Endonezya hükümet hizmetlerine yönelik büyük bir saldırının ardındaki tehdit aktörü, en az üç farklı isimle anılan bir operasyonun sadece bir tezahürü.
20 Haziran’da, “Brain Cipher” olarak bilinen bir fidye yazılımı operasyonu, Endonezya’nın ulusal veri merkezini kilitlediğinde çiğneyebileceğinden fazlasını ısırdı. Feribot yolcuları rezervasyon sistemlerinin tekrar çevrimiçi olmasını beklerken ve uluslararası varışlar pasaport doğrulama kiosklarında donmuş halde beklerken, dünyanın dördüncü büyük ülkesinde saatlerce süren kuyruklar oluşmaya başladı. Etkiler toplamda 200’den fazla ulusal ve yerel hükümet kurumunda hissedildi. Baskı altında ve ödeme vaadi olmadan, grup 8 milyon dolarlık fidye talebinden vazgeçti ve şifre çözücüsünü ücretsiz olarak yayınladı.
Grup-IB’den araştırmacılar o zamandan beri Brain Cipher’ı incelediler ve bunun en az üç diğer grupla ilişkiliveya belki de sadece dört farklı isim altında faaliyet gösteriyor. Birlikte, bu farklı isimlere sahip varlıklar dünya çapında saldırılar gerçekleştirdiler, ancak çoğu zaman çok fazla sonuç doğurmadı.
Brain Cipher’ın TTP’leri
Brain Cipher’ın varlığına dair kanıtlar yalnızca Endonezya hükümetine yönelik saldırısına kadar uzanıyor. Çok genç olmasına rağmen, İsrail, Güney Afrika, Filipinler, Portekiz ve Tayland’a yayılmış durumda. Ancak bu, herhangi bir karmaşıklık derecesinin kanıtı değil.
Kullandığı kötü amaçlı yazılım şuna dayanmaktadır: sızdırılan Lockbit 3.0 oluşturucusu. Ayrıca en az bir Endonezyalı kurbanın durumunda Babuk’un bir çeşidini kullandı. “Değişik şifreleyicilerin kullanımı, tehdit aktörlerinin birden fazla işletim sistemini ve ortamı hedeflemesine olanak tanır,” diye açıklıyor Cado Security’de tehdit araştırma lideri olan Tara Gould. “Farklı şifreleyiciler, potansiyel hedeflerin kapsamını genişleten ve nihayetinde etkiyi en üst düzeye çıkaran farklı işletim sistemleri için optimize edilebilir.”
Fidye notlarının kişilik eksikliğini, veri kurtarma için nasıl ödeme yapılacağına dair kısa, adım adım talimatlarla netlikle telafi ediyorlar. Bu süreç, tüm olağan fidye yazılımı tuzaklarını içerir: bir kurban portalı, müşteri destek hizmetleri ve bir sızıntı sitesi.
Ancak dikkat çekici olan, grubun Group-IB tarafından takip edilen kurbanlarının çoğuna ait verileri sızdırmamasıydı. Bu, araştırmacıları Brain Cipher’ın vaat ettiği gibi verileri gerçekten sızdırmadığı sonucuna götürdü.
Brain Cipher’ın Birçok Kimliği
Brain Cipher ayrıca opsec ile de mücadele ediyor. Fidye notları, iletişim bilgileri ve Tor web sitesi, Reborn Ransomware, EstateRansomware, SenSayQ ve nom de guerre olmayan başka bir varlık da dahil olmak üzere diğer sözde bağımsız gruplarla örtüşüyor, eserler Nisan’a kadar uzanıyor.
Birlikte, bu sözde bağımsız operasyonlar dünya çapında örtüşen fidye yazılımı saldırıları gönderdi. Reborn, Çin, Fransa, Endonezya ve Kuveyt’teki kurbanları topladı ve diğer grupların listelerinde Fransa, Hong Kong, İtalya, Lübnan, Malezya ve ABD var.
“Birden fazla isim altında faaliyet göstermek ve farklı şifreleyiciler kullanmak tehdit aktörlerine birçok avantaj sağlıyor,” diye açıklıyor Critical Start’ta siber tehdit istihbaratı araştırma analisti olan Sarah Jones. “Bu aktörler taktiklerini sürekli olarak geliştirerek güvenlik araştırmacılarının ve kolluk kuvvetlerinin faaliyetlerini izleme yeteneğini engelliyor. Birden fazla kimlik kullanımı atıfları belirsizleştiriyor, soruşturmaları uzatıyor ve itibar açısından olumsuz sonuçlar doğurmadan çeşitli sektörlerin veya bölgelerin hedef alınmasını sağlıyor.”
Jones, “Yeni kimlikleri hızla benimseme esnekliği, kimliklerin tehlikeye girmesi durumunda operasyonel kesintilere karşı koruma sağlıyor” diyor.
Cado Security’den Gould, bu kişilerin gelecekteki işlere de katkı sağlayabileceğini ekliyor. çıkış dolandırıcılıkları.