ABD hükümeti, bu ay gibi yakın bir tarihte sağlık sektörünü hedef alan BlackCat (diğer adıyla ALPHV) fidye yazılımı saldırılarının yeniden canlandığı konusunda uyarıda bulunuyor.
Hükümet, güncellenmiş bir danışma belgesinde, “Aralık 2023’ün ortasından bu yana, sızdırılan yaklaşık 70 kurban arasında en çok sağlık sektörü mağdur oldu” dedi.
“Bu muhtemelen ALPHV/BlackCat yöneticisinin, Aralık 2023’ün başlarında gruba ve altyapısına karşı operasyonel eylem sonrasında bağlı kuruluşlarını hastaneleri hedef almaya teşvik eden gönderisine bir yanıttır.”
Tavsiye, Federal Soruşturma Bürosu (FBI), Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Sağlık ve İnsani Hizmetler Bakanlığı’ndan (HHS) geliyor.
BlackCat fidye yazılımı operasyonu, koordineli bir kolluk kuvveti operasyonunun karanlık sızıntı sitelerine el konulmasıyla geçen yılın sonlarında büyük bir darbe aldı. Ancak grubun sitelerin kontrolünü yeniden ele geçirmesi ve bugüne kadar aktif kalmaya devam eden yeni bir TOR veri sızıntısı portalına geçmesiyle bu yayından kaldırma işleminin başarısızlıkla sonuçlandığı ortaya çıktı.
Prudential Financial, LoanDepot, Trans-Northern Pipelines ve UnitedHealth Group yan kuruluşu Optum’a yapılan saldırıların sorumluluğunu üstlenerek son haftalarda kritik altyapı kuruluşlarına karşı da saldırılarını artırdı.
Bu gelişme, ABD hükümetinin, e-suç grubunun önemli üyelerinin ve bağlı kuruluşlarının belirlenmesine yol açacak bilgiler için 15 milyon dolara kadar mali ödüller duyurmasına yol açtı.
BlackCat’in fidye yazılımı çılgınlığı, geçen hafta Birleşik Krallık Ulusal Suç Ajansı (NCA) tarafından yürütülen benzer kesinti çabalarının ardından LockBit’in geri dönüşüyle aynı zamana denk geliyor.
SC Magazine tarafından hazırlanan bir rapora göre tehdit aktörleri, ConnectWise’ın ScreenConnect uzak masaüstü ve erişim yazılımında yakın zamanda açıklanan kritik güvenlik açıklarından yararlanarak Optum’un ağını ihlal etti.
Hassas sistemlerde uzaktan kod yürütülmesine izin veren kusurlar, Black Basta ve Bl00dy fidye yazılımı çetelerinin yanı sıra diğer tehdit aktörleri tarafından Cobalt Strike Beacons, XWorm ve hatta Atera, Syncro gibi diğer uzaktan yönetim araçlarını sunmak için silah haline getirildi. ve başka bir ScreenConnect istemcisi.
Saldırı yüzeyi yönetim şirketi Censys, çoğu ABD, Kanada, İngiltere, Avustralya, Almanya, Fransa, Hindistan, Hollanda, Türkiye ve İrlanda’da bulunan, çevrimiçi olarak 3.400’den fazla potansiyel olarak savunmasız ScreenConnect ana bilgisayarının açığa çıktığını gözlemlediğini söyledi.
Censys güvenlik araştırmacısı Himaja Motheram, “ScreenConnect gibi uzaktan erişim yazılımlarının tehdit aktörleri için ana hedef olmaya devam ettiği açık” dedi.
Bulgular, RansomHouse, Rhysida gibi fidye yazılımı gruplarının ve Backmydata adlı bir Phobos çeşidinin ABD, İngiltere, Avrupa ve Orta Doğu’daki çeşitli kuruluşların güvenliğini ihlal etmeye devam etmesiyle ortaya çıktı.
Bu siber suç gruplarının daha incelikli ve karmaşık taktiklere yöneldiğinin bir işareti olarak RansomHouse, dosya şifreleyen kötü amaçlı yazılımı geniş ölçekte dağıtmak için MrAgent adlı özel bir araç geliştirdi.
“MrAgent, üzerinde çalışmak üzere tasarlanmış bir ikili programdır. [VMware ESXi] Trellix, “yalnızca çok sayıda hipervizör sistemine sahip geniş ortamlarda fidye yazılımının dağıtımını otomatikleştirmek ve izlemek amacıyla hipervizörler” dedi. ilk kez gün ışığına çıktı Eylül 2023’te.
KELA, bazı fidye yazılımı gruplarının benimsediği bir diğer önemli taktiğin, kendi blogları, Telegram kanalları veya veri sızıntısı web siteleri aracılığıyla yeni bir para kazanma yöntemi olarak doğrudan ağ erişimini satması olduğunu söyledi.
Bu aynı zamanda, Aralık 2023’te yer altı forumlarında ortaya çıkan ve o zamandan bu yana yaratıcısı tarafından BreachForums’ta ücretsiz olarak sunulan, Kryptina olarak bilinen, Linux’a özel, C tabanlı bir fidye yazılımı tehdidinin kamuya duyurulmasının ardından geldi.
SentinelOne araştırmacısı Jim Walter, “RaaS kaynak kodunun kapsamlı belgelerle birlikte yayınlanmasının, Linux sistemlerine yönelik fidye yazılımı saldırılarının yayılması ve etkisi üzerinde önemli etkileri olabilir” dedi.
“Bu, muhtemelen fidye yazılımı oluşturucunun çekiciliğini ve kullanışlılığını artırarak siber suç ekosistemine daha fazla düşük vasıflı katılımcıyı çekecektir. Aynı zamanda birden fazla yan ürünün gelişmesine ve saldırıların artmasına yol açması yönünde de önemli bir risk vardır.”