Yeni Brain Cipher fidye yazılımı operasyonu, dünya çapındaki kuruluşları hedef almaya başladı ve yakın zamanda Endonezya’nın geçici Ulusal Veri Merkezi’ne yapılan saldırıyla medyanın dikkatini çekti.
Endonezya, hükümetin çevrimiçi hizmetler ve veri barındırma için kullandığı sunucuları güvenli bir şekilde depolamak için Ulusal Veri Merkezleri kuruyor.
20 Haziran’da, geçici Ulusal Veri Merkezlerinden biri, hükümetin sunucularını şifreleyen ve göçmenlik hizmetlerini, pasaport kontrolünü, etkinlik izinlerinin verilmesini ve diğer çevrimiçi hizmetleri kesintiye uğratan bir siber saldırıya uğradı.
Hükümet, saldırının arkasında yeni bir fidye yazılımı operasyonu olan Brain Cipher’ın olduğunu doğruladı ve 200’den fazla devlet kurumunu aksattı.
Brain Cipher, çalındığı iddia edilen verilerin sızdırılmaması ve şifre çözücü almak için 8 milyon dolar değerinde Monero kripto para birimi talep etti.
BleepingComputer’ın edindiği bilgiye göre, tehdit aktörleri müzakere sohbetinde, saldırıdaki “kişisel veri koruma kalitesi” hakkında bir “basın açıklaması” yayınlayacaklarını ve muhtemelen verilerin çalındığına işaret ettiğini belirttiler.
Brain Cipher kimdir?
Brain Cipher, bu ayın başlarında başlatılan ve dünya çapındaki kuruluşlara saldırılar düzenleyen yeni bir fidye yazılımı operasyonudur.
Fidye yazılımı çetesi başlangıçta bir veri sızıntısı sitesi olmadan faaliyete geçmiş olsa da, en son fidye notları artık bir siteye bağlanıyor; bu da verilerin hâlâ saldırı altında olduğunu ve çifte gasp planlarında kullanılacağını gösteriyor.
BleepingComputer, son iki hafta içinde çeşitli kötü amaçlı yazılım paylaşım sitelerine yüklenen Brain Cipher fidye yazılımının çok sayıda örneğinin farkındadır.
Bu örnekler [1, 2, 3] diğer tehdit aktörlerinin kendi fidye yazılımı operasyonlarını başlatmak için yoğun şekilde suistimal ettiği, sızdırılan LockBit 3.0 oluşturucusu kullanılarak oluşturuldu.
Ancak Brain Cipher, şifreleyicide bazı küçük değişiklikler yaptı.
Bu değişikliklerden biri, şifrelenmiş dosyaya yalnızca bir uzantı eklemekle kalmayıp aynı zamanda aşağıda gösterildiği gibi dosya adını da şifrelemesidir.
Kaynak: BleepingComputer
Şifreleyici aynı zamanda şu biçimde adlandırılan fidye notları da oluşturacaktır: [extension].README.txt, aşağıda gösterildiği gibi. Bu fidye notları, ne olduğunu kısaca açıklar, tehditler oluşturur ve Tor müzakere ve veri sızıntısı sitelerine bağlantı verir.
Kaynak: BleepingComputer
BleepingComputer tarafından görülen bir notta, tehdit aktörü şablonda biraz sapma yaparak ‘Dosyalarınızı Nasıl Geri Yüklersiniz.txt’ dosya adını kullandı.
Kaynak: BleepingComputer
Her kurbanın, tehdit aktörünün Tor müzakere sitesine girilen benzersiz bir şifreleme kimliği vardır. Son zamanlardaki diğer birçok fidye yazılımı operasyonu gibi, müzakere sitesi de oldukça basit; sadece kurbanın fidye yazılımı çetesiyle iletişim kurmak için kullanabileceği bir sohbet sistemi içeriyor.
Kaynak: BleepingComputer
Yeni veri sızıntısı sitesi başlatıldı
Diğer fidye yazılımı operasyonları gibi, Brain Cipher bir kurumsal ağı ihlal edecek ve diğer cihazlara yatay olarak yayılacaktır. Tehdit aktörleri Windows etki alanı yönetici kimlik bilgilerini elde ettiğinde, fidye yazılımını ağ boyunca dağıtırlar.
Ancak tehdit aktörleri, dosyaları şifrelemeden önce gasp girişimlerinde avantaj sağlamak için kurumsal verileri çalacak ve kurbanları, fidye ödenmediği takdirde verilerin kamuya açıklanacağı konusunda uyaracak.
Brain Cipher da farklı değil ve yakın zamanda herhangi bir kurbanı listelemeyen yeni bir veri sızıntısı sitesi başlattı.
Kaynak: BleepingComputer
BleepingComputer’ın gördüğü görüşmelerde, fidye yazılımı çetesinin 20.000 ila 8 milyon dolar arasında değişen fidye talep ettiği görüldü.
Şifreleyici, sızdırılan LockBit 3 şifreleyiciyi temel aldığından, geçmişte kapsamlı bir şekilde analiz edilmiştir ve Brain Cipher, şifreleme algoritmasında ince ayar yapmadığı sürece, dosyaları ücretsiz olarak kurtarmanın bilinen bir yolu yoktur.