Kolluk kuvvetleri bir süredir siber tehdit aktörlerine saldırıyor. FBI, kötü amaçlı operasyonlarını bozmak için birden fazla tehdit aktörüne ait birkaç sunucuyu kapattı.
Ancak FBI, “Radar/Dispossessor” adlı bir fidye yazılımı grubunun kapatıldığını duyurdu. Bu fidye yazılımı grubunun “Brain” adıyla bilinen bir kişi tarafından yönetildiği bildirildi.
Kolluk kuvvetleri üç ABD sunucusunu, üç İngiltere sunucusunu, 18 Almanya sunucusunu, sekiz ABD merkezli suç alan adını ve bir Almanya merkezli suç alan adını kaldırdı.
Radar/Mülksüzleştirme Fidye Yazılımı Grubu
Bu tehdit grubu ilk olarak Ağustos 2023’te tespit edildi ve zamanla kötü bir şöhrete kavuştu.
Bu hızlı popülerlik, tehdit grubunun üretim, geliştirme, eğitim, sağlık, finansal hizmetler ve ulaşım sektörlerindeki küçük ve orta ölçekli işletmeleri ve kuruluşları hedef alan ve saldıran faaliyetlerinden kaynaklanmaktadır. Bu tehdit aktörü başlangıçta Amerika Birleşik Devletleri’ndeki varlıklara odaklanmıştı.
Ancak FBI soruşturmaları, tehdit grubunun Arjantin, Avustralya, Belçika, Brezilya, Honduras, Hindistan, Kanada, Hırvatistan, Peru, Polonya, Birleşik Krallık, Birleşik Arap Emirlikleri ve Almanya gibi farklı ülkelere ait 43’ten fazla şirkete saldırdığını ortaya çıkardı.
Radar Fidye Yazılımı, saldırıya uğrayan kuruluşlardaki dosyaların hem sızdırıldığı hem de şifrelendiği ikili bir gasp yöntemi kullanıyor.
Ayrıca, mağdurlar tehdit edilerek ödeme yapmaya zorlanıyor, aksi takdirde kritik verilerinin sızdırılması veya yok edilmesiyle sonuçlanıyor.
Ancak bu Radar fidye yazılımı grubunun tehdit faaliyeti, ilk erişim vektörünü, kurban şirketleri izole etmek ve saldırmak için savunmasız bilgisayar sistemlerini, zayıf parolaları ve iki faktörlü kimlik doğrulamanın eksikliğini belirleyerek başlatıyor.
Bir güvenlik açığını tespit edip sistemlere erişim sağladıklarında, ortamda bulunan hassas dosyalara daha kolay erişim sağlayacak yönetici haklarına sahip olurlar.
Bunun ardından dosyalar, kurbanın ortamında şifrelenmiş haldeyken saldırganın sunucusuna sızdırılır. Bu şifreleme, kurban kuruluşun hassas dosyalarına erişmesini engeller.
Diğer fidye yazılımı gruplarında olduğu gibi, şifrelenmiş sunuculara ve sistemlere, tehdit aktörüyle iletişime geçme talimatlarını içeren bir fidye notu bırakılır.
Eğer mağdurlar tehdit aktörleriyle iletişime geçmezse, tehdit aktörleri kurbanın şirketindeki diğer kişilerle e-posta veya telefon görüşmeleri yoluyla proaktif bir şekilde iletişime geçerler.
Bu e-postalarda ayrıca, şantaj baskısını artırmanın bir yolu olarak örgütlerden çalınan dosyaların sunulduğu bir video bağlantısı da yer alacak.
Ayrıca, müzakereler, fidye ödenmediği takdirde dosyaların kamuoyuna sızdırılmasına kalan süreyi gösteren bir geri sayım bulunan ayrı bir sızıntı sitesinde gerçekleşiyor. Etkilenen toplam işletme ve kuruluş sayısı henüz belirlenmedi.
FBI, Beyin veya Radar Fidye Yazılımı hakkında bilgisi olan kişileri veya işletmeleri veya kuruluşları fidye yazılımının hedefi veya kurbanı olmuşsa ya da halihazırda bir suç failine ödeme yapıyorsa ic3.gov veya 1-800-CALL-FBI numaralı telefondan İnternet Suçu Şikayet Merkezi ile iletişime geçmeye teşvik ediyor.
Kimliğiniz anonim kalabilir.” FBI’ın duyurusunda şöyle yazıyor. Kuruluşların yazılımlarını ve sistemlerini düzenli olarak güncellemeleri önemlidir.
Fidye yazılımı saldırısı olsa bile, dosyaların şifresinin çözüleceğinin garantisi olmadığından, mağdurların bu tehdit aktörlerine ödeme yapmamaları tavsiye ediliyor.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Acces