SentinelOne’ın araştırma kolu SentinelLabs, fidye yazılımının siber casusluk aktörleri tarafından finansal kazanç, kesinti, dikkat dağıtma veya yanlış yönlendirme amacıyla stratejik kullanımına ilişkin şaşırtıcı yeni ayrıntıları ortaya çıkardı. Araştırmacılar öncelikle Çinli bir siber casusluk aktörü olan ChamelGang’ın kamuya açıklanmayan saldırılarına odaklandı.
Raporda ChamelGang’ın Hindistan ve Doğu Asya’daki kritik altyapı sektörlerini hedeflediği vurgulanıyor. ChamelGang, stratejik çıkarlar, bölgesel rekabetler, jeopolitik gerilimler ve teknolojik rekabet gücü tarafından yönlendirilen bölgeleri hedef alan kalıcı bir küresel siber casusluk grubudur.
2023 yılında ChamelGang, bilinen TTP’leri, halka açık araçları ve özel kötü amaçlı yazılım BeaconLoader’ı kullanarak Doğu Asya’daki bir devlet kuruluşunu ve Hindistan yarımadasındaki bir havacılık kuruluşunu hedef aldı.
2022’nin sonlarında ChamelGang’ın CatB fidye yazılımını kullanarak Brezilya Başkanlığı’nı ve Tüm Hindistan Tıp Bilimleri Enstitüsü’nü (AIIMS) hedef aldığından şüpheleniliyordu. Bu saldırılar, atıf bilgisi olmadan fidye yazılımı olayları olarak kamuya açıklandı.
Araştırmacılar, kod çakışmaları ve kötü amaçlı yazılımlardan dolayı CatB fidye yazılımını ve BeaconLoader’ı ChamelGang’a bağladı. Daha ayrıntılı incelemeler, ChamelGang’ın BeaconLoader’ı genellikle TSVIPSrv.dll ve TPWinPrn.dll gibi Windows hizmetleri veya yazılım bileşenleri olarak gizlediğini ve keşif komutlarını, ek araçları yürütmek ve NTDS.dit Active Directory gibi dosyaları sızdırmak için Cobalt Strike’ı bunun üzerinden dağıtabildiğini ortaya çıkardı. Veritabanı, kritik bilgileri saklıyor.
SentinelOne’dan “Hükümet ve sağlık hizmetleri, havacılık ve imalat da dahil olmak üzere kritik altyapı sektörleri, ChamelGang gibi siber casusluk hedefleri, finansal kazanç veya her ikisini birden hedefleyen rakipler için önemli hedeflerdir” dedi. raporyayınlanmadan önce Hackread.com ile paylaşıldı, okuyun.
Araştırmacılar ayrıca uç noktaları şifrelemek ve fidye talep etmek için Jetico BestCrypt ve Microsoft BitLocker kullanan, 2021 başı ile 2023 ortası arasında Kuzey Amerika’daki 37 kuruluşu etkileyen izinsiz girişler keşfetti. İmalat sektörü en çok etkilenen sektör oldu.
İzinsiz girişler, LIFARS tarafından 2020’de ve DCSO tarafından 2022’de rapor edilen ve kar amacı gütmeyen kuruluşları ve finansal kuruluşları hedef alan saldırılara benziyor. TTP’ler ve mağduroloji, 2020 faaliyetlerini APT41 şemsiye, mali amaçlı siber casusluk kampanyalarıyla tanınan şüpheli bir Çinli APT grubu.
BestCrypt kullanarak izinsiz girişler ve BitLocker ve LIFARS davasındakine benzer fidye notlarının TimisoaraHackerTeam ve DeepBlueMagic adlı fidye yazılımı gruplarına atfedildiği belirtiliyor. Bu gruplar, İsrail’deki Hillel Yaffe Tıp Merkezi de dahil olmak üzere sağlık kurumlarına yönelik saldırılarla ilişkilendirildi ve İsrailli yetkililer, saldırının arkasında Çinli bir fidye yazılımı grubunun şüphesini belirtti.
Araştırmacılar, gelişen bu tehditlere karşı koymak için hükümete veya kritik altyapı kuruluşlarına yapılan fidye yazılım saldırılarıyla mücadelede “kolluk kuvvetleri ile istihbarat teşkilatları arasında sürekli bilgi alışverişi ve işbirliğinin” önemini vurguluyor.