Cyber-Extortion Trinity (BianLian, White Rabbit ve Mario fidye yazılımı çeteleri), halka açık finansal hizmet şirketlerine karşı ortak bir gasp kampanyası başlatmak için birlikte çalışan araştırmacılar tarafından gözlemlendi.
Bu ortak fidye yazılımı saldırıları nadir olsa da, çeşitli Dark Web gruplarıyla çalışan İlk Erişim Aracıları (IAB’ler) nedeniyle daha sık büyüyebilirler.
Siber suçlu ağları kuran kolluk kuvvetleri eylemleri, daha fazla işbirliğini teşvik edebilecek başka bir unsurdur. Bu tehdit aktörü ağlarının yerinden edilmiş üyeleri, rakiplerle çalışmaya daha açık olabilir.
Resecurity, Inc. (ABD), bir kolluk kuvveti (LEA) ve Singapur’daki en iyi yatırım firmalarından biriyle yakın zamanda yapılan Dijital Adli Tıp ve Olay Müdahalesi (DFIR) ilişkisine dayanarak üç ana fidye yazılımı çetesi arasındaki bu önemli bağlantıyı buldu.
BianLian, White Rabbit ve Mario Fidye Yazılımı Çetelerine Genel Bakış
Aralık 2021’de bir ABD bankasına saldırdıktan sonra, Beyaz Tavşan Fidye yazılımı ailesi ilk kez finansal kurumlara (FI’ler) odaklanarak ortalıkta gözlemlendi.
Kurbanlara fidyelerini ödemeleri için dört veya beş gün süre vermek, Beyaz Tavşan’ın arkasındaki tehdit aktörlerinin başlangıçta benimsediği bir stratejiydi. Bu fidye ailesinin notu, mağdurları gözetim yetkililerine bildirmekle tehdit ediyor ve eğer şantaj parasını zamanında ödemezlerse işletmeleri para cezası ve Genel Veri Koruma Yönetmeliği (GDPR) yaptırımı riskiyle karşı karşıya bırakıyor.
Özellikle, White Rabbit’in fidye yazılımı notunda her zaman Ransomhouse Telegram Kanalından bahsediliyor.
CISA-ACSC tavsiyesine göre, Haziran 2022’den bu yana ABD’deki birçok önemli altyapı sektöründeki şirketler, BianLianfidye yazılımı kullanarak veri geliştiren, dağıtan ve talep eden bir siber suç grubudur.
Profesyonel hizmetleri, mülk geliştirmeyi ve Avustralya’nın temel altyapı sektörlerini hedef aldılar.
BianLian, meşru Uzak Masaüstü Protokolü (RDP) kimlik bilgilerini kullanarak kurban sistemlerine erişim elde eder, açık kaynak araçları ve komut satırı komut dosyalarını kullanarak kimlik bilgileri toplama ve keşif gerçekleştirir ve Dosya Aktarım Protokolü (FTP), Rclone veya Mega aracılığıyla kurban verilerini sızdırır.
BianLian örgütünün aktörleri daha sonra para koparmak için verileri yayınlamakla tehdit etti. BianLian grubu, verileri sızdırdıktan sonra ilk olarak kurbanların sistemlerini şifreledikleri çift gasp yöntemini kullandı.
MarioLocker fidye yazılımı türü bir kötü amaçlı yazılımdır. Bilgisayarlarına bu tür kötü amaçlı yazılım bulaşan kişiler genellikle dosyalarını görüntüleyemez veya kullanamaz.
Daha sonraki analizler, kurbanın ele geçirilen bazı bilgisayarlarında Mario fidye yazılımıyla bağlantılı bir imza taşıyan ek fidye yazılımı notlarının bulunduğunu ortaya çıkardı. Notta RansomHouse Telegram Kanalına açık bir referans yer alıyordu.
Dolayısıyla mevcut dinamik fidye yazılımı tehdit ortamı, kuruluşlar için önemli bir zorluk teşkil ediyor ve bu örnek, proaktif siber güvenlik stratejisi ve planlamasının hayati önemini vurguluyor.
Düzenli sistem güncellemeleri, güçlü tehdit tespit sistemleri ve personelin sosyal mühendislik saldırılarını tanımasına ve önlemesine yardımcı olacak çalışan eğitimi önerilir.