Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Mikhail Matveev İddianamesi, Polisin En Çok İddia Edilen Fidye Yazılımı İştiraklerini Takip Ettiğini Gösteriyor
Mathew J. Schwartz (euroinfosec) •
30 Mayıs 2023
Fidye yazılımı kullanan kaç bilgisayar korsanı, en azından Gouda’yı seven Hollanda’da olmak üzere, ulusal bir peynir kıtlığına neden olduğunu iyi niyetleri arasında iddia edebilir?
Ayrıca bakınız: Olaya Hazırlık ve Müdahalenin Kritik Doğası
Savcıların bir değil üç tür fidye yazılımı kullanmakla suçladığı Rus uyruklu 31 yaşındaki Mikhail Matveev’e girin.
Bu ay ortaya çıkan iki federal iddianame, Matveev’i – diğer adıyla Wazawaka, m1x, Boriselcin, Uhodiransomwar – LockBit, Babuk ve Hive fidye yazılımı gruplarına bağlı olarak çalışmakla suçluyor. Güvenlik uzmanları, iddianamelerin kayda değer olduğunu çünkü hizmet olarak fidye yazılımı grup şeflerini hedef almadıklarını, bunun yerine kurbanların ağlarına girmekten ve onları zorla almak için fidye yazılımını kullanmaktan doğrudan sorumlu olan bir piyadeyi hedeflediklerini söylüyorlar.
New Jersey ABD Başsavcısı, “Matveev’in bu fidye yazılımı türlerini hastaneler, okullar, kar amacı gütmeyen kuruluşlar ve Washington, DC’deki Metropolitan Polis Departmanı gibi kolluk kuvvetleri dahil olmak üzere çok sayıda kurbanın verilerini fidye için şifrelemek ve rehin tutmak için kullandığı iddia ediliyor” dedi. Philip R. Sellinger, bu ayın başlarında, iddianameler açıklandığında.
Güvenlik uzmanları, Matveev’in aynı zamanda, fidye yazılımı saldırılarına karşı daha bağlı kuruluş odaklı bir yaklaşımı test eden Groove’un ve saldırıya uğramış ağlara uzaktan erişimi diğer suçlulara satan bir erişim komisyoncusunun arkasındaki kilit üyelerden biri olduğunu söylüyor.
Hollanda’da Matveev, şüphesiz Nisan 2021’de Hollanda’da peynir kıtlığına neden olduğu iddiasıyla daha iyi hatırlanıyor. İşte o zaman Babuk, yüzlerce süpermarkete, toptancıya ve perakendeciye soğutulmuş ve soğutulmuş ürünlerle tedarik sağlayan ülkenin en büyük lojistik sağlayıcılarından biri olan Bakker Logistiek’i vurdu. klimalı depolar ve kamyonlar.
Şirket, önemli BT sistemlerinin, muhtemelen saldırganların Microsoft Exchange ProxyLogon güvenlik açıkları aracılığıyla erişim sağlayarak Hollanda tedarik zincirlerinde feci bir kesintiye yol açması ve ülke genelinde peynir tezgahlarını çıplak bırakmasından sonra kripto kilitlendiğini söyledi.
Lojistik firmasının direktörü Toon Verhoeven o sırada Hollandalı kamu yayıncısı NOS’a “Artık müşterilerden sipariş alamıyorduk ve artık ürünlerin depolarımızda nerede olduğunu bilmiyorduk” dedi. “Bunlar çok büyük depolar; sadece palet aramıyorsunuz. Artık nakliyemizi de planlayamıyorduk. Yüzlerce kamyonumuz var – bu da elle yapılmadı.”
Saldırı, ülkenin en büyük süpermarket zinciri Albert Heijn de dahil olmak üzere ülke çapında birçok türde peynir, bisküvi ve diğer gıda ürünlerinin tedarikini geçici olarak kesintiye uğrattı.
Babuk Lorları Örmez
Trellix Gelişmiş Araştırma Merkezi’nde tehdit istihbaratı başkanı ve baş mühendis olan John Fokker, saldırının Babuk’un grup dinamiklerine de herhangi bir faydası olmadı, çünkü arızalı VMware ESXi şifre çözücüsü genellikle şifrelenmiş verileri kurtarılamaz durumda bırakıyordu.
Olay müdahalesini yöneten Hollandalı firma Northwave ve saldırıya karışan fidye yazılımı örneklerini analiz eden Trellix, grubun saldırı araçlarının “zayıf bir şekilde geliştirildiğini” ve “tüm dosyaların kurtarılabileceğinin garantisi olmadığını” belirten ortak bir rapor yayınladı. “Bir saldırıdan sonra.
Fokker, grubun çalışan bir ESXi şifre çözücü oluşturamamasının “dahili bir anlaşmazlığı” tetiklediğini söyledi. “Bunun Babuk’un düşüşünün başlangıcı olduğuna ve Met Polisi saldırısının yanı sıra Matveev’in suç grubundan ayrılmasının nedenlerinden biri olduğuna inanıyoruz.”
Matveev, Recorded Future’da Rusça konuşan bir istihbarat analisti olan Dmitry Smilyanets ile Ağustos 2022’de yaptığı kapsamlı bir röportajda Babuk şifre çözücü arızasını üçüncü taraf bir geliştiriciye yükledi.
Matveev, Smilyanets’e “Sadece disklerin çıktısını sıfıra çevirdi ve en az iki şirketin verilerini yok ettik” dedi. “Şifre çözücü için onlardan para aldık, ancak verilerinin şifresini çözemediler. Esasen onları dolandırdık.”
Matveev, bu kadar etkilenen kurbanlardan birinin, çalışmayan bir şifre çözücü karşılığında kendisine 2 milyon dolar ödeyen Bakker Logistiek olduğunu bildirdi. Firmanın fidyeyi geri talep ettiğini söyledi; parayı sakladı.
Fokker, bu röportajda Matveev’in saldırıyla ilgili çok sayıda doğru ancak kamuya açıklanmayan ayrıntıları ifşa ettiğini söyledi. Smilyanets ile bağlantı kurduktan sonra Northwave ve Trellix, Bakker Logistiek’e yönelik saldırıyı soruşturan polis ekibini Matveev’in görünürde parmağı olduğu konusunda uyardı, dedi.
Babuk başarısız olduktan sonra, 2021 yazında Groove adlı yeni bir fidye yazılımı operasyonu başlatıldı. Groove, fidye yazılımı gruplarının bağlı kuruluşlarının kendilerini kontrol altına almalarının bir yolu olarak reklamını yaptı. Bağlı kuruluşlar, hizmet olarak fidye yazılımı operatörleri tarafından ne yapacaklarının söylenmesi yerine, kurbanları bir araya toplayabilir ve ardından hangi fidye yazılımının bu iş için en iyi olacağına karar verebilir.
Eylül 2021’de Trellix ve tehdit istihbaratı firması Intel 471, Groove ve Matveev’in kontrolü altında kullanılan karanlık web sunucusuna erişim sağladı ve Babuk tarafından çalınan verileri depoladığını buldu. Fokker, verilerin, Washington Büyükşehir Polis Departmanı da dahil olmak üzere ABD iddianamesinde adı geçen çok sayıda kurbanla ilgili olduğunu söyledi.
Groove deneyi bundan kısa bir süre sonra sona erdi ve kurucusu veya kurucuları, yalnızca Batı medyasını “trol etmeye” çalıştıklarını iddia ettiler.
Polis Takip Üyeleri
Matveev’in maskesinin düşürülmesine ve iddia edilen suçlarına rağmen, sanık fidye yazılımı üyesi bu suçlamaları yanıtlamak için bir ABD mahkeme salonuna çıkacak mı? Bu, vatandaşlarını asla iade etmeyen Rusya’dan ayrılıp ayrılmamasına bağlı.
Her şeye rağmen, Matveev’e yönelik iddianameler dikkat çekicidir çünkü Batı yasa uygulamalarının yalnızca büyük fidye yazılımı gruplarının operatörlerine odaklanmadığını, bunların birçoğunun kripto-kilitleme kötü amaçlı yazılımlarını ticarette bağlı kuruluşlar olarak bilinen iş ortaklarına bir ücret karşılığında kiraladığını göstermektedir. Fokker, ödenen her fidyeden pay aldığını söyledi.
“Çok uzun bir süre, herkes yılanın başına veya fidye yazılımı ailesine odaklandı, bu da bağlı kuruluşları gelişebilecekleri ve bilgilerini genişletebilecekleri güvenli bir ortamda bıraktı” dedi. Matveev aleyhindeki iddianameler artık “fidye yazılımına katılmanın sonuçsuz olmadığına dair açık bir uyarı: Tespit edilmeniz, suçlanmanız ve tutuklanmanız için gerçek bir şans var.”