Dolandırıcılık Yönetimi ve Siber Suç, Fidye Yazılımı
Kripto para birimi izleme, grubun Rusça konuşan Blackcat grubunun yeniden markası olduğunu önerir
Mathew J. Schwartz (Euroinfosec) •
13 Ağustos 2025
Daha az bilinen fidye yazılımı grupları bile ciddi gasp nakit para çekiyor – fidye yazılımı dünyasında, göründüğü şey çok az.
Ayrıca bakınız: En son Geter ATT & CK değerlendirmeleri için tam kılavuz
Embargo adlı bir yıllık gruba 34,2 milyon dolar değerinde kripto para birimi ödemelerini takip eden Blockchain istihbarat firması TRM Labs’tan bir rapor alın.
Embargo, en azından isim olarak göreceli bir yeni gelen. Siber güvenlik firması ESET, Embargo’nun Haziran 2024’te Rust’ta yazılmış nispeten sofistike iki araç içeren saldırılarda ortaya çıktığını bildirdi: MDeployer ve MS4Killer olarak adlandırdığı bir uç nokta algılama ve yanıt öldürme aracı kodlu bir yükleyici.
“MS4Killer, her bir kurbanın ortamı için özel olarak derlendiği, yalnızca seçilen güvenlik çözümlerini hedeflediği ve bunları devre dışı bırakmaya çalıştığı için özellikle dikkat çekicidir.
Grubun sofistike ve on milyonlarca dolar değerinde taşınması, aslında fidye yazılımı sahnesine yeni gelen olmaması olabilir. TRM Labs, bunun yerine AMARGO’nun ALPHV olarak da bilinen kötü şöhretli Blackcat grubunun yeniden markası veya halefi gibi göründüğünü söyledi. Bulgunu “Pas programlama dilini kullanma, benzer şekilde tasarlanmış bir veri sızıntısı sitesi ve zincir üstü örtüşmeler dahil olmak üzere çoklu teknik ve davranışsal benzerliklere dayanmaktadır.
Grubun sık sık kurbanları arasında ABD sağlık, iş hizmetleri ve imalat firmaları, yurtdışındaki hastaneler ve ilaç ağları bulunmaktadır. Gruba bilinen en büyük tek fidye ödemesi 1.3 milyon dolara ulaştı.
TRM Labs, “Grup, hizmet kesintilerinin hayatı tehdit eden sonuçlara yol açabileceği ve ödeme baskısını artırabileceği acil iyileşme zaman çizelgeleri – özellikle sağlık hizmetleri – sektörlerini hedefliyor.” Dedi. “Bu strateji, tehdit aktörlerinin kritik altyapıya saldırarak maksimum kaldıraç aradığı fidye yazılımı ekosistemindeki daha geniş eğilimleri yansıtıyor.”
Blackcat, Kasım 2021’de şu anda yok olan Rusya merkezli Conti fidye yazılım grubunun bir spinoffu olarak başlatıldı. Kolluk kuvvetleri, Aralık 2023’te Blackcat’ın veri sızıntısı alanını ve kurban iletişim kanalını geçici olarak bozdu ve ardından iyileşti.
Blackcat’ın operatörleri, “Notchy” adlı bir bağlı kuruluşun, UnitedHealth Group’un bir parçası olan Amerikan Sağlık Hizmetleri firması Optum’un Değişiklik Sağlık Birimi’nden 22 milyon dolarlık bir fidye atmasının ardından Mart 2024’te kapattı.
Batı bağlı kuruluşuna kesinti – endüstri standardı% 70 ila% 80 – Rusça konuşan operatörler kendileri için tuttu ve kolluk kuvvetleri tarafından kapatılmış gibi davrandılar.
Sadece birkaç ay sonra, çekirdek operatörler farklı bir isim altında yeniden başlatılmış olabilir. TRM Labs, “Tarihi Blackcat bağlantılı adresler, ambargo kurbanlarıyla ilişkili cüzdan kümelerine fon sağladı.” Dedi.
Embargo, fidye fonlarını “küresel sanal varlık hizmet sağlayıcıları, dava açmayan ve yüksek riskli değişimler, karıştırma hizmetleri, eşler arası pazarlar ve şimdi onaylanmış platform cryptex.net” deki yüzlerce mevduatla çamaşır çıkarıyor.
Embargo’ya bağlı gelir kısmen dikkat çekicidir, çünkü grup – tüm görünen soyağacı için – en azından iddia edilen kurbanların sayısına dayanarak ilk 10 gasplada yer almıyor gibi görünüyor. Bu yılın ikinci çeyreği için, siber güvenlik firması Rapid7 oyunda 65 fidye yazılımı grubu saydı. Veri sızıntısı sitelerine en çok saldırı olduğunu iddia eden gruplar Qilin, Safepay, Akira, Play ve Lynx, ardından Inc Ransom, Dragonforce, Nightspire, avcılar ve sarkom.
Bu sıralamalar, en çok kurbanları iddia eden fidye yazılımı grubunun Qilin olduğunu, 73 kuruluşun ardından 59, 42’de SafePay, 38 yaşında Akira ve 24 ile oynadığı sıralamalar, siber güvenlik firması Cyble’a bildirdi.
Bu tür sayılar bir doz şüphecilik gerektirir. Fidye yazılımı grupları, kârlarını detaylandıran yıllık ifadeler vermez. Bazı gruplar, kurbanları ödemeye zorlamak ve gruplarının profilini arttırmak için veri sızıntısı alanlarında sadece ödeme yapmayan kurbanların bir alt kümesini listeler.
Fidye yazılımı ekosistemi – asla başlangıçta istikrarlı – Hive, Lockbit ve Blacksuit gibi gruplarda Batı kolluk kuvvetleri baskılarını ortadan kaldırdığı için artan bir kaos dönemi yaşıyor. Yayından kaldırma, Rusça konuşan birçok uygulayıcı arasında parçalanmayı ve güvensizliği tetikledi ve İngilizce konuşan saldırganları kendi yollarına gitmek için güçlendirdi (bkz:: Fidye yazılımının baş aşağı, topsy-turvy dünyası).
Fidye yazılımı operatörleri ve iştirakleri gelebilir veya gidebilir ve belki de bir takma ad dışında nadiren kamuya açıklanabilir. Bazen, bağlı kuruluşlar bir seferde birden fazla operasyonla çalışır. Blockchain analizi bunu destekliyor. TRM Labs, “RAAS modeli ile tutarlı olarak, ambargo iştirakleri, diğer fidye yazılımı grupları için kampanyalara katıldılar – bağlı kuruluş katılımının fırsatçı ve akıcı doğasını birden fazla operasyona yansıtıyor.” Dedi.
Fidye yazılımı operasyonlarının kaputuna bakın ve birçoğu aynı görünür ve kurbanlarının pahasına cömertçe kâr etmeye devam edin.