Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Geliştiriciler Yeni Fidye Yazılımı Kötü Amaçlı Yazılım Hazırlıyor Gibi Görünüyor
Akşaya Asokan (asokan_akshaya) •
24 Ağustos 2023
Güvenlik araştırmacıları, bilgisayar korsanlarının Scarab fidye yazılımını dağıtmak için ilk kez 2020’de ortaya çıkan ve görünüşe göre Türkçe konuşanlar tarafından geliştirilen araç setini kullandığını söylüyor.
Ayrıca bakınız: İsteğe Bağlı Web Semineri | Üçüncü Taraf Riski, ChatGPT ve Deepfakes: Günümüzün Tehditlerine Karşı Savunma
Siber güvenlik firması Eset, SpaceColon adı verilen araç setinin üç ana bileşenden oluştuğunu söylüyor: bir indirici, bir yükleyici ve Scarab’ı dağıtmak için kullanılan bir arka kapı. SpaceColon, fidye yazılımı gibi Delphi yazılım dilinde yazılmıştır. Polonyalı siber güvenlik firması araç setini ilk olarak Şubat ayında belgeledi.
Eset, SpaceColon’un arkasındaki tehdit aktörlerini “CosmicBeetle” olarak adlandırıyor. Eset, takeit’in bazı yapılarının “çok sayıda Türkçe dize içerdiğinden Türkçe konuşan bir geliştiriciden şüpheleniyoruz” diye yazıyor.
Telemetri, CosmicBeetle’ın uzak masaüstü protokol örneklerine şifreyi kabaca zorlayarak veya web sunucularını tehlikeye atarak hedefleri tehlikeye attığını öne sürüyor. Eset, tehdit grubunun, ZeroLogon olarak bilinen ve CVE-2020-1472 olarak izlenen 2020 güvenlik açığından yararlandığını yüksek güvenle değerlendiriyor; bu, CosmicBeetle korsanlarının güvenliği ihlal edilmiş bir sisteme erişim sağladıktan sonra kusuru düzeltmek için çoğu zaman Windows yamaları uyguladığı gerçeğine dayanıyor.
Şirket, CosmicBeetle’ın Fortinet güvenlik cihazı işletim sistemi FortiOS’taki kusurları da kötüye kullanıp kullanmadığından pek emin değil. Araştırmacılar, “kurbanların büyük çoğunluğunun çevrelerinde FortiOS çalıştıran cihazlara sahip olmasına” ve SpaceColon bileşenlerinin kodlarında “Forti” dizesine referans vermesine dayanarak böyle düşündüklerini söylüyorlar. “Ne yazık ki, bu eserlerin yanı sıra bu tür olası güvenlik açığı istismarına ilişkin daha fazla ayrıntıya sahip değiliz.”
Dünyanın dört bir yanına dağılmış olan Kozmik Böcek kurbanlarının bir düzeni yok gibi görünüyor. Eset bunlardan sadece birkaçını sayıyor: Tayland’da bir hastane ve turizm tesisi, İsrailli bir sigorta şirketi, Meksika’da bir okul ve Türkiye’de bir çevre şirketi. Eset, “CosmicBeetle hedeflerini seçmiyor; bunun yerine kritik güvenlik güncellemelerinin eksik olduğu sunucuları buluyor ve bunu kendi avantajına kullanıyor” diye yazdı.
Her SpaceColon kullanıcısı arka kapıyı dağıtmak için indiriciyi ve yükleyiciyi kullanmaz. Bazı durumlarda Impacket adlı açık kaynaklı bir araç setine dava açtılar.
Araç setinin geliştiricileri aynı zamanda Eset’in SCRansom adını verdiği yeni bir fidye yazılımını dağıtmaya hazırlanıyor gibi görünüyor. Bazı örnekler halihazırda Türkiye’den VirusTotal’a yüklendi. Eset, SpaceColon ve yeni fidye yazılımının geliştiricilerinin “koddaki benzer Türkçe dizilere, IPWorks kütüphanesinin kullanımına ve genel GUI benzerliğine dayanarak” aynı kişiler olduğunu söylüyor. Şu ana kadar fidye yazılımı ortalıkta tespit edilmedi.