Cyble Araştırma ve İstihbarat Laboratuvarları (CRIL) yakın zamanda DragonForce fidye yazılımı grubunun arkasındaki tehdit aktörlerinin kendi fidye yazılımı oluşturucusunu oluşturmak için sızdırılmış bir LockBit 3.0 (Black) oluşturucusundan yararlanmış olabileceğini gösteren kanıtlar keşfetti.
Ayrıntılı analiz, sızdırılan LockBit 3.0 oluşturucusu ile DragonForce’un kendi fidye yazılımı oluşturucusu tarafından oluşturulan ikili dosyalar arasında çarpıcı benzerlikler olduğunu ortaya çıkardı. Bulgular, daha yeni tehdit aktörü gruplarının, kampanyalarda dağıtmak üzere kendi operasyonel araçlarını oluşturmak için önceden var olan kötü amaçlı yazılımlara güvendiği gözlemlenen daha büyük bir eğilimin parçası olarak ortaya çıkıyor.
DragonForce Fidye Yazılımı İkili Programı Muhtemelen LockBit 3.0 Derlemesine Dayalı
DragonForce fidye yazılımı grubu, kurbanları hedef almak için çifte şantaj taktikleri kullanarak Kasım 2023’te faaliyetlerine başladı.
Grup potansiyel olarak 2021 ve 2022 yılları arasında Orta Doğu ve Asya’da faaliyet gösteren çeşitli devlet kurum ve kuruluşlarına karşı kampanyalar yürüttüğü bilinen Malezyalı hacktivist grup ‘DragonForce’ ile bağlantılı. Grubun fidye yazılımı operasyonları başlatma niyetini açıkladığı biliniyor. 2022, sınırlı bilgi nedeniyle doğru atıf yapmak hala zor.
CRIL Araştırmacıları yakın zamanda LockBit Black (üçüncü bilinen LockBit varyantı) ikili dosyasını temel alan bir DragonForce fidye yazılımı ikili dosyasıyla karşılaştı. LockBit fidye yazılımı oluşturucusunun Eylül 2022’de X (Twitter) üzerinde paylaşıldığı biliniyordu. Fidye yazılımı oluşturucuları, fidye yazılımı yükleri oluştururken fidye yazılımı operatörlerine özel seçeneklere ve özelleştirilebilirliğe olanak tanır.
Oluşturucu, şifreleme, dosya adı şifreleme, kimliğe bürünme, dosya/klasör hariç tutma, BDT (Bağımsız Devletler Topluluğu) ülkelerinde konuşulan dillere dayalı hariç tutma ve fidye notu şablonları gibi işlevler için yükleri özelleştirmek üzere bir “config.json” dosyası içeriyordu.
LockBit oluşturucu tarafından oluşturulan fidye yazılımı ikili dosyası ile DragonForce oluşturucu tarafından oluşturulan fidye yazılımı ikili dosyası arasındaki karşılaştırma, kod yapısı, işlevler ve süreç sonlandırması açısından çeşitli benzerlikleri ortaya çıkardı.
Bu benzerlikler DragonForce fidye yazılımı ikili dosyasının sızdırılan LockBit ikili dosyasının kullanımına dayalı olarak geliştirilmiş olma ihtimalinin yüksek olduğunu gösteriyor.
DragonForce Fidye Yazılımı Operasyonları
Bu yılın başlarında Şubat 2024’te DragonForce, sızıntı sitesinde “Westward360” ve “Compression Leasing Services” adlı iki Amerikan şirketini kurbanlar olarak listeledi.
Aralık 2023’ün başlarında grup, Ohio Piyangosu’ndan 600 GB’ın üzerinde verinin çalındığı bir saldırının sorumluluğunu üstlendi. Çalınan veriler, isimler, adresler, kazançlar, doğum tarihleri ve sosyal güvenlik numaraları gibi hassas bilgileri içeren hem oyuncu hem de çalışan kayıtlarından oluşuyordu. Ohio Piyango siber olayı doğruladı ve önemli veri hırsızlığı içerdiğini belirtti.
Aynı ayda Yakult Avustralya, DragonForce fidye yazılımı çetesinin Avustralya ve Yeni Zelanda bölümlerini etkileyen operasyonlarının kurbanı oldu ve saldırıda 95 GB’tan fazla veri çalındı. Yakult Avustralya veri ihlalinin iş belgelerini, elektronik tabloları, kredi başvurularını, çalışan kayıtlarını ve pasaportlar da dahil olmak üzere kimlik belgelerinin kopyalarını içerdiğine inanılıyor.
Şirket daha sonra olayı kabul etti ve olayla ilgili ayrıntıları Avustralya Siber Güvenlik Merkezi ve Yeni Zelanda Ulusal Siber Güvenlik Merkezi gibi ilgili makamlara açıkladı. Her iki saldırıda da etkilenen sistemlerin normal şekilde çalışmaya devam etmesi, grubun gizli teknikler kullandığını düşündürüyor.
DragonForce’un sızdırılmış bir LockBit oluşturucuyu kullandığının keşfedilmesi, mevcut fidye yazılımı araçlarını kullanan yeni fidye yazılımı gruplarının genel davranışını ve siber suç operasyonlarının birbirine bağlı doğasını vurguluyor. Geçen yıl Temmuz 2023’te VMware araştırmacıları, 8Base Ransomware ile RansomHouse ve Phobos gibi önceki fidye yazılımı grupları arasında benzerlikler keşfetti.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Siber Ekspres bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.