Mart 2023’te Clop (aka Cl0p) fidye yazılımı sızıntı sitesine toplam 91 yeni kurban eklendi; Ağustos 2020 ile Şubat 2023 arasında yayınlanan toplam kurban sayısının %65’inden fazlası fidye yazılımının arkasındaki tehdit grubu olarak izleniyor. Secureworks Karşı Tehdit Birimi (CTU), Gold Tahoe geniş kapsamlı bir saldırı harekatına giriştiğinde.
Clop etkinliğindeki mevcut artış, neredeyse tamamen grubun Fortra GoAnywhere yönetilen dosya aktarım (MFT) aracındaki sıfırıncı gün güvenlik açığından başarıyla yararlanmasına bağlıdır. Önceki raporlar, grubun bu yöntemle 130 kuruluştan verilere eriştiğini ve verileri çaldığını iddia etti, bu da daha fazlasının yayınlanma olasılığının yüksek olduğunu gösteriyor. Şu anda bilinen kurbanlar arasında enerji sektörü devi Hitachi Energy, ilaç devi Proctor & Gamble, güvenlik ve depolama şirketi Rubrik ve Amerikan büyük mağazası Saks Fifth Avenue yer alıyor.
Fortra olayının kurbanlarının çoğu, gelirleri milyarları bulan çok yüksek profilli kuruluşlardır, bu nedenle fidye ayrıntıları özel olmasına rağmen, CTU birçok durumda taleplerin on milyonları bulacağını tahmin etti.
Ancak Secureworks, fidye taleplerinin verilerin algılanan değerinden de etkilenebileceğini kaydetti – örneğin, Saks Fifth Avenue saldırısında, çetenin çaldığı varsayılan müşteri verilerinin dahili sistemleri test etmek için kullanılan sahte müşteri verileri olduğu ortaya çıktı. kuruluşun ödeme yapma olasılığını azaltır.
Secureworks CTU istihbarat direktörü Mike McLellan, maalesef Fortra olayı gibi geniş kapsamlı tedarik zinciri saldırılarının iç karartıcı derecede tanıdık bir modele dönüştüğünü söyledi. “Bir saldırgan için, popüler üçüncü taraf yazılımlarda bir güvenlik açığı bulmak büyük ikramiyeyi vurmak gibi olabilir. Yazılım genellikle ağlarda çalışmak için ayrıcalıklı bir statüye sahiptir, güvenilirdir. Bu yazılımın güvenliği ihlal edildiğinde, bu güven sistemi müşterilerin aleyhine dönüyor” dedi.
“3CX veya Solarwinds’ten farklı olsa da [Sunburst] Saldırganların yazılım oluşturma sürecini tehlikeye atabildiği tedarik zinciri tavizleri, burada gördüğümüz ayrım gözetmeyen istismar faaliyeti, hassas veriler riske atılırsa, bireysel kuruluşlar için aynı derecede zarar verebilir,” diye ekledi McLellan.
Secureworks, Gold Tahoe’nun saldırılarının, geleneksel olarak bir fidye yazılımı saldırısıyla ilişkilendirilebilecek olan şifrelemeye değil, yalnızca veri hırsızlığı ve gaspına odaklandığını söyledi. Aslında, önceki Clop kampanyalarından farklı olarak şu anda bilinen Fortra olayı kurbanlarından herhangi birinin sistemlerini şifrelediğine dair bir kanıt yok.
Gold Tahoe, yalnızca güvenliği ihlal edilmiş GoAnywhere sunucularında depolanan bilgileri çaldığını ve yanal hareket etme ve fidye yazılımını dağıtma yeteneğine sahip olduğunu iddia ederek, çalınan verilerin değerine ilişkin netlik eksikliği de var. soru, neden bunu yapmadı?
McLellan, Gold Tahoe’nin Clop dolabını fiilen konuşlandırmamaya karar vermiş olabileceğini, çünkü Forta sorunu ele almadan önce mümkün olduğu kadar çok kurbanı hedef almaya çalıştığını söyledi. Her kurbanın ‘taç mücevherlerini’ belirlemek için zaman harcamış olsaydı, daha geniş kurban tabanına erişimini kaybetmiş olabilir.
Gold Tahoe kimdir?
Gold Tahoe, on yıldan fazla bir süredir bir şekilde aktif olan, uzun süredir devam eden, mali güdümlü bir siber suç grubudur. Belki de en popüler olanı Evil Corp – muhtemelen TV şovuna atıfta bulunarak kendisini benimsediği birçok başka isim tarafından biliniyor. Bay Robot – Proofpoint’teki tehdit araştırmacıları bunu TA505 olarak bilirken, diğer güvenlik kuruluşlarının farklı tanımlamaları olacaktır.
Rusya merkezli operasyon, daha önce Dridex bankacılık truva atı ve selefi Zeus’un ve diğer birçok kötü amaçlı yazılımın hevesli bir operatörüydü ve Covid-19 salgınının başlangıcında sağlık ve ilaç kuruluşlarını hedef alan ilk gruplardan biriydi. .
Faaliyetleri sırasında 100 milyon dolardan fazla çalan güvenlik çevrelerinde zaten dikkate değer olan çete, 2019’da aralarında lider olduğu iddia edilen Maksim Yakubets ve yardımcısı Igor Turashev’in de bulunduğu çok sayıda üyenin ABD yetkilileri tarafından yaptırıma tabi tutulmasıyla kamuoyunda yaygın bir ün kazandı.
Yakubets, çetenin siber saldırılarından elde ettiği kârı ayrıntılı bir düğüne ve Rusça’da hırsız anlamına gelen gösterişli plakalara sahip özelleştirilmiş bir Lamborghini’ye harcayan müsrif yaşam tarzıyla dikkat çekiyordu. Rusya ile ilişkilerin bozulması, ikisinin de asla adaletle yüzleşmediği anlamına geliyor.
Ancak Secureworks ekibi, mevcut Clop kampanyasına dahil olan tek aktör olmayabilir. Geçen ay yanıt verdiği bir olayda, Clop’un başka bir aktör tarafından kullanıldığını gördü, muhtemelen Altın Niagara (diğer adıyla Carbon Spider veya FIN7) olarak takip ediyor.
Gold Niagara, satış noktası sistemlerine erişmek ve onlardan para çalmak için geçmişte restoranları, perakendecileri ve konaklama kuruluşlarını hedef aldı. Bununla birlikte, 2021’de çetenin unsurlarının DarkSide operasyonuyla ilişkili olduğu düşünülen fidye yazılımına döndüğüne dair bazı kanıtlar var.