Rusça fidye yazılımı sahnesi o kadar da büyük değil. Bireysel operasyonlar için bir dizi takma isme rağmen, yeni analiz bu grupların üyelerinin yakın koordinasyon içinde çalıştığını, taktikleri, botnet’leri ve kötü amaçlı yazılımları kendi aralarında ve Rus devletiyle paylaştıklarını gösteriyor. Ve şimdi yeni bir güçlü fidye yazılımı grubu markası ortaya çıktı: BlackBasta.
Conti’nin operasyonlarının kolluk kuvvetleri tarafından 2022’de olağanüstü şekilde durdurulmasından bu yana, Rusça fidye yazılımı ortamı biraz değişime uğradı. Bu grupların fidye yazılımlarını sağlamak için uzun süredir güvendiği Qakbot botnet’lerinin Ağustos 2023’te kaldırılması, olağan iş operasyonlarını daha da kötüleştirdi. “Ördek Avı Operasyonu” adı verilen kolluk kuvvetleri eylemi Qakbot kötü amaçlı yazılımını kaldırdı 700.000’den fazla virüslü makineden. Qakbot botnet’i kaldırma başarısı kısa ömürlü olacaktı. Analistler, sadece birkaç ay sonra siber saldırılarda bunun yeniden ortaya çıktığını görmeye başladı.
Öyle olsa bile, Ocak ayına gelindiğinde BlackBasta çoktan dönüş yaptı ve rakip bir cihaz kullanılarak gözlemlendi. Pikabot adlı botnet aracı, ortaya çıkan yeni bir tehdit grubu olan Water Curupira ile birlikte benzer şekilde Pikabot BlackBasta fidye yazılımını bırakacak.
Oradan BlackBasta çeşitlendi kimlik avı, dilek, Ve sosyal mühendislikbirlikte Hedef ağlara giriş satın alma ilk erişim aracılarından. Ancak geçen ağustos ayına gelindiğinde fidye yazılımı grubu kendi yazılımını kullanıyordu. özel geliştirilmiş kötü amaçlı yazılımKurban ağlarını haritalamak ve en değerli verileri tespit etmek için kullanılan Cogscan ve fidye yazılımını yürütmek için kullanılan Knotrock adlı .NET tabanlı bir yardımcı program.
Fidye Yazılımlarına Karşı Kanun Yaptırımlarının Yayından Kaldırılması İşe Yarar mı?
RedSense siber güvenlik analisti Yelisey Bohuslavskiy yeni bir raporda, BlackBasta taktiklerinin evrimi, Grubun geniş çaplı kolluk kuvvetlerinin ardından uyum sağlama zorunluluğunun, onu Rusça fidye yazılımı alanında lider haline getirdiği sonucuna varıldı. Aslında Bohuslavskiy, grubun Rus devletinin önemli bir ortağı haline gelebilecek konumda olmasından endişe ediyor. Raporda, bu yıl sağlık sektörüne yönelik cezalandırıcı siber saldırılar örneğini ve gelecekle ilgili potansiyel kasvetli bir bakışı kullandı.
“Sağlık hizmetlerine yönelik 2024’teki yüksek profilli saldırıların anormalliği göz önüne alındığında, BlackBasta ile BlackBasta arasındaki potansiyel bağlantı konusunda endişeliyim” [Russian nation-state threat actor] Soylu [Midnight Blizzard] Bohuslavskiy, Dark Reading’e şöyle konuştu: “Bu noktada bağlantı çoğunlukla MS Teams kullanımı ve diğer bazı TTP’lerden oluşuyor ve gelecekte Rus fidye yazılımı gruplarının Rusya ile doğrudan işbirliği geliştirip geliştirmeyeceği doğrulanamıyor. Rusya devleti açısından bu, tehdit ortamının somut bir şekilde bozulmasına yol açacaktır.”
BlackBasta ve onun yörüngesindeki bilgisayar korsanlarının önümüzdeki aylarda saldırılarında, yani kimlik bilgilerini tehlikeye atmaya yönelik sosyal mühendislik girişimlerinde giderek daha karmaşık hale geleceğini tahmin ediyor.
Bohuslavskiy, “Kimlik bilgilerine odaklanarak farklı sosyal mühendisliği uç noktalara karşı savunmaya hazırlanmanızı tavsiye ederim” diye ekliyor. “Cisco, Fortinet ve Citrix kimlik bilgileri kesinlikle BlackBasta’nın ana odak noktasıdır. Ayrıca GitHub depolarına ve bir işletmenin sahip olabileceği diğer açık depolara da bakardım çünkü bu aktörlerin onları aradığını görüyoruz.”
Bu siber savunucular için iyi bir haber. Bohuslavskiy, sosyal mühendisliğin fidye yazılımını yaymanın botnet patlamasına kıyasla çok daha az etkili bir yol olduğunu ekliyor.
“Bence en önemli şey kolluk kuvvetlerinin işe yaramasıdır” diyor. “Geçiş, BlackBasta gibi gelenekçiler için bile botnet’lerden sosyal mühendisliğe doğru yavaş ama istikrarlı bir hareketi gösteriyor. Ve sosyal mühendislik, yayılma açısından elbette botnet’lerden daha geridedir.”
Bohuslavskiy, Conti grubunun, sosyal mühendislik siber saldırıları yürüten insanlarla dolu çağrı merkezleriyle büyük bir deneye giriştiğine dikkat çekerek, bunun bir başarısızlıkla sonuçlandığını ekledi.
“Trickbot, Emotet ve Qbot, Rusça konuşulan alanın tamamı için fidye yazılımı dağıtımının nihai kaynaklarıydı ve şu ana kadar hepsi kolluk kuvvetlerinin müdahalesi nedeniyle devre dışı kaldı” diyor. “O günden bu yana yerine başka bir şey gelmedi. Ancak şunu bilmeliyiz ki grupların liderleri de bunu anlıyor ve bu nedenle yeni botnet’ler geliştirme konusunda daha fazla çaba gösterecekler. Bu nedenle BlackBasta’nın sosyal mühendislikle ilgili oyunlarının başarılı olacağını tahmin ediyorum. kısa ömürlü.”
Rusça Fidye Yazılımı Koordinasyonu
Cypfer’in COO’su ve ortağı olan uzman fidye yazılımı müzakerecisi Ed Dubrovsky, bunun bu kadar basit olduğundan emin değil. Tecrübesine göre, Rusya’daki bu RaaS operasyonlarının, karmaşık bir organizasyon yapısına sahip, bireysel bilgisayar korsanlarından oluşan oldukça merkezi olmayan gruplar olduğunu açıklıyor. Gruplar ve Rus devleti arasındaki işbirliğinin tahsis edilmesi, daha önce görmediği düzeyde bir operasyonel koordinasyona işaret ediyor.
Ona göre, bir grup kolluk kuvvetleri tarafından devre dışı bırakıldığında, bireysel yetenek kolaylıkla başka bir markaya akıyor.
Dubrovsky, “Bunları, yazılım ve altyapı çözümleri ile bazı bitişik hizmetleri sunan bir şemsiye yapıdan başka bir şey olmayan BlackBasta gibi adlandırılmış bir grup halinde bir araya getirme eğilimindeyiz” diyor. “Saldırıları gerçekleştirmek için tamamen bağlı kuruluşlara, yani franchise sahiplerine bağımlılar. Dolayısıyla ulus devlet aktörleri ile fidye yazılımı ‘markası’ veya ‘franchise’ arasında işbirliği olduğunu iddia etmek, neredeyse McDonald’s’ın devlet aktörleriyle çalıştığını söylemekle eşdeğerdir. Çünkü Rusya’da bir McDonald’s’ları var.”
Bireylerin, herhangi bir belirli gruba bağlılık ya da kanun yaptırımlarından belirli bir korkudan ziyade, yalnızca yatırım getirisi nedeniyle fidye yazılımı ticari sırlarını karıştırdığını öne sürüyor.
Menlo Security’nin siber uzmanı Ngoc Bui, RaaS operasyonları etrafında dolaşan bilgisayar korsanları söz konusu olduğunda “Rusça konuşmanın” mutlaka “Rus tehdit aktörleri” anlamına gelmediğini belirtmek de önemli, diyor.
“Birçok Dark Web forumu ve yasa dışı topluluk ağırlıklı olarak Rus dilini kullanıyor ancak bu, tüm katılımcıların Rus olduğu anlamına gelmiyor” diye açıklıyor. “Artan koordinasyonla ilgili tahminleri yorumlarken bu ayrım kritik öneme sahiptir.”
Bu rakipler arasında bir “altın kural” olduğunu ekliyor.
“Operasyonlar Rusya’yı veya müttefiklerini hedef almadığı sürece genellikle gözden kaçırılıyor” diyor. “Bu hoşgörü, doğrudan devlet koordinasyonu söz konusu olsun veya olmasın, Rusya’yı siber suçluların faaliyet göstermesi için çekici bir ortam haline getirebilir.”
Dubrovsky, çeşitli markalara belirli taktikler atamanın ötesinde, siber güvenlik ekiplerini, sistemlerini giderek daha iyi finanse edilen ve iyi eğitilen Rusça konuşan fidye yazılımı saldırganlarından korumaya odaklanmaya çağırıyor. Tehdit manzarasının tamamı 2013’ten bu yana patlama yaşıyor ve Bohuslavskiy’nin öngördüğü “daha da kötüleşmenin” açık bir veri olduğunu düşünüyor.
“Eldeki kaynaklar sayesinde bunun daha da hızlanacağını söyleyebilir miyiz? [threat actors] ve kesinlikle ulus devletler? Kesinlikle,” diye ekliyor Dubrovsky. “Gözlemlenen TTP’ler nedeniyle doğrudan ilişkilendirilebilir mi/olabilir mi? Bunun nihai olacağından emin değilim. Asıl soru, daha fazla etki yaratacak kaynak ve yeteneklere sahip tehdit aktörlerine karşı nasıl savunma yapacağımızdır.”