Dolandırıcılık Yönetimi ve Siber Suç, Fidye Yazılımı
Defunct Ransomware Group’un Diasporası, Microsoft Teams’e odaklanan bilgisayar korsanlarını içerir
Mathew J. Schwartz (Euroinfosec) •
12 Haziran 2025
Fidye yazılımı gruplarından sızan veriler, saldırganların yeni kurbanları nasıl hedeflediğini, sızdığını ve topladığını vurgulamaya devam ediyor.
Ayrıca bakınız: Ondemand | Modern işletmeler kapsamlı kimlik güvenliği programları gerektirir: Kimlik güvenliğinde liderden en iyi uygulamalar
Son sızıntılar arasında “SupoitWhispers” tarafından “Sustay Whispers” tarafından 200.000 dahili siyah Basta sohbet mesajı ve Lockbit’ten SQL veritabanının 7 Mayıs dökümünü sohbet mesajları, kurbanlar ve bitcoin cüzdan adresleri içeriyor.
Kara Basta sızıntılarının devam eden analizinden toplanan istihbarat temelinde, Reliaquest, tüm kuruluşların şirkete ait cihazlarda kişisel Google hesaplarının kullanımını engellemelerini, kullanıcıları en son e-posta türlerini ve Microsoft ekipleri kimlik avı saldırılarını tespit etmelerini eğitmesini ve saldırganların başarılı bir ekipten sonra kullandıkları Python’un yetkisiz kullanımını izlemelerini önerir.
Bu, kısmen Black Basta’nın liderine, sızdırılan sohbetlerde, istismar siber suç forumu, Sebastianpereiro ve Marmalade_knight’ın iki üyesine, görünüşe göre çalışanlarını kendileriyle bağlantı kurmaya veya yaptıklarını taklit etmeye yönlendirmeye yönlendirdi. Reliaquest, “Sebastianpereiro, bir Microsoft Teams sıfır günüyle ilgili tartışmalarla bağlantılıydı, Marmelade_Knight kaba zorlama araç konfigürasyonları ile ilgili konuşmalara katkıda bulundu.” Dedi.
Bu kullanıcılarla düzenli olarak etkileşime giren diğer iki istismar hesabı, Black Basta’nın ilk erişim ekibinin eski üyeleri gibi görünüyordu. Biri, yardım masalarını taklit etmek konusunda uzmanlaşmıştır ve son zamanlarda ” partner.microsoft.com Diğer forum üyelerinden uzaktan erişimli bir Trojan (sıçan) için hesaplar ve kaynak kodu “ve ayrıca Google hesapları için oturum jetonlarını çalmak için tasarlanmış bir kimlik avı kampanyası yürüttü ve bu da çok faktörlü kimlik doğrulama savunmalarını atlamak ve bu tür hesaplara uzaktan oturum açabilir.
Microsoft Ortağı Hesap E -posta Adresleri arayan saldırganlar – ve daha az ölçüde onmicrosoft.com Adresler – Genellikle, meşru alanları daha güvenilir bir şekilde taklit edebilecek kimlik avı kampanyaları yürütmek için bunu yapın. Reliaquest, “Bu taktik, başarılı ekiplerin son kullanıcılara yönelik saldırıları avlama olasılığını artırıyor.” Dedi.
Diğer istismar kullanıcısı, firmanın araştırmacıları “kötü amaçlı sitelere trafiği artırmak için arama motoru optimizasyonu konusunda uzmanlaşmış” izledi ve saldırganların sistemleri enfekte etmek ve uzaktan kontrol etmek ve verileri yaymak için kullandıkları duman yükleyici Trojan’ın özel bir yapılarını oluşturmak için bir geliştirici arıyordu (bakınız: Ukrayna’daki Rus Smokeloader kampanyası 7-ZIP ZERO-DAY kullanıyor).
Reliaquest, fidye yazılımı gruplarının kurbanları, makul görünümlü yazılım gibi gizlenmiş, bu kötü amaçlı yazılım içeren sitelere göndermek için düzenli olarak SEO zehirlenmesini kullandığını söyledi. “Örneğin, ‘mahkeme davası’ gibi terimler yasal ekipleri hedefleyebilirken, ‘yazıcı sorun giderme’ BT personeline yönelik olabilir ve makinelerini tehlikeye atılmış web sayfalarıyla bulaşır.” Dedi.
Sızan siyah Basta sohbetleri, grubun liderinin Trump/Tramp, GG ve AA gibi takma adlara bağlı Oleg Nefedov adında bir birey olduğunu ortaya koyuyor. Fidye yazılımı bahar tavuğu değildi: “Mesajlar Nefedov’un Revil ve Conti’de aktif bir üye olduğunu ve yüksek rütbeli Rus siyasi figürleri ve FSB ve GRU ajansları tarafından korunduğunu gösteriyor” diyor Barracuda’dan bir rapor.
Black Basta, maaş, ofis alanı, Noel partileri ve fidye yazılımı yöneticileri, saldırı uzmanları ve kripto-kilit yazılımlarını rafine eden geliştiricileri içeren çeşitli işgücü ile aynı çizgiler vardı. Bir zamanlar, grup her ay veri sızdırmazlık alanına 50 yeni ödeme yapmayan kurban yayınladı (bkz:: Sızan sohbet kütükleri Black Basta’nın Ruhun Karanlık Gecesi).
Aylarca düşüşten sonra, Black Basta artık geçersiz görünüyor. Ancak güvenlik uzmanları, fidye yazılımlarında yer alan operatörlerin ve bağlı kuruluşların farklı operasyonlar – veya yalnız çalışma – arasında hareket etmeye devam ettiklerini ve düzenli olarak geniş bir ortak ve eski suç ortakları ekosistemine dokunmaya devam ediyor.
Kara Basta’nın bağlı kuruluşları muhtemelen saat 3 gibi, “Black Basta’nın oyun kitabından sayfa alıyor – özellikle de imza kimlik avı taktikleri” veya kaktüs, Trump’ın Trump’ın Gruba 500.000 ila 600.000 dolarlık bir ödeme yaptıklarını göstererek, yakın bir ilişki olduğunu söyledi.
Ya da son aylarda çok daha fazla kurban iddia edilen başka bir grupla çalışıyor olabilirler, bu da “Eldorado” olarak adlandırılan yakın zamana kadar “Blacklock” olarak yeniden markalaşıyorlar, bu da Black Basta’nın ahlaki olarak iflas eden mirasını sürdürebileceğini öne sürüyor.
Siyah Basta’nın görünür patlamasının gösterdiği gibi, fidye ödemelerini milyonlarca toplayan başarılı suç grupları bile en azından isim olarak sonsuza dek sürmez. Stres nedeniyle yanan bireylerin raporları nadir değildir.
Bu tür gruplardaki ısıyı ortaya çıkarmak kolluk kuvvetleri sadece bu operasyonların değil, daha büyük siber suç topluluğunun da bozulmasına yardımcı oldu.
Bunun kanıtı kısmen, daha önce asla eğlendiremeyecekleri taktiklere başvurmuş gibi görünen fidye yazılımı grupları aracılığıyla geliyor. Buna bir zamanlar uçan kilitbit grubunu içerir. Görünen operasyon başkanı Rusya’da büyük bir durumda kalıyor, ancak geçen yıl Batı kolluk kuvvetleri, grubun altyapısına sızmak, kurbanlar için şifre çözme anahtarları ve bağlı kuruluşlar üzerindeki istihbarat almak ve iddia edilen kilit geliştirici de dahil olmak üzere bazı şüphelileri tutuklamak da dahil olmak üzere operasyonları ciddi şekilde bozmaya devam etti.
Güvenlik uzmanları, Lockbit verilerinin son sızıntısının, daha önce komuta ettiği grubun hack yeteneğine kıyasla mevcut bağlı kuruluşlarının sofistike olmadığını gösterdiğini söylüyor. Seçim veya gözetim eksikliği nedeniyle, yeni iştirakler, Çin’de ve Rusya’da hedeflere vurma gibi daha önce verboten davranışını içeren kendi kurallarına göre oynuyor gibi görünüyor. Lockbit’in liderliği, FBI’ın işi olarak ikincisini gülmeye çalıştı. Bu, Kremlin eksikliklerinin elinde defenestrasyon ile bir tarih oluşturup oluşturmadığı görülüyor (bkz:: Lockbit’in yeni gerçekliği kontrolden çıkmış iştirakler).
Fidye yazılımı grupları için tehlikeler – ve dolayısıyla çaresizlik – montaj gibi görünmektedir. Aynı zamanda, yenilikçi yeni saldırı türlerini iyileştirmeye devam eden bir uzman ağına erişme ve çalışma yetenekleri, bu grupların büyük bir tehdit olduğu anlamına gelir.