DoppelPaymer fidye yazılımı çetesinin iki yüksek değerli siber suçlusu, Europol ve birkaç ulusal polis departmanının koordineli bir eyleminin ardından tutuklandı.
Europol, operasyonu Alman Bölge Polisi, Ukrayna Ulusal Polisi, Hollanda Polisi ve Birleşik Devletler Federal Soruşturma Bürosu ile birlikte yürüttü.
Yakalanan kişilerin, DoppelPaymer fidye yazılımı ve EMOTET kötü amaçlı yazılımını kullanan siber suçluların temel üyeleri olduğundan şüpheleniliyor.
Eşzamanlı eylemler sırasında Alman memurlar, DoppelPaymer fidye yazılımı çetesinde önemli bir rol oynadığına inanılan bir Alman vatandaşının evine baskın düzenledi. “Müfettişler şu anda şüphelinin fidye yazılımı grubunun yapısındaki kesin rolünü belirlemek için ele geçirilen ekipmanı analiz ediyorlar.”
Rus işgalinin ardından Ukrayna’da devam eden ve zorlu güvenlik durumunun ortasında, Ukraynalı kolluk kuvvetleri DoppelPaymer fidye yazılımı çetesinin çekirdek ekibinin bir üyesi olduğundan şüphelenilen bir Ukrayna vatandaşını sorguya çekti.
Polis, biri Kiev’de, diğeri Kharkiv’de olmak üzere iki yerde arama yaptı ve elektronik cihazlara el koydu. Açıklamada, ele geçirilen eşyaların şu anda adli tıp incelemesinden geçtiği belirtildi.
Europol eylemi ve DoppelPaymer fidye yazılımı çetesi
İlk olarak 2019’da tespit edilen fidye yazılımı, kötü amaçlı ekler içeren kimlik avı e-postaları göndermek gibi yaygın taktikler kullanılarak yayıldı. Genellikle JavaScript veya VBScript ile yapılmıştır.
Europol duyurusunda, “BitPaymer fidye yazılımına ve Dridex kötü amaçlı yazılım ailesinin bir parçasına dayanan DoppelPaymer, saldırıya uğrayan sistemlerin güvenlikle ilgili sürecini sonlandırarak savunma mekanizmalarını riske atma yeteneğine sahip benzersiz bir araç kullandı” denildi.
Üyelerle birlikte polis, siber saldırıların başlatılmasında kullanıldığını bulmak için adli tıp analizine tabi tutulan ekipman buldu. DoppelPaymer fidye yazılımı çetesi, tamamı şirket olan yaklaşık 37 kurbanı hedef aldı. Siber suçları hakkında paylaşım yapmak için 2020’de başladıkları bir sızıntı sitesini kullandılar.
Düsseldorf’taki Üniversite Hastanesine yönelik siber saldırı, DoppelPaymer fidye yazılımı çetesi tarafından yapılan en ciddi saldırılar arasında yer aldı. Europol duyurusuna göre grup, Mayıs 2019’dan Mart 2021’e kadar ABD hedeflerinden 40 milyon avronun üzerinde şantaj yaptı.
DoppelPaymer fidye yazılımı çetesi: Çalışma modu
“DoppelPaymer, BitPaymer fidye yazılımının halefidir ve Dridex kötü amaçlı yazılım ailesinin bir parçasıdır. Acronis tarafından hazırlanan bir tehdit değerlendirme raporunda, şu anda JavaScript veya VBScript gibi kötü amaçlı kod gömülü belgeler içeren kimlik avı veya spam e-postalar da dahil olmak üzere çeşitli biçimlerde dağıtılıyor.
“Yürütme sırasında, bu kod DoppelPaymer’ın birinci aşama yükleyicisini kurbanın makinesine indirir. Saldırganlar daha sonra Active Directory’de kaba kuvvet saldırısı gerçekleştirmek için PowerShell Empire araç setini kullanır. Mimikatz modülü, şifreleri sistem belleğinden boşaltmak için kullanılıyor.”
Ancak Trend Micro’nun bir raporuna göre DoppelPaymer ile BitPaymer arasında bazı farklılıklar var.
Dikkate değer bir fark, her biri tarafından kullanılan şifreleme algoritmasıdır; burada DoppelPaymer 2048-bit RSA + 256-bit AES’den yararlanırken BitPaymer 4096-bit RSA + 256-bit AES’den yararlanır (önceki sürümler 1024-bit RSA + 128-bit RC4 kullanan) . Ayrıca DoppelPaymer, zincirli dosya şifreleme kullanarak BitPaymer’e kıyasla şifreleme hızını artırır.
DoppelPaymer fidye yazılımı çetesi şimdiye kadar en az 37 kuruluşu hedef alarak milyonlarca dolarlık hasara neden oldu. Belirtilen kurbanlardan biri Kia Motors America idi.
2021’de şirketin mobil UVO Link uygulamaları, ödeme sistemleri, telefon hizmetleri, mal sahibi portalı ve bayi web siteleri gibi çeşitli sistemleri etkileyen ülke çapında bir BT kesintisiyle karşı karşıya olduğuna dair haberler çıktı.
Daha sonra, DoppelPaymer fidye yazılımı çetesinin, başlangıçta ana şirket olan Hyundai Motor America’yı ihlal ederek Kia’nın sunucularına sızdığı ortaya çıktı.