Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , Sektöre Özel
Yeni Fidye Yazılımı Grubu, Feshedilmiş Avaddon Çetesinin Bir Dalı Gibi Görünüyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
13 Ekim 2023
Federal yetkililer, sağlık ve halk sağlığı sektörünü, artık Rusça konuşan Avaddon çetesinin halefi olduğuna inanılan, nispeten yeni, çok amaçlı fidye yazılımı olan bir hizmet olarak fidye yazılımı grubu olan NoEscape’i içeren tehditler konusunda uyarıyor.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Sağlık ve İnsani Hizmetler Bakanlığı Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi Perşembe günü yaptığı açıklamada, NoEscape’in Mayıs 2023’te ortaya çıkışından bu yana “zorlu bir rakip” olduğu ve “agresif” çoklu şantaj saldırılarıyla çeşitli endüstrileri hedef aldığı konusunda uyardı.
Grubun şu ana kadarki ana odağı profesyonel hizmetler, üretim ve bilgi hizmetleri kuruluşları gibi görünse de, özel sağlık ve kamu sağlık kuruluşlarına da saldırılar başlattı.
Tehdit izleme şirketi Darkfeed, Cuma günü itibarıyla toplam 77 NoEscape saldırısı kurbanı saydı.
HHS HC3, NoEscape gasp taleplerinin yüzbinlerce dolar ile 10 milyon doların üzerinde değiştiğini söyledi.
HHS HC3, “NoEscape siber tehdit ortamında yeni olabilir, ancak kısa varlığıyla zorlu bir rakip olduğunu kanıtladı” diye yazıyor. “Özellikle sağlık ve halk sağlığı verilerinin değeri, sağlık sektörünün geçerli bir hedef olmaya devam edeceğinin sinyalini veriyor.”
HHS HC3, grubun saldırılarının, kurbanların operasyonlarını aksatmak ve kuruluşa ödeme yapması için baskı yapmak amacıyla dağıtılmış hizmet reddi saldırılarıyla birlikte veri sızdırma ve şifrelemeyi içeren üç yönlü gaspı içerdiğini söyledi.
HHS HC3, NoEscape operatörlerinin bağlı kuruluşlara DDoS hizmetini ekstra 500.000 $ ücret karşılığında sunduğunu ve koşulların Bağımsız Devletler Topluluğu veya eski Sovyetler Birliği cumhuriyetlerinde bulunan saldırı birimlerini yasakladığını söyledi.
Grup ayrıca kurbanlarını karanlık web blogunda listeliyor ve fidye almadığı takdirde çalınan verileri sızdırmakla tehdit ediyor (bkz: Tattletale Fidye Yazılımı Çeteleri GDPR İhlallerini Ortaya Çıkarmakla Tehdit Ediyor).
Büyüyen Tehditler
NoEscape, sağlık sektörü kuruluşlarını ve diğer sektörleri hedef alan, yakın zamanda ortaya çıkan fidye yazılımı çeteleri veya yan grupları arasında yer alıyor.
Bu tür diğer gruplar arasında, yaklaşık altı ay önce ortaya çıkan ve birçok sektördeki ağırlıklı olarak küçük ve orta ölçekli kuruluşlara yönelik düzinelerce saldırıyla bağlantılı olan RaaS tehdit aktörü Akira da yer alıyor. HHS HC3 de yakın zamanda Akira hakkında bir uyarı yayınladı (bkz: Federaller Sağlık Sektörünü Akira Fidye Yazılımı Tehditleri Konusunda Uyardı).
Güvenlik firması Emsisoft’tan tehdit analisti Brett Callow, “Fidye yazılımı sorunu, daha da kötü olmasa da, her zamankinden daha kötü” dedi.
“Mevcut olanların açıkça işe yaramadığı için yeni fidye yazılımına karşı stratejilere gerçekten ihtiyacımız var” dedi.
Callow, politika yapıcıların neyin işe yaradığını daha iyi anlayabilmeleri için hükümetlerin raporlama ve açıklama gerekliliklerini güçlendirmesi gerektiğini söyledi. Hükümetin fidye taleplerinin ödenebileceği koşulları da kısıtlamayı düşünmesi gerektiğini söyledi.
“Bu son nokta tartışmalı ama bu noktada hükümetlerin ciddi olarak düşünmesi gereken bir konu” dedi.
Kaçış Özelliği Yok
HHS HC3, NoEscape fidye yazılımının geliştiricilerinin bilinmediğini ancak kötü amaçlı yazılımlarını ve ilgili altyapıyı “tamamen sıfırdan” oluşturduklarını iddia ettiklerini söyledi.
Ancak HHS HC3, güvenlik araştırmacılarının NoEscape ve Avaddon’un fidye yazılımı şifreleyicilerinin neredeyse aynı olduğunu, yalnızca şifreleme algoritmalarında dikkate değer bir değişiklik olduğunu belirtti.
“Daha önce Avaddon şifreleyici, NoEscape’in Salsa20 algoritmasına geçiş yapmasıyla dosya şifreleme için AES’i kullanıyordu. Aksi takdirde, şifreleyiciler neredeyse aynıdır; şifreleme mantığı ve dosya formatları neredeyse aynıdır; RSA şifreli dosyaları parçalamanın benzersiz bir yolu da dahil lekeler.’”
HHS HC3, araştırmacıların Avaddon’dan farklı olarak NoEscape’in Avaddon ile ilgili olduğunu gösteren kanıtlar gözlemlemesine rağmen, kuruluşların şifrelenmiş dosyaları kurtarmak için kullanabileceği ücretsiz bir NoEscapte şifre çözücü olup olmadığının henüz belirlenmediğini söyledi.
“O zamana kadar, belirli bir tespit ve önleme yöntemi uygulanmadığı sürece, NoEscape fidye yazılımının başarılı bir şekilde kullanılması neredeyse kesinlikle önemli miktarda verinin şifrelenmesine ve sızdırılmasına yol açacaktır.”
Varlıkların NoEscape fidye yazılımı saldırılarına karşı korunmasına yardımcı olabilecek önleme ve azaltma adımları arasında, kritik verilerin düzenli yedeklerinin tutulması ve tercihen yedeklerin çevrimdışı olarak saklanması; yazılımı ve yamaları güncel tutmak; çok faktörlü kimlik doğrulamanın kullanılması; güvenlik duvarlarının uygulanması ve gelen ve giden ağ trafiğinin izlenmesi; HHS HC3, iyi tanımlanmış bir olay müdahale planının mevcut olmasını tavsiye etti.