESG, bir ücret karşılığında Royal’in sunucusundaki verileri hacklemeyi ve silmeyi teklif etti.
- Durum 2 – Akira Fidye Yazılımının Ele Geçirilmesi ve xanonymoux Verilerinin Silinmesiyle Gasp: Bu vakada, “xanonymoux” olduğunu iddia eden bir kuruluş, Kasım 2023’te bir Akira fidye yazılımı kurbanına, Akira’nın sahip olduğunu reddettiği sızdırılmış verilere sahip olduğunu söyledi. Bu nedenle xanonymoux, Akira’nın Karakurt gasp grubuyla bağlantısını öne sürerek verilerin silinmesi veya sunucuya erişim izni verilmesi konusunda yardım teklifinde bulundu.
Yaygın Tehdit Aktörü Davranışları
Aşağıda, yaygın tehdit aktörlerinin tüm davranışlarından bahsettik:
- Güvenlik araştırmacısı rolünde hareket etmek
- Geçmişte ele geçirilen verileri barındıran bilgisayar altyapısını inceleme hakkını savundu
- Tox üzerinden mesaj alışverişi yapıldı
- Çalınan bilgiler üzerinde yargı yetkisi oluşturmanın bir yolu olarak sağlanmıştır
- Çözülmemiş güvenlik endişeleri nedeniyle gelecekte bu tür saldırıların yaşanma potansiyeli
- Daha önce çıkarılan veri miktarı
- Gerekli minimum ödeme tutarı (<= 5 BTC)
- E-postanın hem gövdesinde hem de başlığında görünen on terim
- Mağdur verilerine erişimi kanıtlamak için file.io kullanımı
Fidye yazılımının karmaşık dünyasının şifresini çözen RaaS bağlı kuruluşları, birden fazla şifreleme yükünü dengede tutuyor.
Devam eden gasp olaylarına grup yaptırımı konusunda belirsizlik devam ediyor. Ödeme sonrasında verileri silmek için suç örgütlerine güvenmemeye dikkat edin.
Araştırmacılar, belgelenen vakalarda bulunan benzerlikleri analiz ettikten sonra, tek bir tehdit aktörünün daha önce Royal ve Akira fidye yazılımı saldırılarından etkilenen kuruluşları hedef aldığı sonucuna varıyor. Bu sonuca orta düzeyde bir güven ile ulaşılmıştır. Bununla birlikte, orijinal fidye yazılımı gruplarının daha sonraki gasp olaylarına izin verip vermediği veya tehdit aktörünün hedeflenen kuruluşlardan daha fazla fon elde etmek için bağımsız olarak hareket edip etmediği belirsizliğini koruyor.
Ağ Güvenliği Kontrol Listesiyle Ağınızı Güvenceye Alın: Ücretsiz E-Kitap İndirin