Yamasız veya güncel olmayan güvenlik duvarları ve VPN’ler kullanan BlackCat fidye yazılımı çetesi, cephaneliğine bir sızma testi aracı olan Brute Ratel’i ekledi.
BlackCat çetesi Kasım 2021’de ortaya çıktı ve sıra dışı kodlama dili Rust nedeniyle hızla öne çıktı.
Çete, eski ve yama uygulanmamış sanal özel ağlardan (VPN’ler) ve güvenlik duvarlarından yararlanarak dünya çapında savunmasız ağlara ve sistemlere sızıyor.
Siber güvenlik şirketi Sophos’a göre, BlackCat yakın zamanda saldırılarında güvenlik savunmalarından kaçınmaya yönelik yenilikçi yaklaşımı gösteren daha yeni sömürü sonrası C2 çerçevesi Brute Ratel’e geçti.
“Son zamanlarda BlackCat ve diğer saldırılarda gördüğümüz şey, tehdit aktörlerinin işlerinde çok verimli ve etkili olmaları. Güvenlik açığı bulunan güvenlik duvarlarına ve VPN’lere saldırmak gibi denenmiş ve gerçek yöntemler kullanıyorlar çünkü bunların hala işe yaradığını biliyorlar,” dedi Sophos’tan Christopher Budd.
Aralık 2021’de Sophos Hızlı Müdahale ekibinden BlackCat’i içeren en az beş saldırıyı araştırması istendi. Dört olayda, enfeksiyon farklı güvenlik duvarlarından yararlanılarak meydana geldi. Ağa girdikten sonra, saldırganlar VPN kimlik bilgilerini aldı, yetkili kullanıcılar olarak giriş yaptı ve sistemler arasında yanal olarak hareket etti.
Sophos’a göre BlackCat, hedeflenen sistemlere uzaktan erişim için ek arka kapılar ve alternatif yollar oluşturmak için TeamViewer, nGrok, Cobalt Strike ve Brute Ratel dahil olmak üzere ticari ve açık kaynak araçlarından da yararlandı.
ABD, Avrupa ve Asya’da büyük şirketlerde saldırılar meydana geldi. Hedeflenen şirketler, artık güncellenmeyen sistemler, VPN’ler için çok faktörlü kimlik doğrulama eksikliği ve düz ağlar (her makinenin ağdaki diğer tüm cihazları görebildiği) dahil olmak üzere çetenin çalışmasını basitleştiren belirli çevresel güvenlik açıklarını paylaştı.
“Bütün bu saldırıların ortak özelliği, gerçekleştirmelerinin kolay olmasıdır. Bir örnekte, aynı BlackCat saldırganları, fidye yazılımını başlatmadan bir ay önce kripto madencileri kurdu. Bu son araştırma, yerleşik en iyi güvenlik uygulamalarını izlemenin ne kadar önemli olduğunu vurgulamaktadır; tek bir ağa karşı birden fazla saldırı da dahil olmak üzere saldırıları önlemek ve engellemek için hala çok fazla güce sahipler.”
BlackCat’in son kurbanı
Japon video oyunu yayıncısı Bandai Namco, bir siber saldırıyı doğruladı. Bir güvenlik araştırma grubu VX-Underground’a göre, ALPHV olarak da bilinen BlackCat hack’in arkasındaydı.
Suçlu yeraltı dünyasındaki diğer pek çok kişi gibi, BlackCat da bir hizmet olarak fidye yazılımı (RaaS) işletmesi işletiyor ve suçlulara kötü amaçlı yazılım abonelikleri satıyor.
ALPHV/BlackCat, Rust programlama dilinin kullanımıyla dikkat çekti. Microsoft 365 Defender Tehdit İstihbarat Ekibi tarafından yapılan bir analize göre, ALPHV/BlackCat’i dağıtmaya başlayan tehdit aktörlerinin Conti, LockBit ve REvil gibi diğer önde gelen fidye yazılımı aileleriyle çalıştığı biliniyordu.
FBI, ALPHV/BlackCat karteli için kara para aklayanların Darkside ve Blackmatter fidye yazılımı kartelleriyle bağlantılı olduğuna inanıyor, bu da grubun fidye yazılımı işinde iyi kurulmuş bir operatör ağına sahip olduğunu gösteriyor.
ALPHV/BlackCat son zamanlarda en aktif fidye yazılımı çeteleri arasında yer aldı. Siber güvenlik analisti ANOZR WAY’e göre, grup 2022’deki tüm saldırıların yaklaşık %12’sinden sorumluydu.
Siber güvenlik firması Digital Shadows, grubun etkinliğinin son çeyrekte %117 arttığını kaydetti. Sadece LockBit ve Conti, 2022’nin ikinci çeyreğinde ihlal edilen toplam kurban sayısında grubu geçti.
Yakın zamanda ALPHV/BlackCat fidye yazılımı Pisa Üniversitesi’ne saldırmak için kullanıldı. Tehdit aktörleri, üniversite yönetiminin şifrelenmiş verilerin serbest bırakılması için 4,5 milyon dolar ödemesini talep etti.
Cybernews’den daha fazlası:
Microsoft, Sandbox kaçış hatası için istismarı ortaya çıkardı
Tehdit aktörleri kitle grevini taklit ediyor
İngiltere polisi yüz tanıma kullanarak üç kişiyi tutukladı
Eski CIA korsanı veri sızıntısından hüküm giydi
Bandai Namco siber saldırıyı doğruladı
Abone olmak bültenimize