Mühürsüz bir FBI arama emri, kolluk kuvvetlerinin ALPHV/BlackCat fidye yazılımı operasyonları web sitelerini nasıl ele geçirdiğini ve ilgili URL’lere nasıl el koyduğunu ortaya çıkardı.
Bugün ABD Adalet Bakanlığı, ALPHV fidye yazılımı operasyonu için web sitelerini ele geçirdiklerini ve yaklaşık 500 şirketin verilerini ücretsiz olarak kurtarmasına yardımcı olacak bir şifre çözücü oluşturduklarını doğruladı.
Ancak kesintiye ilişkin ayrıntılar belirsiz, yalnızca mühürsüz bir arama emri ekstra bilgi sağlıyor.
Ne biliyoruz
Bugün açıklanan arama emrine göre FBI, ALPHV/BlackCat fidye yazılımı operasyonuna kaydolmak ve bu operasyona ortak olmak için gizli bir insan kaynağıyla (CHS) anlaştı.
Fidye yazılımı operatörleri ile görüştükten sonra CHS’ye arka uç ortaklık paneline giriş bilgileri sağlandı.
Bu panel halka açık değildir ve yalnızca fidye yazılımı çetesinin operatörleri ve bağlı kuruluşları tarafından kullanılmak üzere tasarlanmış olup, onların gasp kampanyalarını yönetmelerine ve bir şirketle fidye pazarlığı yapmalarına olanak tanımaktadır.
Ayrı bir federal arama emri kapsamında FBI, nasıl çalıştığını belirlemek için ALPHV paneline erişti.
Arama emrinde “Ortak, Blackcat fidye yazılımı bulaşmış bir kurbanla aktif olarak etkileşime giriyorsa, Kontrol Panelini kullanarak varlığı seçebilir veya menü çubuğundaki “Kampanyalar” düğmesini seçebilir,” yazıyor.
“Katılımcılar, Kampanyalar ekranından mağdur varlığı, talep edilen tam fidye fiyatını, indirimli fidye fiyatını, son kullanma tarihini, kripto para birimi adreslerini, kripto para birimi işlemlerini, ele geçirilen bilgisayar sisteminin türünü, fidye talep notunu, kurbanla yapılan sohbetleri ve daha fazlasını görebilir.”
“Bu özellikler, bağlı kuruluşların tüm müzakere süreci boyunca mağdurla etkileşime geçmesine olanak tanıyor.”
Bu erişimi kullanarak FBI, saldırılarda kullanılan özel şifre çözme anahtarlarını ele geçirdi ve 400’den fazla kurbanın dosyalarını ücretsiz olarak kurtarmasına yardımcı olan bir şifre çözücü oluşturdu.
Ancak, bu özel şifre çözme anahtarlarını nasıl elde ettikleri hala belirsiz çünkü bunlar bir bağlı kuruluş tarafından kullanılamayacaktı.
Bir teoriye göre FBI, veritabanını boşaltmak veya sunucuya daha fazla erişim sağlamak için kullanılabilecek güvenlik açıklarını bulmak için dahili erişimini kullandı, ancak bu doğrulanmadı.
FBI ayrıca fidye yazılımı operasyonunun Tor müzakere siteleri, veri sızıntısı siteleri ve yönetim paneliyle ilişkili 946 özel ve genel anahtar çiftini elde ettiklerini ve bunları şu anda Florida’da saklanan bir USB flash sürücüye kaydettiklerini belirtiyor.
Arama emrinde “Bu soruşturma sırasında kolluk kuvvetleri Blackcat Ransomware Group’un ağında görünürlük kazandı” ifadesine yer verildi.
“Sonuç olarak FBI, Blackcat Ransomware Group’un kurban iletişim sitelerini, sızıntı sitelerini ve yukarıda açıklananlar gibi bağlı kuruluş panellerini barındırmak için kullandığı Tor siteleri için 946 genel/özel anahtar çiftini belirledi ve topladı.”
“FBI bu genel/özel anahtar çiftlerini Flash Sürücüye kaydetti.”
Tor anonimleştirme ağında bir web sitesi oluştururken, .onion URL’siyle ilişkili benzersiz bir özel ve genel anahtar çifti oluştururlar ve bu daha sonra Tor ağına kaydedilir.
Bununla birlikte, bu özel ve genel anahtar çiftlerine sahip olan herhangi biri, URL’yi etkili bir şekilde kontrol ederek, bunları kendi sunucularına yönlendirecek şekilde ele geçirmelerine olanak tanır.
FBI, bu Tor anahtar çiftlerine nasıl erişim elde ettiklerini paylaşmasa da, muhtemelen kurbanın şifrelenmiş dosyalarının şifre çözme anahtarlarını almak için kullandıkları erişimin aynısını kullanıyorlar.
FBI, bu Tor anahtarlarının fidye yazılımı operasyonunun veri sızıntısı sitesi, ortaklık paneli ve kurbanlara fidye notlarında verilen benzersiz Tor müzakere siteleriyle ilişkili olduğunu doğruladıklarını söyledi.
BleepingComputer yalnızca veri sızıntısı sitelerinin ve bazı müzakere sitelerinin kolluk kuvvetleri tarafından ele geçirildiğini doğrulamış olsa da, bu Tor anahtarlarına sahip olmak FBI’ın ortaklık panelini de ele geçirmesine olanak tanıyacak.
Bu, FBI’ın faaliyetleri sessizce izlemek ve şifre çözme anahtarlarını sifonlamak için bir fidye yazılımı operasyonunun altyapısını başarıyla ihlal ettiği bilinen üçüncü emniyet operasyonudur.
Bunlardan ilki, FBI’ın Kaseya tedarik zinciri saldırısı için ana şifre çözme anahtarına erişim sağladığı REvil’di ve ikincisi, FBI’ın 1.300’den fazla şifre çözme anahtarı elde ettiği Hive fidye yazılımı operasyonunun ihlaliydi.
FBI ve uluslararası kolluk kuvvetleri, fidye yazılımı çetelerinin altyapısını ihlal etmek ve bozmak için işe yarayan bir taktik geliştirdi ve muhtemelen gelecekte buna benzer daha fazla eylem göreceğiz.
BlackCat/ALPHV’ye gelince, geçmişte yaptıkları gibi yeni bir isimle yeniden markalaşırken muhtemelen önümüzdeki birkaç ay içinde kapanacaklar.