Yazma sırasında, Cl0p Ransomware Gang’ın clearweb etki alanı çevrimdışıydı; ancak çetenin açık ağa girişi, kurbanlarına yönelik yaklaşmakta olan siber güvenlik tehditlerini ortaya çıkarır.
Cl0p fidye yazılımı çetesi, MOVEit güvenlik açığını diğerlerinden daha kapsamlı bir şekilde kullanan siber suç örgütleri arasındadır. Fidye yazılımı çetesi durumu daha da kötüleştirmek için şimdi clearweb etki alanındaki MOVEit güvenlik açığı aracılığıyla çaldığı verileri sızdırıyor.
Güvenlik araştırmacısı Dominic Alvieri’ye göre Cl0p fidye yazılımı çetesi, MOVEit Transfer platformundan çaldıkları verileri Mayıs ayında halka açık web sitesinde sızdırıyor. Ekip, güvenli dosya aktarım platformundaki sıfır günlük bir güvenlik açığından yararlandı ve dünya çapında yüzlerce işletmeyi ve devlet kurumunu ciddi şekilde etkileyen bir veri ihlaline yol açtı.
Cl0p, belirli aranabilir öğeleri seçmek yerine verileri büyük indirilebilir dosyalar olarak boşalttı ve önceki birçok veri sızıntısında olduğu gibi siteyi Tor ağında barındırmadı.
Clearweb ve Dark Web arasındaki fark nedir?
Yüzey Web veya Görünür Web olarak da bilinen Clearweb, internetin Google gibi arama motorları tarafından kolayca erişilebilen ve dizine eklenen bölümünü ifade eder. Herhangi bir özel yapılandırma gerektirmeden standart web tarayıcıları üzerinden erişilebilen web sitelerini ve web sayfalarını içerir.
Öte yandan, Dark Web, internetin kasıtlı olarak gizlenen ve geleneksel arama motorları tarafından dizine eklenmeyen bir bölümüdür. Dark Web’e erişim, anonimlik ve şifreleme sağlayan Tor tarayıcı gibi özel bir yazılım gerektirir.
Bu anonimlik, kullanıcıların “.onion” etki alanlarını kullanan gizli web sitelerine erişmesine olanak tanır. Dark Web genellikle yasa dışı faaliyetler, yasa dışı pazar yerleri ve kullanıcıların kimliklerini açıklamadan iletişim kurabilecekleri anonim forumlarla ilişkilendirilir.
Cl0p’nin yakın zamanda bu taktiği, çetenin çalıntı verileri sızdırmak için yüzey web’de barındırılan Clearnet web siteleri oluşturduğu kurbanlarına şantaj yapmak için geliştirdiğini belirtmekte fayda var. Bu taktiği ilk olarak, dört yayılmış ZIP arşivine yüklenen PWC iş danışmanlığı firmasından çalınan verileri sızdırmak için denediler. Daha sonra Cl0p, TD Ameritrade, Aon, Kirkland ve Ernest & Young’dan veri sızdırmak için aynı taktiği kullandı.
Belki de Cl0p fidye yazılımı çetesi, bunun kurbanları gasp etmek için daha etkili bir yöntem olduğuna inanıyor (bu tür web siteleri hızla kaldırılsa da). Tor tarafından barındırılan karanlık ağ platformlarında sızdırılan veriler, sınırlı erişimleri göz önüne alındığında çekiciliğini yitirdi.
Tor anonimlik sunsa da, tüm kullanıcılar özel bir tarayıcı olmadan sitelere erişemezken, yüzey web’de web sitesi bağlantısına sahip olan herkes çalınan verileri indirebilir.
Diğer bir neden de, arama motorlarının darknet içeriğini dizine eklememesidir, bu nedenle indirme hızı genellikle oldukça yavaşken, Clearweb’de site dizine eklenir ve indirme işlemi daha hızlıdır. Bununla birlikte, bu taktik, mağdurlar her yönden tacize ve çevrimiçi dolandırıcılığa karşı savunmasız hale geldiğinden, onlar için daha zararlıdır.
Cl0p, şu anda yüksek profilli firmaları başarıyla hedef alan ve milyonlarca doları fidye olarak alan en kötü şöhretli bilgisayar korsanlığı çeteleri arasında yer alıyor. Coveware’in son raporuna göre çete, en son MOVEit saldırılarından 75-100 milyon dolar kazandı. Coveware CEO’su Bill Siegel, Cl0p kurbanlarının yalnızca bir avuç kadarının genellikle taleplerine boyun eğdiğini belirtti.
Bu nedenle, bilgisayar korsanları farklı gasp stratejileri kullanıyor. Siegel ayrıca MOVEit saldırılarının, bilgisayar korsanlarının 130 kurbana girebildiği ve istenen fidyeyi de alamadığı GoAnywhere veri hırsızlığından çok daha başarılı olduğunu kanıtladı.
Beklendiği gibi, Cl0p fidye yazılımı çetesi tarafından oluşturulan tüm Clearweb şantaj siteleri çevrimdışı duruma getirildi ve bu yöntemin kısa ömürlü olduğunu kanıtladı. Güvenlik araştırmacıları, Cl0p’nin en son sitesinin, kurbanlarına daha derin bir baskı uygulamak için bu yöntemi tanıtan rakip ALPHV fidye yazılımı çetesi, namı diğer BlackCat tarafından kullanılan yaklaşımda görülen karmaşıklıktan yoksun olduğunun altını çizdi.
İLGİLİ MAKALELER
- Sahte Windows Güncellemelerinde Big Head Fidye Yazılımı Bulundu
- LockBit Fidye Yazılımı, Saldırı Spektrumunu Mac Cihazlarına Genişletiyor
- Genesis Market’in Clearnet etki alanı ele geçirildi; Dark Web sitesi hala çevrimiçi