Bumblebee, IcedID, Pikabot, Smokeloader, SystemBC ve Trickbot dahil olmak üzere bugün faaliyette olan en önemli kötü amaçlı yazılım bırakan botnet’lerden bazıları, Avrupa Birliği’nin (AB’nin) Europol ajansı aracılığıyla düzenlenen koordineli bir yasa uygulama eylemiyle kesintiye uğradı.
Hem İngiltere Ulusal Suç Teşkilatı’nın (NCA) hem de ABD’nin FBI’ının yanı sıra Ermenistan, Bulgaristan, Danimarka, Fransa, Almanya, Litvanya, Hollanda, Portekiz, Romanya, İsviçre ve Ukrayna’dan kurumların desteğini alan Endgame Operasyonu, 27 ve 29 Mayıs 2024 tarihleri arasında gerçekleşti.
Sektör desteği, Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus ve DIVD gibi bir dizi siber uzmandan geldi.
Temel altyapının kapatılması, varlıkların dondurulması ve yüksek değerli hedeflerin tutuklanması yoluyla siber suç operasyonlarını aksatmaya odaklandı. Operasyonda polisin biri Ermenistan’da, üçü Ukrayna’da olmak üzere dört kişiyi tutukladığı görüldü; 16 mülkü arayın; 100’den fazla sunucuyu devre dışı bırakın; ve 2.000 alanı ele geçirin.
Soruşturma ayrıca, olaya karışan ana şüphelilerden birinin suç altyapısı sitelerini fidye yazılımı çetelerine kiralamaktan en az 69 milyon Euro değerinde kripto para kazandığını da ortaya çıkardı. Bu kişi izleniyor ve yetkililerin gelecekteki bir operasyonda varlıklarına el koymak için yasal izni var.
Europol, Endgame Operasyonu mikrositesinde yayınlanan bir mesajda şunları söyledi: “The Endgame’e hoş geldiniz. Uluslararası kolluk kuvvetleri ve ortaklar güçlerini birleştirdi. Sizi ve suç girişimlerinizi uzun süredir araştırıyoruz ve burada durmayacağız.
“Bu, Endgame Operasyonunun 1. Sezonu. Bizi izlemeye devam edin. Kesinlikle heyecan verici olacak. Belki de herkes için değil. Bazı sonuçlar burada bulunabilir, diğerleri ise size farklı ve beklenmedik şekillerde gelecektir.
“İletişime geçmekten çekinmeyin, bize ihtiyacınız olabilir” diye devam etti. “Elbette ikimiz de açık yürekli bir diyalogdan faydalanabiliriz. Ne ilk olacaksın, ne de son olacaksın. Bir sonraki hamlenizi düşünün.”
Europol, Endgame Operasyonunun, öncelikle fidye yazılımı ve diğer kötü amaçlı yükleri dağıtmak için damlatıcı olarak kullanılan bu botnet’lere karşı şimdiye kadarki en büyük operasyon olduğunu iddia etti.
Europol, “Operasyon Sonu bugün sona ermiyor” dedi. “Yeni eylemler Endgame Operasyonu web sitesinde duyurulacak. Ayrıca bu ve benzeri botnetlere karışan ve henüz yakalanamayan şüphelilerden doğrudan hesap sorulacak. Şüpheli ve tanıklar bu site üzerinden kendilerine nasıl ulaşacakları konusunda bilgi sahibi olacaklar.”
Damlalıklar nasıl çalışır?
Kötü amaçlı yazılım düşürücüler, genel olarak hedeflenen bilgisayarlara zarar vermeyen, bunun yerine diğer kötü amaçlı yazılımlar (genellikle fidye yazılımı dolapları) için bir hazırlık noktası olarak kullanılmak üzere tasarlanmış kötü amaçlı yazılım paketleridir. Fidye yazılımı çetelerine olan faydalarından dolayı, onları kesintiye uğratmak için hedeflemenin aşağı yönde büyük etkileri olabilir.
Siber saldırıların başlangıç aşamalarında ortaya çıkarlar ve siber suçluların saldırılarını gerçekleştirmek için tespit edilmekten kaçarak savunmaları gizlice aşmalarına yardımcı olurlar.
Endgame Operasyonu’nda hedef alınanlar, nasıl çalıştıkları ve tam olarak ne yaptıkları açısından aralarında bazı farklılıklar taşıyor; örneğin, birçoğu kötü amaçlı kimlik avı e-postalarının ekleri olarak geliyor, diğerleri ise yanlışlıkla ele geçirilmiş web sitelerinden indiriliyor ve hatta ” meşru yazılımla birlikte gelir ancak sonuçta hepsi aynı amaca hizmet eder.
NCC Group’un küresel tehdit istihbaratı başkanı Matt Hull, bu botnet’lerin aslında bir siber suç denetleyicisinin emriyle çalışan internete bağlı cihazlardan oluşan ağlar olması nedeniyle, cihazları devralmanın oldukça kolay – bazı durumlarda muhtemelen – olduğunu açıkladı. meşru sahiplerinin bilgisi olmadan bu tür planlara dahil olmak.
Birleşik Krallık’ta, Nisan 2024’ün sonunda yürürlüğe giren Ürün Güvenliği ve Telekomünikasyon Altyapı Yasası şeklindeki yeni mevzuat, halkın sıradan üyelerine ait cihazların suç amaçlı olarak baskı altına alınmasını engelleyebilecek ilave korkuluklar ekliyor. ancak botnet tehdidinin farkında olmak ve kişisel riskleri önlemek ve normal işlemlerinin etkilenmesini önlemek amacıyla cihazlarınızı korumak için gerekli adımları atmak yine de önemlidir.
“Botnet kötü amaçlı yazılımları genellikle spam veya kimlik avı e-postaları yoluyla yayıldığından, bağlantılara tıklamadan veya e-posta eklerini açmadan önce düşünmek de önemlidir. Meşru bir şey açtığınızı her zaman iki kez kontrol etmek iyi bir uygulamadır.”
Sırada ne var?
Güvenlik camiası saldırı haberine olumlu tepki verdi, ancak hâlâ yapılacak çok iş olduğu ve başarılı operasyonların her zaman uzun vadeli sonuçlar doğurmadığı bilgisi nedeniyle destekleri azaldı.
Darktrace tehdit analizi başkanı Toby Lewis, “Yetkililer şu anda altyapının kontrolünü elinde tutabilir, ancak sayısız cihaza büyük olasılıkla uykuda olan botnet kötü amaçlı yazılım bulaşmış olmaya devam edecek” dedi.
“Sunuculara el koymak yalnızca ilk adım; mağdurları bilgilendirmek için hızlı hareket etmeleri ve kötü amaçlı yazılımların kaldırılması ve sistemlerin güvenliğinin sağlanması konusunda net rehberlik sağlamaları gerekiyor… En kötü senaryoda, saldırganlar ele geçirilen bir alanın kontrolünü yeniden ele geçirebilir ve yalan söyleyen, güvenliği ihlal edilmiş cihazları hızlı bir şekilde yeniden etkinleştirebilir. beklemede.
“Kolluk kuvvetleri tetikte kalmalı ve suçluların yeni komuta ve kontrol sunucuları kurmaya çalıştıklarına veya botnet faaliyetlerinin yeniden canlandığına dair işaretleri yakından takip etmeli” dedi. “Saldırganlar yeniden tutunmaya çalışırsa yetkililerin kurbanları hızla uyarmaya hazır olması gerekiyor.”
Lewis, enfeksiyonun temizlenmesi ve yeniden bulaşmasını önlemek için artık sürekli bir çabaya ihtiyaç duyulacağını ve bunun da kamu ve özel sektör ortakları arasında daha fazla koordinasyon ve baştan sona şeffaf iletişim gerektirdiğini söyledi.
“Bu saldırı önemli bir ilerlemeyi temsil etse de, siber suçlarla devam eden mücadelede yalnızca başarılı bir operasyon” dedi. “Siber suçlular ısrarcı ve uyum sağlayıcıdır. Biz de aynı derecede çalışkan ve proaktif kalmalıyız.”
ABD operasyonu
Endgame Operasyonu’ndan ayrı olarak, ABD Adalet Bakanlığı (DoJ) tarafından yürütülen bir eylem, fidye yazılımı saldırıları, dolandırıcılık, çevrimiçi zorbalık ve taciz, ihracat ihlalleri, çocuk istismarı ve hatta bomba tehditleriyle ilişkilendirilen başka bir büyük botnet’i kesintiye uğrattı.
Bu operasyonda, DoJ tarafından YunHe Wang olarak adlandırılan 35 yaşındaki Çin – St Kitts ve Nevis ortak vatandaşının, kötü amaçlı yazılım dağıtımından ve 911 S5 konut proxy hizmetinin işletilmesinden kaynaklanan cezai suçlamalar nedeniyle tutuklanması gerçekleşti.
Geçtiğimiz hafta ABD’de açıklanan iddianamelerde Wang, 19 milyon benzersiz IP adresiyle ilişkili milyonlarca yerleşik Windows bilgisayarından oluşan bir ağ oluşturmak için kötü amaçlı yazılım oluşturmak ve yaymakla ve siber suçlulara bunlara erişim olanağı sunarak milyonlarca dolar kazanmakla suçlanıyordu.
Kötü amaçlı yazılımın iki sanal özel ağ (VPN), MaskVPN ve DewVPN ve Wang’ın kötü amaçlı yazılımını genellikle lisanslı yazılımın veya telif hakkı materyallerinin korsan kopyaları olan diğer dosyalarla bir araya getiren yükleme başına ödeme hizmetleri aracılığıyla yayıldığı iddia edildi. Tüm bunlar, 76’sı ABD merkezli hizmet sağlayıcılardan kiralanan yaklaşık 150 özel sunucu aracılığıyla yönetiliyordu.
Adalet Bakanlığı, saldırı zincirlerinde 911 S5 kullanan siber suçluların, ABD Kovid-19 yardım programına karşı 550.000’den fazla hileli işsizlik sigortası talebi de dahil olmak üzere milyarlarca dolar çalmış olabileceğini ve bunun Amerikalı vergi mükelleflerinin 5,9 milyar dolar kaybına neden olabileceğini iddia etti. Milyonlarcası da finans kuruluşlarından çalındı.
Ek olarak, 911 S5 kullanan siber suçlular, çalıntı kredi kartlarıyla veya suçtan elde edilen gelirlerle mal satın alabiliyor ve yerel ihracat kontrollerine aykırı olarak bunları ABD dışına ihraç edebiliyorlardı. ABD Ordusu ve Hava Kuvvetleri Değişim Servisi’nin ShopMyExchange e-ticaret platformu, başlangıçta yetkililerin dikkatini çekti.
Wang’ın ABD, St Kitts ve Nevis, Çin, Singapur, Çin ve BAE’de mülk satın almak için kullandığı 911 S5’ten 99 milyon dolar kazandığı iddia ediliyor. İddianamede ayrıca 2022 Ferrari F8 Spider SA, Rolls Royce ve lüks kol saatleri de dahil olmak üzere bir dizi yüksek değerli varlık tespit edildi.
“Burada iddia edilen davranış, sanki bir senaryodan alınmış gibi görünüyor: Dünya çapında milyonlarca kötü amaçlı yazılım bulaşmış bilgisayara erişimi satarak, dünyanın her yerindeki suçluların milyarlarca dolar çalmasına, bomba tehditleri iletmesine ve çocuk istismarına yönelik materyalleri değiş tokuş etmesine olanak tanıyan bir plan. ABD Ticaret Bakanlığı Sanayi ve Güvenlik Bürosu’nun ihracat denetiminden sorumlu sekreter yardımcısı Matthew Axelrod, planın yaklaşık 100 milyon dolarlık kârının lüks arabalar, saatler ve gayrimenkul satın almak için elde edildiğini söyledi.