Hizmet olarak Black Basta fidye yazılımı (RaaS) operasyonu, Nisan 2022’de ortaya çıkışından bu yana Kuzey Amerika, Avrupa ve Avustralya’daki 500’den fazla özel sektörü ve kritik altyapı kuruluşunu hedef aldı.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Federal Soruşturma Bürosu (FBI), Sağlık ve İnsani Hizmetler Bakanlığı (HHS) ve Çok Eyaletli Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC) tarafından yayınlanan ortak tavsiye niteliğindeki belgede ), kurumlar, tehdit aktörlerinin 16 kritik altyapı sektöründen en az 12’sinden verileri şifrelediğini ve çaldığını söyledi.
Bültende, “Black Basta üyeleri, kimlik avı ve bilinen güvenlik açıklarından yararlanma gibi ortak ilk erişim tekniklerini kullanıyor ve ardından hem sistemleri şifreleyerek hem de verileri sızdırarak ikili bir gasp modeli kullanıyor.”
Diğer fidye yazılımı gruplarının aksine, saldırı sonunda düşen fidye notları, ilk fidye talebini veya ödeme talimatlarını içermiyor. Bunun yerine, notlar kurbanlara benzersiz bir kod sağlıyor ve onlara bir .onion URL’si aracılığıyla çeteyle iletişim kurmaları talimatını veriyor.
Black Basta ilk kez Nisan 2022’de QakBot’u başlangıç vektörü olarak kullanarak gözlemlendi ve o zamandan bu yana son derece aktif bir fidye yazılımı aktörü olarak kaldı.
Malwarebytes tarafından toplanan istatistikler, grubun Nisan 2024’te gerçekleşen 373 doğrulanmış fidye yazılımı saldırısından 28’iyle bağlantılı olduğunu gösteriyor. Kaspersky’ye göre grup, 2023’teki en aktif 12. aile oldu. Black Basta ayrıca, 2024’ün ilk çeyreği, bir önceki çeyreğe göre %41 artış gösterdi.
Black Basta operatörlerinin, 2020’den bu yana fidye yazılımı saldırıları düzenlemeye başlayan FIN7 olarak takip edilen başka bir siber suç grubuyla bağları olduğunu gösteren kanıtlar var.
Fidye yazılımını içeren saldırı zincirleri, ağ taraması için SoftPerfect ağ tarayıcısı, BITSAdmin, Cobalt Strike işaretçileri, ConnectWise ScreenConnect ve yanal hareket için PsExec, ayrıcalık yükseltme için Mimikatz ve şifrelemeden önce veri sızıntısı için RClone gibi araçlara güvendi.
Yükseltilmiş ayrıcalıklar elde etmek için kullanılan diğer yöntemler arasında ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278 ve CVE-2021-42287) ve PrintNightmare (CVE-2021-34527) gibi güvenlik kusurlarının kullanılması yer alır.
Belirli örnekler, uç nokta algılama ve yanıt (EDR) yazılımını devre dışı bırakmak için Backstab adlı bir aracın konuşlandırılmasını da gerektirdi. Backstab’ın geçmişte LockBit üyeleri tarafından da kullanıldığını belirtmekte fayda var.
Son adım, dosyaların RSA-4096 genel anahtarıyla ChaCha20 algoritması kullanılarak şifrelenmesidir, ancak sistem kurtarmayı engellemek için vssadmin.exe programı aracılığıyla birim gölge kopyalarını silmeden önce değil.
Kurumlar, “Sağlık kuruluşları, büyüklükleri, teknolojik bağımlılıkları, kişisel sağlık bilgilerine erişimleri ve hasta bakımındaki aksaklıkların benzersiz etkileri nedeniyle siber suç aktörleri için cazip hedeflerdir” dedi.
Bu gelişme, CACTUS fidye yazılımı kampanyasının, hedef ortamlara ilk erişimi elde etmek için Qlik Sense adlı bulut analitiği ve iş zekası platformundaki güvenlik açıklarından yararlanmaya devam etmesiyle ortaya çıktı.
NCC Group’un Fox-IT ekibi tarafından yapılan yeni bir analiz, çoğunluğu ABD, İtalya, Brezilya, Hollanda ve Almanya’da olmak üzere 3.143 sunucunun hala CVE-2023-48365 (diğer adıyla DoubleQlik) riski altında olduğunu ortaya çıkardı. 17 Nisan 2024.
Fidye yazılımı ortamı bir değişim halindedir ve 2024 yılının ilk çeyreğinde önceki çeyreğe kıyasla faaliyette %18’lik bir düşüş kaydedilmiştir. Bu düşüş öncelikle ALPHV (diğer adıyla BlackCat) ve LockBit’e karşı kolluk kuvvetleri operasyonları tarafından yürütülmektedir.
LockBit’in bağlı kuruluşlar arasında ciddi itibar kaybı yaşadığı göz önüne alındığında, grubun büyük olasılıkla yeniden markalaşmaya çalışacağından şüpheleniliyor. Siber güvenlik firması ReliaQuest, LockBit’in markasıyla benzerliklere dikkat çekerek, “DarkVault fidye yazılımı grubu, LockBit’in olası bir halefi grubudur” dedi.
Son haftalarda ortaya çıkan diğer yeni fidye yazılımı gruplarından bazıları APT73, DoNex, DragonForce, Hunt (bir Dharma/Crysis fidye yazılımı çeşidi), KageNoHitobito, Megazord, Qiulong, Rincrypt ve Shinra’dır.
Blockchain analiz firması Chainaliz, fidye yazılımı türlerinin “çeşitlendirilmesi” ve “zorluklar karşısında hızlı bir şekilde uyum sağlama ve yeniden markalama yeteneği, fidye yazılımı ekosistemindeki tehdit aktörlerinin dirençli dinamik doğasını gösteriyor” dedi ve fidye ödemelerinde %46’lık bir düşüşe dikkat çekti. 2023’te.
Bu durum Veeam’in sahibi olduğu Coveware’in bulgularıyla da doğrulanıyor; bu bulgular, ödeme yapmayı seçen kurbanların oranının 2024’ün ilk çeyreğinde %28 gibi yeni bir rekor düşük seviyeye ulaştığını gösteriyor. Söz konusu dönemdeki ortalama fidye ödemesi, bir önceki çeyreğe göre %32 düşüşle 381.980 $ olarak gerçekleşti. 2023’ün 4. çeyreği.
Geçtiğimiz ayın sonlarında yayınlanan ve dünya çapında 5.000 kuruluşun araştırıldığı Sophos Fidye Yazılımı Durumu 2024 raporuna göre, önemli sayıda kurban talep edilen ilk tutarı ödemeyi reddetti.
Şirket, “Kurumu fidyeyi ödeyen 1.097 katılımcı, ödenen gerçek tutarı paylaştı; bu da ortalama (medyan) ödemenin geçen yıl 5 kat artarak 400.000 dolardan 2 milyon dolara çıktığını ortaya koyuyor” dedi.
“Fidye ödeme oranı artarken, ankete katılanların yalnızca %24’ü ödemelerinin orijinal taleple eşleştiğini söylüyor. %44’ü orijinal talepten daha az öderken, %31’i daha fazla ödedi.”