FBI, Pazartesi günü ortak bir uluslararası soruşturmanın ardından Radar/Dispossessor fidye yazılımı operasyonunun sunucularına ve web sitelerine el koyduğunu duyurdu.
Ortak operasyon, İngiltere Ulusal Suç Ajansı, Bamberg Cumhuriyet Savcılığı ve Bavyera Eyalet Kriminal Polis Teşkilatı (BLKA) işbirliğiyle gerçekleştirildi.
Kolluk kuvvetleri üç ABD sunucusuna, üç İngiltere sunucusuna, 18 Alman sunucusuna, sekiz ABD tabanlı alan adına ve radar da dahil olmak üzere bir Almanya tabanlı alan adına el koydu[.]tld, mülksüzleştirici[.]com, cybernewsint[.]com (sahte haber sitesi), cybertube[.]video (sahte video sitesi) ve gaspçı bulutu[.]com.
Brain adlı bir tehdit aktörü tarafından yönetilen Dispossessor, Ağustos 2023’ten bu yana dünya çapında çeşitli sektörlerdeki küçük ve orta ölçekli işletmeleri hedef alıyor ve ABD, Arjantin, Avustralya, Belçika, Brezilya, Honduras, Hindistan, Kanada, Hırvatistan, Peru, Polonya, Birleşik Krallık, Birleşik Arap Emirlikleri ve Almanya’dan düzinelerce şirkete yönelik saldırılar düzenlediğini iddia ediyor (FBI 43 kurban tespit etti).
FBI, fidye yazılımı çetesinin güvenlik açıkları, zayıf parolalar ve hesaplarda yapılandırılmış çok faktörlü kimlik doğrulamanın olmaması yoluyla ağlara sızdığını söylüyor. Kurbanın ağına eriştikten sonra verileri çalıyorlar ve şirketin cihazlarını şifrelemek için fidye yazılımını kullanıyorlar.
“Suçlular sistemlere eriştikten sonra yönetici hakları elde ettiler ve dosyalara kolayca eriştiler. Gerçek fidye yazılımı daha sonra şifreleme için kullanıldı. Sonuç olarak, şirketler artık kendi verilerine erişemedi,” dedi FBI, BleepingComputer ile paylaşılan bir basın bülteninde.
“Şirket saldırıya uğradığında, suçlu aktörle iletişime geçmezlerse, grup daha sonra kurban şirketteki diğer kişilerle e-posta veya telefon görüşmesi yoluyla proaktif bir şekilde iletişime geçiyordu. E-postalarda ayrıca daha önce çalınan dosyaların sunulduğu video platformlarına bağlantılar da bulunuyordu.”
FBI ayrıca geçmişte mağdur olan veya hedef alınan kişilerden, ic3.gov adresindeki İnternet Suç Şikayet Merkezi veya 1-800-CALL FBI numarasından iletişime geçerek, Gaspçı çetesi hakkında bilgi paylaşmalarını istedi.
Siber suç grubu ilk başladığında, LockBit fidye yazılımı saldırıları sırasında çalınan eski verileri yeniden yayınlayarak bir gasp grubu gibi davrandı ve bu saldırılara bağlı olduklarını iddia ettiler. Dispossessor ayrıca diğer fidye yazılımı operasyonlarından sızıntıları yeniden yayınlıyor ve bunları çeşitli ihlal pazarlarında ve BreachForums ve XSS gibi hack forumlarında satmaya çalışıyor.
SentinelOne, Nisan ayında yayınladığı bir raporda, “Dispossessor, başlangıçta yaklaşık 330 LockBit kurbanına ait verilerin yeniden kullanılabilir olduğunu duyurdu. Bunun, daha önce kullanılabilir olan LockBit kurbanlarına ait yeniden yayınlanan veriler olduğu ve artık Dispossessor’ın ağında barındırıldığı ve bu nedenle LockBit’in kullanılabilirlik kısıtlamalarına tabi olmadığı iddia edildi,” dedi.
“Dispossessor, Cl0p, Hunters International ve 8base’den örneklerle daha önce diğer operasyonlarla ilişkilendirilen verileri yeniden yayınlıyor gibi görünüyor. Dispossessor’da listelenen ve daha önce diğer gruplar tarafından da listelenen en az bir düzine kurbanın farkındayız.”
Haziran 2024’ten itibaren tehdit aktörleri sızdırılan LockBit 3.0 şifreleyicisini kullanmaya başladı [VirusTotal] kendi şifreleme saldırılarında kullanılmak üzere, saldırılarının kapsamını önemli ölçüde genişletti.
Geçtiğimiz yıl boyunca kolluk kuvvetlerinin operasyonları, kripto para dolandırıcılığı, kötü amaçlı yazılım geliştirme, kimlik avı saldırıları, kimlik bilgisi hırsızlığı ve fidye yazılımı operasyonları da dahil olmak üzere birçok başka siber suç faaliyetini hedef aldı.
Örneğin, LockerGoga, MegaCortex, HIVE ve Dharma’yı dağıtan bir fidye yazılımı grubu olan ALPHV/Blackcat fidye yazılımına sızmak, onları engellemek ve ortadan kaldırmak için hack-back taktikleri kullandılar, Ragnar Locker fidye yazılımı operasyonu ve Hive fidye yazılımı.