Dolandırıcılık Yönetimi ve Siber Suç, Fidye Yazılımı
Federal Hükümet, Operasyonun Lideri Olduğu İddia Edilen ‘Beyin’e Karşı da Suç Duyurusu Yaptı
Mathew J. Schwartz (euroinfosec) •
13 Ağustos 2024
FBI, onlarca ülkede kurbanlar toplayarak milyonlarca dolarlık zarara yol açan Dispossessor veya Radar olarak bilinen yeni bir fidye yazılımı grubunun dağıtılmasına öncülük etti.
Ayrıca bakınız: Web Semineri | 2024 Kimlik Avı İçgörüleri: 11,9 Milyon Kullanıcı Davranışının Riskiniz Hakkında Gösterdikleri
FBI, grubun altyapısına yönelik düzenlenen uluslararası operasyonda ABD’de üç, İngiltere’de üç ve Almanya’da 18 sunucunun yanı sıra ABD’de kayıtlı sekiz ve Almanya’da bir “suç alan adı”nın ele geçirildiğini bildirdi.
ABD federal savcıları, “Brain” lakabıyla bilinen grubun iddia edilen lideri hakkında iddianame düzenlediklerini duyurdu. Yetkililer, Brain’in Avrupa’da serbest dolaştığına inanıyor.
“Site yöneticileri, siz kim olduğunuzu biliyorsunuz. Konuşmak istiyorsanız bizimle iletişime geçin,” diyor grubun karanlık web sızıntı sitesinin yerini alan bir site kaldırma bildirimi.
Brain’e karşı şikayette bulunan ABD Kuzey Ohio Bölgesi Savcılığı, grubun yol açtığı zararın şu anki tahminlerinin milyonlarca doları bulduğunu ve “bunun devam eden bir soruşturma olduğunu ve verilen zararın kapsamının henüz belirlenmediğini” söyledi. Brain’e karşı açılan cezai şikayet henüz kamuoyuna açıklanmadı.
FBI, grubun kurbanlarını ic3.gov veya 1-800-CALL-FBI adresindeki İnternet Suç Şikayet Merkezi ile iletişime geçmeye çağırıyor, böylece fidye yazılımı grubunun neden olduğu hasarı daha iyi ölçebilir. Büro, “Kimliğiniz anonim kalabilir” dedi.
FBI, Dispossessor’ın Ağustos 2023’te ilk ortaya çıktığında ABD hedeflerine odaklandığını söyledi. Daha sonra grup, odak noktasını genişleterek nihayetinde sağlık, finansal hizmetler, eğitim ve ulaşım gibi sektörlerde kurbanlar topladı ve ağırlıklı olarak küçük ve orta ölçekli işletmelere odaklandı.
FBI, “Soruşturmada saldırıların kurbanı olan 43 şirket tespit edildi. Bu şirketler arasında Arjantin, Avustralya, Belçika, Brezilya, Honduras, Hindistan, Kanada, Hırvatistan, Peru, Polonya, Birleşik Krallık, Birleşik Arap Emirlikleri ve Almanya bulunuyor” dedi.
Diğer fidye yazılımı grupları gibi, Dispossessor bayrağı altında gerçekleştirilen saldırılar, kurbanların sistemlerine girmek için çeşitli taktikler içeriyordu. FBI, bunların arasında zayıf parolalara sahip sunuculara veya iki faktörlü kimlik doğrulaması olmayan sunuculara uzaktan erişimin yanı sıra bu sistemlerdeki bilinen güvenlik açıklarından yararlanmanın da yer aldığını söyledi.
En azından daha yakın tarihli saldırılarında, Dispossessor çifte gasp uyguladı, yani grup kurbanların sistemlerini kripto-kilitleyecek, verileri çalacak ve sızdırmakla tehdit edecekti. Bir şifre çözücü için fidye ödemeyen veya çalınan verileri sızdırmayacağına dair söz vermeyen kurbanlar, ödeme yapmayan kurbanları listeleyecekleri ve sonunda çalınan verileri ifşa edebilecekleri grubun veri sızıntısı sitesi aracılığıyla tehdit edildi.
FBI’a göre grup ayrıca e-postalar ve telefon görüşmeleri yoluyla baskıyı artırmak için kurban çalışanların çalışanlarıyla proaktif bir şekilde iletişime geçti. Büro, e-postalarda “önceden çalınan dosyaların sunulduğu video platformlarına bağlantılar” bulunduğunu söyledi. Bu her zaman şantaj baskısını artırma ve ödeme isteğini artırma amacı taşıyordu.
Yeniden Gasp Grubu
Dispossessor, en iyi ihtimalle orta seviye bir oyuncu gibi görünüyor; Akira, Alphv/BlackCat, LockBit, BianLian, Black Basta, BlackSuit veya Inc Ransom gibi şirketlerden daha az kurban veya kötü şöhrete sahip.
Dispossessor’ın ilk başta yalnızca gasp amaçlı bir girişim olarak başladığı ve diğer fidye yazılımı gruplarının sızıntı sitelerinden bolca yararlandığı anlaşılıyor.
Siber güvenlik firması SentinelOne, grubun Şubat ayında kendi ağı üzerinden barındırdığı 330 LockBit mağduruna ait verileri listelediğini söyledi.
Dispossessor ayrıca, daha önce sızdırılan verilerin indirilebilir ve potansiyel olarak satılabilir olduğunu duyurmak için İngilizce konuşulan BreachForums ve Rusça konuşulan XSS gibi siber suç forumlarının yanı sıra Telegram kanallarını da kullandı.
Mart ayına gelindiğinde, sosyal platform X’teki Ransomfeed hesabı, o dönem Dispossessor veri sızıntısı sitesinde listelenen 332 kurbandan 328’inin Cactus, Clop, 8Base ve diğer fidye yazılımı operasyonları için bir toplu site olan Snatch gibi grupların sızıntı sitelerinde göründüğünü bildirdi.
Ransomfeed, “Bizim bakış açımıza göre bu bir fidye yazılımı değil, başka grupların iddialarını kullanarak (hiçbir şey yapmadan) para kazanmaya çalışan bir grup dolandırıcıdır” dedi.
Borçlanma bununla da bitmedi. Tehdit istihbarat firması SOCRadar, Dispossessor’ın veri sızıntısı sitesinin “orijinal LockBit sitesine çarpıcı bir şekilde benzediğini” söyledi. Bunun “aynı operatörler tarafından yeniden markalaşma çabası mı yoksa LockBit’in altyapısını kullanan yeni bir grup” anlamına gelip gelmediği açık değildi.
Veya Dispossessor, LockBit’in sitesinin görünümünü ve hissini kopyalamış ve kendini daha aktif bir işletme gibi göstermek için kurbanları ödünç almış olabilir (bkz: Fidye Yazılımı Gruplarının Veri Sızıntısı Blogları Yalan Söylüyor: Onlara Güvenmeyi Bırakın).
SOCRadar, grubun aynı zamanda, muhtemelen kendi kurbanlarını toplamak amacıyla, “Dispossessor” bayrağı altında yeni saldırılar başlatmak için “kırmızı takım” üyeleri aradığını söyledi.