Resim: Yolculuğun ortasında
BlackCat (ALPHV) fidye yazılımı çetesi artık hedeflerin Azure bulut depolama alanını şifrelemek için çalıntı Microsoft hesaplarını ve yakın zamanda tespit edilen Sphynx şifreleyiciyi kullanıyor.
Sophos X-Ops olay müdahale ekipleri yakın zamanda meydana gelen bir ihlali araştırırken, saldırganların özel kimlik bilgilerinin kullanılmasına yönelik ek destek içeren yeni bir Sphynx varyantı kullandığını keşfetti.
Çalınan Tek Kullanımlık Şifreyi (OTP) kullanarak Sophos Central hesabına erişim sağladıktan sonra, Müdahale Korumasını devre dışı bıraktılar ve güvenlik politikalarını değiştirdiler. Bu eylemler, LastPass Chrome uzantısını kullanarak kurbanın LastPass kasasından OTP’nin çalınmasından sonra mümkün oldu.
Daha sonra Sophos müşterisinin sistemlerini ve uzak Azure bulut depolama alanını şifrelediler ve .zk09cvt uzantısını tüm kilitli dosyalara eklediler. Toplamda fidye yazılımı operatörleri 39 Azure Depolama hesabını başarıyla şifreleyebildi.
Hedeflenen depolama hesaplarına erişmelerini sağlayan çalıntı bir Azure anahtarını kullanarak kurbanın Azure portalına sızdılar. Saldırıda kullanılan anahtarlar, Base64 kullanılarak kodlandıktan sonra fidye yazılımı ikili dosyasına enjekte edildi.
Saldırganlar ayrıca izinsiz giriş sırasında AnyDesk, Splashtop ve Atera gibi birden fazla Uzaktan İzleme ve Yönetim (RMM) aracını da kullandı.
Sophos, Sphynx varyantını Mart 2023’te, Mayıs ayında yayınlanan bir IBM-Xforce raporunda açıklanan başka bir saldırıyla benzerlikleri paylaşan bir veri ihlaline ilişkin soruşturma sırasında keşfetti (her iki durumda da çalınan verileri çıkarmak için ExMatter aracı kullanıldı).
Microsoft ayrıca geçen ay yeni Sphynx şifreleyicinin, güvenliği ihlal edilmiş ağlar arasında yanal hareket için Remcom hackleme aracını ve Impacket ağ oluşturma çerçevesini yerleştirdiğini keşfetti.
Kasım 2021’de ortaya çıkan bir fidye yazılımı operasyonu olan BlackCat/ALPHV’nin, DarkSide/BlackMatter’ın yeniden markalanmış hali olduğundan şüpheleniliyor.
Başlangıçta DarkSide olarak bilinen bu grup, Colonial Pipeline’ı ihlal ettikten sonra küresel ilgi topladı ve uluslararası kolluk kuvvetlerinin derhal incelemesine maruz kaldı.
Temmuz 2021’de BlackMatter olarak yeniden markalanmış olsalar da, yetkililerin sunucularına el koyması ve güvenlik firması Emsisoft’un fidye yazılımındaki bir güvenlik açığından yararlanan bir şifre çözme aracı geliştirmesi üzerine operasyonlar Kasım ayında aniden durduruldu.
Bu çete sürekli olarak küresel ölçekte işletmeleri hedef alan, taktiklerini sürekli olarak uyarlayıp geliştiren en gelişmiş ve yüksek profilli fidye yazılımı örgütlerinden biri olarak tanınıyor.
Örneğin, geçen yaz yeni bir gasp yaklaşımıyla fidye yazılımı çetesi, belirli bir kurbanın çalınan verilerini sızdırmak için özel bir açık web sitesi kullandı ve kurbanın müşterilerine ve çalışanlarına, verilerinin açığa çıkıp çıkmadığını belirleme olanağı sağladı.
Daha yakın bir zamanda BlackCat, Temmuz ayında çalınan verilerin dağıtımını kolaylaştırmak için tasarlanmış bir veri sızıntısı API’sini kullanıma sundu.
Bu hafta, çeteye bağlı çetelerden biri (Scattered Spider olarak takip ediliyor) MGM Resorts’a yapılan saldırıyı üstlendi ve şirketin dahili altyapısını çökertip fidye ödemesi için pazarlık yapmayı reddetmesinin ardından 100’den fazla ESXi hipervizörünü şifrelediklerini söyledi.
Geçen Nisan ayında FBI, Kasım 2021 ile Mart 2022 arasında dünya çapında 60’tan fazla kuruluşa yönelik başarılı ihlallerin arkasında grubun olduğunu vurgulayan bir uyarı yayınladı.