Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Fidye Yazılımı Grubu BDT Ülkeleri Dışında Hiçbir Şeyin Sınır Dışı Olduğunu Bildirmedi
David Perera (@daveperera) •
19 Aralık 2023
Güvenlik araştırmacıları Pazartesi günü yaptığı açıklamada, hizmet operasyonunun BlackCat fidye yazılımının sızıntı sitesini FBI’dan “ele geçirmesi”nin, karanlık webin adres çözümlemesini gerçekleştirmesi yoluyla mümkün kılınan bir numara olduğunu söyledi.
Ayrıca bakınız: APT43: Kuzey Koreli Grup Casusluk Operasyonlarını Finanse Etmek İçin Siber Suçları Kullanıyor
ABD yetkilileri, Pazartesi sabahı duyurulan uluslararası kolluk kuvvetleri operasyonu kapsamında BlackCat fidye yazılımının karanlık web altyapısını bir hizmet olarak ele geçirdiğini duyurdu (bkz: FBI, BlackCat Altyapısını Ele Geçirdi; Grubun Yeni Etki Alanı Var).
Rusça konuşan grup yeni bir karanlık ağ sızıntı sitesi kurdu ve önceki sızıntı sitesindeki FBI ele geçirme bildirimini Rusça bir notla değiştirdi. “Bu web sitesine el konulmadı” diye ilan edildi. Notta fidye yazılımı çetesi, daha önce Sovyetler Birliği’nin bir parçası olan ülkelerden kabaca taviz veren, Rusya’nın hakim olduğu bir dernek olan Bağımsız Devletler Topluluğu içindekiler dışında artık hiçbir hedefin sınır dışı olmadığını söyledi.
Makine çevirisine göre site, “Artık hastaneleri, nükleer santralleri, her şeyi, her yerde engelleyebilirsiniz” dedi.
Alphv olarak da bilinen BlackCat, FBI’ın el koyma bildirimi yerine kendi bildirimini koymayı başardı çünkü çete muhtemelen o karanlık web alanıyla ilişkili kamu-özel anahtarının bir kopyasını sakladı. Alan adı çözümlemesi .onion Tor ağı aracılığıyla erişilebilen web siteleri, açık webin hiyerarşik sistemine benzemez.
Allan, “Merkezi bir konum yok, her şey anahtar çiftine kimin sahip olduğuna bağlı ve protokolün çalışma şekli, anahtar çiftine sahip en yeni sunucu hangisi olursa olsun, trafiğin yönlendirileceği sunucudur” dedi. Liska, Recorded Future’da fidye yazılımı uzmanı. “Terimi kullandıkları şekilde ‘ele geçirmediler’.” Emniyet güçlerinin hâlâ orijinal sunucuya sahip olması gerekiyor. FBI daha önce Bilgi Güvenliği Medya Grubu’na, Adalet Bakanlığı’nın basın açıklaması dışında bugünkü olaylarla ilgili başka bir yorumu olmadığını söylemişti.
Liska, ISMG’ye (bkz: fidye yazılımı aktörleri, muhtemelen yasa uygulama operasyonuyla ilgili sızıntılar nedeniyle sunucuları ele geçirilmeden önce kamu-özel anahtar çiftini tutabildiler) dedi (bkz: Fidye Yazılımı Grubu Çevrimdışı: Polis Alphv/BlackCat’i Ele Geçirdi mi?).
Emsisoft’ta bir tehdit analisti olan Brett Callow, BlackCat’in yayınlanan notunu, grubun kötü amaçlı yazılımını yayan komisyoncu korsanları olan bağlı kuruluşları yabancılaştırabilecek bir “taktik hata” olarak nitelendirdi. “Eğer Siber Komuta onlara daha önce bakmadıysa, şimdi kesinlikle bakıyorlar ve bu gibi beyanlar onları bir numaralı halk düşmanı haline getiriyor.” Grubun şantaj ödemelerinden aldığı payı %10’a düşürme teklifine rağmen, duyarlı bağlı kuruluşların BlackCat’ten uzaklaşacağını da sözlerine ekledi.
Liska da aynı düşünceyi yineledi ancak çetenin halihazırda tıbbi bakım tesislerini ve kritik altyapı kuruluşlarını hedef aldığını belirtti. “Nasıl daha kötü olabilirler bilmiyorum ama beni şaşırtmaya devam ediyorlar.”
Siber tehdit istihbarat firması Mandiant, BlackCat’in daha önce bağlı kuruluşlara şantaj miktarına bağlı olarak şantaj parasının %80 ila %90’ı arasında değişen bir oran teklif ettiğini söyledi. Firma, bir hizmet grubu olarak başka bir yüksek profilli Rusça konuşan fidye yazılımı olan LockBit’e bağlı aktörlerin, görünüşe göre BlackCat’in bağlı kuruluşlarına başvurarak ve müzakere sürecinde olan kurbanlardan veri yayınlamayı teklif ederek pazar payı kazanmaya çalıştıklarını tespit ettiğini söyledi. Alphv.”
Yayınlanma tarihi itibarıyla FBI, bugün erken saatlerde kapatılan BlackCat sızıntı sitesine ilişkin el koyma bildirimini geri getirdi.