BlackSuit olarak bilinen fidye yazılımı türü bugüne kadar 500 milyon dolara kadar fidye talep etti, tek bir fidye talebi ise 60 milyon dolara ulaştı.
Bu açıklama, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ile Federal Soruşturma Bürosu’nun (FBI) güncellenen duyurusuna göre yapıldı.
“BlackSuit aktörleri ödeme miktarları için pazarlık yapmaya istekli olduklarını gösterdiler,” dedi ajanslar. “Fidye miktarları ilk fidye notunun bir parçası değildir, ancak şifrelemeden sonra sağlanan bir .onion URL’si (Tor tarayıcısı üzerinden erişilebilir) aracılığıyla tehdit aktörüyle doğrudan etkileşim gerektirir.”
Fidye yazılımı içeren saldırılar, ticari tesisler, sağlık ve halk sağlığı, hükümet tesisleri ve kritik üretim tesisleri gibi çeşitli kritik altyapı sektörlerini hedef aldı.
Royal fidye yazılımının bir evrimi olan bu yazılım, kimlik avı e-postalarıyla elde edilen ilk erişimi, antivirüs yazılımını etkisiz hale getirmek ve hassas verileri sızdırmak için kullanır ve ardından fidye yazılımını dağıtarak sistemleri şifreler.
Diğer yaygın enfeksiyon yolları arasında Uzak Masaüstü Protokolü’nün (RDP) kullanımı, savunmasız internete bağlı uygulamaların kötüye kullanımı ve ilk erişim aracıları (IAB’ler) aracılığıyla satın alınan erişim yer alır.
BlackSuit saldırganlarının, kurban ağlarında kalıcılığı sağlamak için SystemBC ve GootLoader kötü amaçlı yazılımları gibi meşru uzaktan izleme ve yönetim (RMM) yazılımlarını ve araçlarını kullandıkları bilinmektedir.
“BlackSuit aktörlerinin kurban ağlarını saymak için SharpShares ve SoftPerfect NetWorx kullandıkları gözlemlendi,” diye belirtti kurumlar. “Herkese açık kimlik bilgisi çalma aracı Mimikatz ve Nirsoft’un parola toplama araçları da kurban sistemlerinde bulundu. PowerTool ve GMER gibi araçlar genellikle sistem süreçlerini öldürmek için kullanılır.”
CISA ve FBI, BlackSuit saldırganlarının fidye ve fidye konusunda mağdurlara telefon veya e-posta yoluyla bildirimde bulunduğu vakalarda artış olduğu konusunda uyarıda bulundu. Bu, fidye yazılımı çeteleri tarafından baskıyı artırmak için giderek daha fazla benimsenen bir taktik.
Siber güvenlik firması Sophos bu hafta yayınlanan bir raporda, “Son yıllarda tehdit aktörleri yalnızca doğrudan kuruluşları tehdit etmekle değil, aynı zamanda ikincil kurbanları da tehdit etmekle giderek daha fazla ilgileniyor gibi görünüyor” dedi. “Örneğin, Ocak 2024’te bildirildiği üzere, saldırganlar bir kanser hastanesinin hastalarını ‘swat’lamakla tehdit ettiler ve bir CEO’nun eşine tehdit edici kısa mesajlar gönderdiler.”
Hepsi bu kadar değil. Tehdit aktörleri ayrıca çalınan verileri yasadışı faaliyet, düzenleyici uyumsuzluk ve mali tutarsızlıkların kanıtı olarak değerlendirdiklerini iddia ettiler, hatta tehlikeye atılmış bir organizasyondaki bir çalışanın web tarayıcısı geçmişini yayınlayarak çocuk cinsel istismarı materyali aradığını söyleyecek kadar ileri gittiler.
Bu tür saldırgan yöntemler yalnızca hedeflerini ödeme yapmaya zorlamak için daha fazla baskı aracı olarak kullanılamaz, aynı zamanda onları etik dışı veya ihmalkar olarak eleştirerek itibarlarına zarar verebilir.
Bu gelişme, Lynx, OceanSpy, Radar, Zilla (Crysis/Dharma fidye yazılımının bir çeşidi) ve Zola (Proton fidye yazılımının bir çeşidi) gibi yeni fidye yazılımı ailelerinin vahşi doğada ortaya çıkmasıyla birlikte geliyor. Öte yandan, mevcut fidye yazılımı grupları cephaneliklerine yeni araçlar ekleyerek çalışma biçimlerini sürekli olarak geliştiriyorlar.
Örnek bir vaka, başlangıç enfeksiyon vektörü ve uzaktan erişim trojan’ı (RAT) olarak SharpRhino adlı yeni bir C# tabanlı kötü amaçlı yazılımı kullanan Hunters International’dır. ThunderShell kötü amaçlı yazılım ailesinin bir çeşidi olan bu yazılım, popüler ağ yönetim aracı Angry IP Scanner’ı taklit eden bir yazım hatası yapan etki alanı aracılığıyla iletilir.
eSentire’e göre kötü amaçlı reklam kampanyalarının kötü amaçlı yazılımı Ocak 2024’te teslim ettiği tespit edildi. Açık kaynaklı RAT’a Parcel RAT ve SMOKEDHAM da deniyor.
Quorum Cyber araştırmacısı Michael Forret, “Uygulama sırasında kalıcılık sağlıyor ve saldırgana cihaza uzaktan erişim sağlıyor, bu da saldırıyı ilerletmek için kullanılıyor,” dedi. “Daha önce görülmemiş teknikleri kullanarak, kötü amaçlı yazılım, saldırganın minimum kesintiyle hedeflemesini daha da ileri götürebilmesini sağlamak için cihazda yüksek düzeyde izin elde edebiliyor.”
Hunters International’ın artık faaliyette olmayan Hive fidye yazılımı grubunun yeniden markalanmış hali olduğu değerlendiriliyor. İlk olarak Ekim 2023’te tespit edilen bu grup, 2024’ün ilk yedi ayında 134 saldırının sorumluluğunu üstlendi.