Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Araştırmacılar, Sosyal Mühendisliğin Ulus-Devlet Gruplarının Taktiklerini Aynaladığını Söyledi
Mathew J. Schwartz (euroinfosec) •
25 Kasım 2024
Uzmanlar, Black Basta fidye yazılımı grubunun, kolluk kuvvetlerinin artan aksaklıklarına rağmen daha fazla kurban toplamak için sosyal mühendislik taktiklerini geliştirdiğini söylüyor.
Ayrıca bakınız: Yeni Siber Güvenlik Raporlama Gereksinimlerine Hazırlık
Tehdit istihbarat firması RedSense’in bir raporuna göre grup, kötü amaçlı yazılım dağıtımına botnet odaklı bir odaklanmanın ötesine geçerek, dikkatlice planlanmış sosyal mühendislik kampanyaları yoluyla hedefleri kandırmaya odaklandı; bu, ulus devlet hacklemesinde daha sık görülen taktikleri gösteriyor.
Raporda, “Bu evrim, Black Basta’nın fırsatçı saldırılardan stratejik, uzun vadeli planlamaya” ve “teknik ve sosyal taktiklerin” daha incelikli bir karışımına doğru kasıtlı ilerlemesini gösteriyor” diyor.
ABD Siber Güvenlik Kurumu, Black Basta’nın yakın zamanda görülen tekniklerinin “Microsoft Teams üzerinden sosyal mühendisliğe yardımcı olmak ve mağdur son kullanıcıları uzaktan izleme ve yönetim araçları aracılığıyla ilk erişim sağlamaları için kandırmak amacıyla büyük miktarda spam e-posta göndermek için kullanılan bir taktik olan e-posta bombalamayı içerdiğini” söyledi. ve Altyapı Güvenlik Ajansı yakın zamanda yapılan bir uyarıda.
CISA uyarısı, siber güvenlik firması ReliaQuest’in geçen ay Black Basta’nın “arttırılmış sosyal mühendislik taktikleri” kullandığını bildirmesinin ardından geldi. Daha önce grubu, “kullanıcıları e-posta spam’iyle boğan”, bazen yalnızca 50 dakika içinde tek bir kullanıcıya 1.000 e-postanın gönderildiği saldırılara bağlamıştı.
ReliaQuest, saldırganların, hedefler tarafından açılan kesin olmayan destek bildirimlerine yanıt veren bir yardım masası gibi davranarak hedeflerle iletişime geçeceğini söyledi. Saldırganların amacı, kurbanı kandırarak sistemlerine Black Basta fidye yazılımını çalıştıran bir yükleyici yüklemesini sağlamaktı.
ReliaQuest, grubun e-posta bombalama kampanyalarını kullanarak ve ardından bazılarının kötü amaçlı yazılım yüklemek için tasarlanmış kötü amaçlı QR kodları içeren harici Microsoft Teams sohbet mesajlarına hedefler ekleyerek ve hala yardım masası uzmanları gibi davranarak bu yaklaşımı artırdığını söyledi.
Firma, Microsoft Teams konuşmalarına ev sahipliği yapan kiracıların genellikle aşağıdakileri içeren bir alan adı adlandırma kuralını takip ettiğini söyledi: *.onmicrosoft.comiçermek cybersecurityadmin.onmicrosoft.com Ve supportserviceadmin.onmicrosoft.com.
Ortaklıklara Odaklanma
Temmuz ayında Google’ın Mandiant olay müdahale grubu, UNC4393 olarak takip ettiği ve mali motivasyonlu olarak tanımladığı Black Basta’nın arkasındaki grubun, Basta adını verdiği fidye yazılımının özel kullanıcısı gibi göründüğünü söyledi.
Mandiant, hizmet olarak geleneksel fidye yazılımının aksine, “Basta halka açık bir şekilde pazarlanmıyor ve operatörleri, fidye yazılımını dağıtmak için aktif olarak bağlı kuruluşları işe almıyor gibi görünüyor” dedi. “Bunun yerine, yeraltı topluluklarındaki ortaklıklar veya satın almalar yoluyla ilk erişimi elde etmeye odaklanıyorlar. Bu, fidye yazılımı geliştirmeye ve fidye yazılımının doğrudan dağıtılması karşılığında bağlı kuruluşlara sağlanan veri sızıntısı sitesi gibi ilgili hizmetlere odaklanan geleneksel RaaS modellerinden sapıyor. .”
Mandiant, UNC4393’ün 2022 başından itibaren Basta fidye yazılımını neredeyse yalnızca Qakbot enfeksiyonları yoluyla dağıttığını, en azından FBI’ın 2023’te bu altyapıyı bozmasına kadar göründüğünü söyledi. O andan itibaren grup, bilgi çalma yetenekleri olan kötü amaçlı yazılımlar da dahil olmak üzere diğer arka kapıları test etmeye başladı.
Diaspora Hesapları
Black Basta, Conti’nin dağılmasının ardından doğrudan ortaya çıkan veya oluşan gruplardan biridir. Bu yüksek uçan grubun liderliği, Moskova’nın Ukrayna’ya karşı yürüttüğü fetih savaşını alenen destekledi; bunun, şifre çözücüler için ödeme yapma ve çalıntı verileri sızdırmama sözü verme konusunda Batılı kurbanlara güvenen Rusya merkezli bir çete için feci bir ticari karar olduğu ortaya çıktı. Kurbanlar neredeyse bir gecede Conti’nin gasp taleplerini ödemeyi bıraktılar.
RedSense’in bildirdiğine göre, aralarında BlackBasta, Quantum – diğer adıyla Royal – ve Silent Ransom’un da bulunduğu en az altı küçük grup Conti’den çıktı. Conti veya üyeliğiyle ilişkili diğer gruplar arasında BlackCat olarak da bilinen Alphv; AvosLocker; Kovan; ve HelloKitty, diğer adıyla FiveHands (bkz: Fidye Yazılımı Sonunda Düşüşe mi Girdi? Gruplar ‘Mücadele Ediyor’).
Diasporadan bu yana Black Basta, Conti’nin yan ürünleri arasında “en merkezi ve disiplinli” olanı olarak ortaya çıktı; bu da onların Rus devletinin hacker grupları veya istihbarat sorumlularıyla birlikte çalıştıklarını ve hukuk, teknoloji ve imalat sektörlerine güçlü bir odaklanma sergilediklerini güçlü bir şekilde akla getiriyor. RedSense, çoğu grubun çoğunlukla fırsatçı odak noktası yerine şunları söyledi (bkz: Fırsat Hedefleri: Fidye Yazılımı Grupları Kurbanları Nasıl Buluyor?).
Olağandışı Odaklanmış Hedefleme
RedSense, Black Basta’nın kimi hedef aldığına ilişkin ayrıntılara ve grup içi konuşmalara dayanarak, fidye yazılımı operasyonunun oldukça spesifik kurbanları hedeflemeye odaklanmış göründüğünü söyledi. “Çoğu zaman fırsatçı saldırılara bel bağlayan diğer gruplardan farklı olarak Black Basta, Avrupa ve ABD’nin kritik altyapısına ve askeri-endüstriyel kompleksine uzun süredir planlanmış, hedefli saldırılar gerçekleştirmeye devam etti ve salt şansın ötesinde bir düzeyde koordinasyon ve niyet gösterdi.”
Firma, bu odağın, grubun veri sızıntısı sitesinde yayınlamayı seçtiği, ödeme yapmayan mağdurlara yansımadığını ve bunların “geçerli mağduroloji verileri olarak kabul edilemeyeceğini” söyledi (bkz.: Fidye Yazılımı Gruplarının Veri Sızıntısı Blogları Yalan: Onlara Güvenmeyi Durdurun).
Tehdit istihbaratı firması, Black Basta’yı Rus kolluk kuvvetlerine veya istihbarat organlarına bağlayan hiçbir kesin kanıt yayınlamamış olsa da, böyle bir bağlantı, öncüsüne uygun olacaktır. Conti’nin “Stern” olarak bilinen liderinin, Rusya’nın FSB olarak bilinen Federal Güvenlik Servisi ile yakın bağları olduğu ortaya çıktı.
Bu açıklama, Ukraynalı bir güvenlik araştırmacısının Conti’nin Başkan Vladimir Putin’in ülkeye karşı topyekün fetih savaşını başlatma kararına kamuoyu desteğinden intikam almasıyla 2022’nin başlarında geldi. Araştırmacı, dahili sohbet kayıtları, kurban listeleri ve 65.000’den fazla bitcoin içeren ve o zamanlar 1,4 milyar dolar değerinde olan kripto para birimi cüzdan adreslerinin adresleri de dahil olmak üzere suç operasyonuyla bağlantılı kapsamlı bilgilere sızdı ve sızdırdı.
Sızıntılar ayrıca, Rus siber suç kuruluşunun yaklaşık 200 tam zamanlı çalışandan oluştuğunu ve bir İK departmanı, açık kaynak istihbarat ve siber suç uzmanlarından oluşan gruplar ve şantaj yapmanın yenilikçi yeni yollarını bulmaya odaklanan Ar-Ge ekipleriyle meşru bir işletme gibi yapılandırıldığını ortaya çıkardı. kurbanlar.
Güvenlik uzmanları, Moskova’nın, fidye yazılımı operasyonları da dahil olmak üzere siber suç gruplarına doğrudan görev vermese bile, düşmanlara karşı inkar edilebilir bir varlık olarak hizmet etmelerine en azından tolerans göstermeye devam ettiğini söylüyor.