CYFIRMA Araştırma ekibi tarafından iş ve devlet otoritesi veritabanlarının satışıyla uğraşan ve “ARES” olarak bilinen bir tehdit grubu tespit edildi.
“Ares” terimi daha önce bilgisayar korsanları tarafından bilgisayarlara girmek ve hassas verileri çalmak için kullanılan kötü şöhretli Trojan kötü amaçlı yazılımı “Ares Rootkit” için kullanılıyordu.
Diğer tehdit aktörleriyle aktif olarak ittifaklar arayarak ve saygın bilgisayar korsanı grupları ve fidye yazılımı operatörleriyle bağlantı iddia ederek, soruşturma ARES’in “kartel benzeri davranış” ile uyumlu davranışlar sergilediğini gösteriyor.
Siber suç grupları bu ilişkiyi kabul etti. 2021’in sonlarında, bu aktör Telegram çıkışını yaptı; o zamandan beri RansomHouse fidye yazılımı operasyonu, KelvinSecurity veri sızıntısı platformu ve Adrastea ağ erişim grubu ile bağlantılı.
ARES Group, veritabanı sızıntıları ve artık feshedilmiş olan Breached forumunun bıraktığı boşluğu kapatabilecek bir forum da dahil olmak üzere web sitesini çalıştırıyor.
ARES Grubu Faaliyetlerine Genel Bir Bakış
Amerika Birleşik Devletleri, Fransa, İspanya, Avustralya ve İtalya da dahil olmak üzere 65 ülkeden veri sızıntılarına, normal web’de barındırılan ARES Leaks platformunda erişilebilir.
Web sitesi, forex verileri, devlet sızıntıları, pasaportlar, telefon numaraları, e-posta adresleri, müşteri detayları, B2B, SSN ve iş veritabanları dahil olmak üzere çok çeşitli bilgileri içeren sızıntıları barındırıyor.
Grup, sağlanan verilere erişmek veya dağıtılmış hizmet reddi (DDoS) saldırıları, sızma testi, güvenlik açığından yararlanma ve kötü amaçlı yazılım geliştirme dahil olmak üzere hizmetlerden birini satın almak isteyen üyelerden kripto para birimi ödemelerini kabul eder.
Özellikle, Breached’ın kapatılmasının ardından, ARES Leaks üzerindeki aktivite arttı. Sonuç olarak ARES, 2022’nin sonunda Suriye’de çalışmak üzere kripto para biriminde ödeme sunan kötü amaçlı yazılım geliştiricileri ve uzman pen-testçileri aramaya karar verdi.
ARES’in VIP ve özel kanallar işlettiği ve tanınmış şirketlerden daha değerli veri sızıntıları sattığı bildiriliyor. Buna ek olarak, Cyfirma araştırmacıları, ARES’in son zamanlarda veritabanlarına askeri erişim elde etmeye çalıştığını ve ilgisini siber suç platformlarındaki reklamlarla aktif olarak pazarladığını söylüyor.
ARES tehdit grubu tarafından desteklenen başka bir girişim olan LeakBase, 2023’ün başlarında yayına girdi. Agresif tanıtım ve Breached Hacker Forum’un kapılarını kapatması nedeniyle birkaç kullanıcı kaydoldu.
Ücretsiz veritabanları, sızıntıların, olası satışların, istismarların ve hizmetlerin satıldığı bir pazar yeri ve güveni artırmak için bir emanet ödeme sistemi sunar.
Ayrıca, forumun bölümleri programlama, bilgisayar korsanlığı tavsiyesi, öğreticiler, sosyal mühendislik, sızma testi, kriptografi, anonimlik ve opsec tartışmalarına ayrılmıştır.
Son düşünceler
CYFIRMA araştırmacıları, “Grup iyi organize olmuş ve operasyonlarını sürdürmek için benzer düşüncelere sahip siber suçlular arasındaki işbirliğinin değerini biliyor.”
“Grubun, kendisini güvenilir bir veri sızıntısı sitesi olarak kurmak ve veri ve ilgili hizmetlerin alıcıları ve satıcıları için bir siber suç ekosistemi oluşturmak gibi net hedefleri var gibi görünüyor.”
ARES Leaks operasyonları, genel olarak işletmelerin siber güvenliği için önemli bir tehlike oluşturmaktadır. Bu gruptan gelebilecek olası saldırılara karşı savunma yapmak ve yeni siber suç ekosistemlerine karşı tetikte olmak için kuruluşlar kapsamlı güvenlik önlemleri almalıdır.
Kuruluşlar neden Birleşik uç nokta yönetimine ihtiyaç duyar? –
İndirmek Ücretsiz E-kitaplar ve Teknik İncelemeler
İlgili Okuma: