2022’den bu yana aktif olan gelişmiş fidye yazılımı grubu Dark Angels, Windows ve Linux sistemlerindeki dosyaları şifrelemek için Babuk, RTM Locker ve RagnarLocker gibi üçüncü taraf fidye yazılımı yüklerini kullanarak önemli fidye ödemeleri için büyük şirketleri hedef alıyor.
İş operasyonlarındaki kesintiyi en aza indirmek için dosya şifrelemenin potansiyel etkisini dikkate alarak fidye yazılımını stratejik bir şekilde kullanır.
Veri hırsızlığına öncelik vererek, fidye yazılımı dağıtımından kaçınılsa bile çalınan bilgilerin açığa çıkmasını önlemek için ödeme talep ediyorlar. 2024’te rekor kıran 75 milyon dolarlık fidye ödemesiyle Dark Angels, işletmeler için büyük bir tehdit olmaya devam ediyor.
.webp)
Rusça konuşulan bölgelerden çıkan Dark Angels fidye yazılımı grubu 2021’de ortaya çıktı ve küresel işletmeleri hedef almaya başladı.
Analyse Any Suspicious Links Using ANY.RUN’s New Safe Browsing Tool: Try for Free
Başlangıçta Babuk tabanlı fidye yazılımını kullanan ekip, 2023’te çifte şantaj taktiğine geçerek çalınan verileri Telegram’da ve kendi veri sızıntısı siteleri Dunghill Leak’te yayınladı.
Nisan 2023’te, Windows saldırıları için hizmet olarak fidye yazılımı olan RTM Locker’ı benimsediler ve 2023’te kapatılmasına rağmen bir Linux/ESXi şifreleyicisi olan RagnarLocker’dan da yararlandılar.
Operasyonları boyunca taktiklerini geliştirdi, hedef tabanını genişletti ve kolluk kuvvetlerinin eylemleri karşısında dayanıklılık gösterdi.
Grup, kurumsal ağlara sızmak için kimlik avı e-postalarından yararlanıyor ve kamuya açık uygulamalardaki CVE-2023-22069 gibi güvenlik açıklarından yararlanıyor.
İçeri girdikten sonra keşif gerçekleştirirler, etki alanı yönetici hesaplarını ele geçirmek için ayrıcalıkları yükseltirler ve hassas verileri sızdırırlar. Büyük veri kümelerinin aktarılması haftalar sürebilir ve bu da güvenliği ihlal edilen kuruluşlar için önemli bir risk oluşturur.
.webp)
Yüksek değerli fidye ödemeleri için doğrudan büyük işletmeleri hedef alıyor. Diğerlerinin aksine, fidye yazılımı dağıtıp dağıtmayacağına karar vermeden önce odak noktaları 100 TB’ye kadar çok büyük miktarda verinin sızmasına odaklandığından hassasiyet ve kontrol sağlayarak dış kaynak saldırılarından kaçınırlar.
Yaygın kesinti yerine gizliliğe öncelik veren bu stratejik yaklaşım, nispeten tanınmamalarına, medyanın ilgisinden kaçmalarına ve sağlık, teknoloji, üretim ve telekomünikasyon da dahil olmak üzere çeşitli sektörlere başarılı bir şekilde saldırarak önemli miktarda fidye talep etmelerine olanak tanıdı.
.webp)
Babuk’a kıyasla daha güvenli bir yaklaşım için ChaCha20 ve ECC’yi kullanan, Windows şifrelemesi için RTM Locker’ın bir çeşidini kullanır.
Linux ve ESXi’de secp256k1 ECC ve AES-256-CBC’yi birleştiren bir RagnarLocker varyantından yararlanıyorlar.
Zscaler Blog’a göre şifreleme süreci, sistem başına özel bir anahtar oluşturmayı, genel bir anahtar türetmeyi, ECDH anahtar değişimini gerçekleştirmeyi ve dosyaları paylaşılan sırla şifrelemeyi içeriyor.
Şifrelenmiş dosyalara, şifreleme parametrelerini içeren benzersiz bir altbilgi eklenir. -m parametresi, büyük dosyaların kısmi şifrelenmesine olanak tanıyarak işlemi optimize eder.
Dark Angel benzersiz bir yaklaşımla önemli bir finansal başarı elde etti.
Bağlı kuruluş ağlarına güvenen çoğu fidye yazılımı grubunun aksine, bağımsız olarak çalışır, yüksek değerli kuruluşları hedef alır ve fidye yazılımını yalnızca iş kesintisi minimum düzeyde olacağı zaman stratejik olarak dağıtır.
Dark Angels, hassas verileri çalmaya odaklanarak ve aşırı tanıtımdan kaçınarak, Mart 2024’te alınan 75 milyon dolarlık rekor fidye ödemesinin de gösterdiği gibi, büyük miktarlarda parayı başarıyla sızdırdı.
Strategies to Protect Websites & APIs from Malware Attack => Free Webinar