HHS HC3’e Göre Her İki Fidye Yazılım Grubu da Sektör İçin Ciddi Endişeler Teşkil Ediyor
Marianne Kolbasuk McGee (SağlıkBilgisi) •
17 Ocak 2023
Grupları “nispeten yeni ama oldukça yetenekli” tehditler olarak nitelendiren ABD hükümeti, sağlık kurumlarının BlackCat ve Royal hizmet olarak fidye yazılımı gruplarının belirtilerine karşı yüksek alarmda olması gerektiği konusunda uyarıyor.
Ayrıca bakınız: İsteğe Bağlı | Kimlik Avı 101: Bir Kimlik Avı Saldırısına Nasıl Düşülmez?
Sağlık ve İnsani Hizmetler Bakanlığı’nın Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi, Perşembe günü verdiği bir tehdit özetinde, BlackCat’in üçlü gasp yaptığı konusunda uyardı; Ödeme yapmazlarsa kurbanlara yönelik hizmet reddi saldırıları. Royal, veri ihlali tehdidiyle desteklenen bir fidye yazılımı ödemesi talep etmenin artık daha geleneksel olan çifte gasp yöntemine ayak uyduruyor.
Her grubun önceki fidye yazılımı gruplarında kökleri vardır. Alphv olarak da bilinen BlackCat’in, bazı eski REvil üyeleriyle bağları olan Darkside ve BlackMatter’ın halefi olduğundan şüpheleniliyor ve Royal’in siber suç grubu Conti Team One’dan eski operatörlere sahip olduğu biliniyor.
BlackCat, sağlık hizmeti sağlayıcılarını hedeflemediğini iddia ediyor, ancak “sigorta şirketlerinin, ilaç şirketlerinin ve diğerlerinin sağlayıcı olmadığı konusunda da açıktılar – bu nedenle, ‘BlackCat sağlık hizmetlerini hedeflemez’ gibi ifadelere izin vermemek önemlidir. Güvenlik firması Rapid7’nin baş yapay zeka araştırmacısı Erick Galinkin, “Bizi kayıtsız bırakıyor” diyor.
Royal, BlackCat’in sağlık hizmeti sağlayıcılarını hedef alma konusunda belirtilen vicdan azabına sahip değil. Galinkin, “Royal, özellikle kötü bir fidye yazılımı türü ve önemli sayıda kaçırma tekniği içeriyor” diyor.
Kara Kedi Tehditleri
BlackCat hizmet olarak fidye yazılımı grubu, 1,5 milyon dolara varan fidye ödemeleri talep etti ve bağlı kuruluşlar, haraç ödemelerinin %80 ila %90’ını elinde tutuyor. Uyarı, “BlackCat araçları, test/kullanım arasında geçiş yaparken sürekli olarak değişiyor ve cephaneliklerini sık sık güncelliyor” diyor.
Güvenlik araştırmacıları ayrıca, etkilenen bazı sistemlerde Cobalt Strike işaretlerini indirmek için bir PowerShell komutu kullanan BlackCat saldırganlarının yanı sıra “Cobalt Strike benzeri uzaktan erişim özelliklerine” sahip pen-test aracı Brute Ratel’i de buldular (bkz.: BlackCat, Arsenal’e Saldırmak İçin Brute Ratel Pentest Aracını Ekliyor).
BlackCat iki şifreleme algoritması (ChaCha20 ve AES) ve Full, HeadOnly, DotPattern, SmartPattern, AdvancedSmartPattern ve Auto dahil olmak üzere altı şifreleme modu kullanır.
Galinkin, BlackCat’in bellek açısından güvenli, çok platformlu bir dil olan Rust’ta yazılan en son fidye yazılımının gruba çok fazla esneklik ve güç sağladığını söylüyor.
Güvenlik şirketi Crowdstrike’ın istihbarattan sorumlu kıdemli başkan yardımcısı Adam Meyers, 2021’in sonlarından beri aktif olan BlackCat hizmet olarak fidye yazılımı ağında geliştirici ve operatör olan Alpha Spider’ın 2022’nin en üretken fidye yazılımı operatörlerinden biri olduğunu söylüyor.
Kraliyet Tehditleri
Royal ayrıca, Aralık ayında, ABD kuruluşlarının başlıca hedef olduğu, dünya çapında artan fidye yazılımı saldırılarına karşı sağlık sektörünü uyaran ayrı bir HHS HC3 güvenlik uyarısına da konu oldu (bkz:: Kraliyet Fidye Yazılımı Sağlık Hizmetleri Hedeflerini Vuruyor ve Verileri Boşaltıyor).
Yeni HHS HC3 uyarısı, Eylül ayında araştırmacıların, Royal’in geliştiricilerinin Zeon adlı kendi şifreleyicilerine geçmeden önce BlackCat’ten biri de dahil olmak üzere diğer grupların şifreleyicilerini kullanmaya başladığını gözlemlediğini söylüyor. HC3, grubun daha sonra şifreleyicisinin adını Royal olarak değiştirdiğini söylüyor. Uyarı, fidye yazılımının bir dosyanın belirli bir zamanda kopyasını sağlayan tüm gölge kopyaları sildiğini söylüyor.
Kraliyet saldırılarında fidye talepleri 250.000 dolardan 2 milyon doların üzerine çıktı. Kraliyet dağıtım yöntemleri arasında normal reklam trafiğiyle uyum sağlamak için bir kampanyada Google Ads kullanılması, meşru görünen yazılım indirme sitelerinde sahte yükleyici dosyaları barındırarak kötü amaçlı indirmelerin gerçekmiş gibi görünmesini sağlama ve kimlik avı bağlantılarını dağıtmak için bir kuruluşun web sitesinde bulunan iletişim formlarını kullanma yer alır.
Royal, fidye yazılımına karşı savunmalardan kaçınmak için benzersiz bir yaklaşım kullanan çok iş parçacıklı bir fidye yazılımıdır. Grup küresel olarak faaliyet göstermektedir.
Galinkin, “İyi haber şu ki, bu tehdit aktörleri genel olarak hala QBot gibi iyi bilinen yükleyicileri kullanıyor ve sebat, komuta ve kontrol için Cobalt Strike gibi arka kapıları kullanıyor” diyor. “Bu, bu tür yaygın teknikleri tespit etmek ve yanal hareketi zorlaştırmak için tasarlanmış sağlam bir derinlemesine savunma stratejisinin, kötü amaçlı yazılımın kendisi ne kadar etkileyici olursa olsun, ağdaki bu aktörlerin operasyonlarını önlemede etkili olacağı anlamına geliyor.” diyor.
Bununla birlikte, “ağ bölümlendirme, çıkış filtreleme ve ayrıcalıkların ayrılması gibi yapmamız gerektiğini bildiğimiz şeyler, mesleğimizin zaman talepleri göz önüne alındığında genellikle yol kenarına düşüyor” diyor. “Ancak bu yapı taşları, taktiklerini geliştirirken bile fidye yazılımı çetelerine karşı en güçlü korumayı sağlıyor.”