Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Büyük Saldırılarla Bağlantılı Üretken Fidye Yazılımı Operasyonu, ‘Her Şeyin Yakında Çalışacağını’ İddia Ediyor
Mathew J. Schwartz (euroinfosec) •
11 Aralık 2023
Siber suç yeraltındaki dedikodular, bir fidye yazılımı grubunun veri sızıntısı sitesinde ve kurban iletişim kanalında devam eden kesintinin kolluk kuvvetlerinin bir operasyonundan kaynaklandığını öne sürüyor.
Ayrıca bakınız: M-Trendler 2023 Raporu
Araştırmacıların raporuna göre, Rusça konuşan Alphv fidye yazılımı grubu BlackCat’in veri sızıntısı sitesi ve Tox eşler arası anlık mesajlaşma hesabı Perşembe gününden bu yana çevrimdışı kaldı.
“BlackCat’in bağlı kuruluşları ve ilk erişim aracıları da dahil olmak üzere tehdit aktörleri, kapatmanın bir kolluk kuvveti eylemi nedeniyle gerçekleştiğine inanıyor.” söz konusu New York merkezli tehdit istihbarat firması Red Sense’in baş araştırma görevlisi Yelisey Bohuslavskiy Pazar günü şunları söyledi:
Bohuslavskiy, en azından Royal/BlackSuit, BlackBasta ve Akira’nın yanı sıra büyük rakip LockBit dahil olmak üzere Conti sonrası fidye yazılımı sonrası birçok grubun yöneticileri tarafından dile getirilen görüşün bu olduğunu söyledi.
BlackCat’in liderliği herhangi bir şeyin yanlış olduğunu inkar etmeye devam ediyor – büyük olasılıkla itibarına dair endişeler varsa – ve sitenin herhangi bir emniyet teşkilatından herhangi bir yayından kaldırma bildirimi içermediğini söyledi. “Grubun şu anki durumu: ‘Her şey yakında işe yarayacak.’.”
Güvenlik operasyonları firması ReliaQuest bir blog yazısında, fidye yazılımı grubunun veri sızıntısı sitesinde “periyodik kesintilerle birlikte bağlantı sorunları geçmişi olmasına rağmen” devam eden kesintinin “grubun karşılaştığı en uzun kesintilerden birini işaret ettiğini” söyledi.
Birçok Saldırı Grubun İzini Sürüyor
Güvenlik araştırmacıları, BlackCat’in, şu anda feshedilmiş olan Conti fidye yazılımı grubunun bir yan ürünü olarak Kasım 2021’de piyasaya sürülmesinden bu yana veri sızıntısı sitesinde 650’den fazla kurbanı listelediğini söyledi. Fidye yazılımı gruplarının tümü veri sızıntısı siteleri çalıştırmaz ve tüm kurbanları listelemeyenler de yalnızca ödeme yapmayan kurbanların bir alt kümesini listeler.
Bohuslavskiy, aksaklıktan kolluk kuvvetlerinin sorumlu olması durumunda, bunun sürpriz olmayacağını, özellikle de grupla ilişkili kişilerin “çizgiyi aştığı” için söyledi. Grubun ABD’deki son zamanlardaki yüksek profilli kurbanlarından ikisi kumarhane ve otel devleri Caesars Enterprise ve MGM Resorts’du. Grup ayrıca düzenli olarak sağlık sektöründeki mağdurları da iddia ediyor ve Amerika merkezli bilgisayar korsanlarıyla çalışıyor gibi görünüyor.
Bohuslavskiy, “Rusya merkezli bir fidye yazılımı grubu olmak başka bir şey, ülkede bağlı bir şubeyle ABD topraklarına sızmak başka bir şey.” dedi.
Geçen yıl, LockBit yine herhangi bir gruba bağlı bilinen saldırıların en büyük sayısını (tüm kurban listelemelerinin %25’ini) oluştururken, BlackCat listelemelerin %11’ini oluşturarak ikinci oldu ve sağlık hizmetleri en çok etkilenen sektör olmaya devam etti, Cisco Talos 30 Eylül’de sona eren 12 aylık dönemi kapsayan siber suç ve siber saldırı eğilimlerine ilişkin yıllık incelemede bu ifadeler yer aldı.
Her iki fidye yazılımı operasyonu da o zamandan bu yana çalışmalarına hız kesmeden devam etti. Siber güvenlik firması BlackFog, Kasım ayında bilinen saldırıların aylık sayısının 89’a (bir rekor) yükseldiğini, LockBit ve BlackCat’in her birinin bilinen saldırıların yaklaşık beşte birini oluşturduğunu söyledi.
BlackCat’in yöneticileri bunu bir hizmet olarak fidye yazılımı operasyonu olarak çalıştırıyor; bu da bağlı kuruluşların grubun kripto kilitleyen kötü amaçlı yazılımını kullandığı ve operatörlerin ödenen her fidyeden bir pay aldığı anlamına geliyor. Herhangi bir saldırının arkasında hangi bireylerin olduğunu anlamak hâlâ zorlu. Bunun yerine güvenlik araştırmacıları, BlackCat örneğinde UNC3944, Scatter Swine, Muddled Libra ve Roasted 0ktapus olarak da bilinen Scattered Spider’ı içerebilen faaliyet kümelerine atıfta bulunma eğilimindedir.
İlişkilendirme Eksiklikleri
Fidye yazılımı olaylarına müdahale firması Coveware, fidye yazılımı operasyonlarının gelip gidebildiği “akıcılık” göz önüne alındığında, oyuncuların (yöneticiler, bağlı kuruluşlar, ilk erişim aracıları) çoğu, herhangi bir gruba veya faaliyet kümesine çok fazla dikkat edilmemesi konusunda uyardı. Aynı.
Yakın tarihli bir raporda, “Siber gaspçılar, bilinen hizmet olarak fidye yazılımı operasyonları arasında marka alışverişi yapabilir veya markasız yalnız kurtlar olarak çalışabilirler” dedi. “Etiketlerden kaçınmayı tercih ediyoruz ve müşterilerimizi ve okuyucularımızı ‘nasıl’ ve ‘ne’ konusunda eğiterek kendilerini savunabilmelerini tercih ediyoruz.”
BlackCat’in operasyonlarının kolluk kuvvetleri tarafından potansiyel olarak kesintiye uğraması, Hive’ın Ocak ayında Hollanda, Alman ve ABD emniyet teşkilatlarının öncülük ettiği yüksek profilli yayından kaldırılmasının ardından geldi. FBI, Hive’ın 1.500 kuruluşta kripto kilitleyici kötü amaçlı yazılım kullandığını ve bilinen fidye ödemelerinden 100 milyon doların üzerinde para aldığını söyledi.
Ekim ayında, bir polis operasyonu, 2019’da potansiyel olarak Maze’in yan ürünü olarak piyasaya sürülen, Rusça konuşan orta düzey bir operatör olan Ragnar Locker’ı çevrimdışı duruma getirdi.
Kalıcı Kesintileri Aramak
Bu yayından kaldırma işlemleriyle ilgili devam eden zorluklardan biri, operatörlere ve bağlı kuruluşlara rahatsızlık verse de, tutuklamalar olmadan ilgili kişilerin yeniden mağaza açabilmesidir. Pek çok grup, vatandaşlarını asla iade etmeyen Rusya’dan faaliyet gösterdiğinden, üyeleri çoğunlukla Batı yasalarının ötesinde faaliyet gösteriyor.
Malwarebytes güvenlik firmasında fidye yazılımı uzmanı olan Marcelo Rivero, geçtiğimiz ay bir araştırma raporunda, Ekim ayında, Hunters International adlı Hive’ın şüpheli bir yeniden başlatılmasının ortaya çıktığını, ancak operasyonun yöneticilerinin “Hive’ın kaynak kodunu satın alan ayrı bir kuruluş” olduğunu iddia ettiğini yazdı.
Reddedilmelere rağmen, “kötü amaçlı yazılımın kodlaması ve işlevselliğindeki örtüşme, doğrudan Hive’dan geldiğini gösteriyor” dedi.
İngiltere Ulusal Siber Güvenlik Merkezi CTO’su Ollie Whitehouse, geçen hafta Londra’da düzenlenen Black Hat Avrupa konferansında yaptığı açılış konuşmasında, fidye yazılımı alanındaki bireyler için hayatı zorlaştıracak daha iyi yollar bulmaya şiddetle ihtiyaç duyulduğunu söyledi.
Açık kaynaklı bir altyapıya atıfta bulunarak, “Düşmanlarımıza ölçülebilir bir maliyet nasıl uygularız? Altyapılarını yakmanın, tamamen yeni bir sitede Terraform komut dosyası çalıştırmalarına neden olmaktan başka bir işe yaradığına inanmıyorum” dedi. Bulut tabanlı hizmetleri hızlı bir şekilde desteklemek için kullanılan bir kod aracıdır.
Whitehouse, endüstrinin, rakiplerine “ofiste göz yaşartıcı, kötü bir gün” yaşatarak onları “caydırmak” için daha iyi yollara ihtiyacı olduğunu söyledi; ancak bu taktiklerin ne olabileceği “hem insani hem de teknolojik düzeyde” bizim için belirsizliğini koruyor. “