Kapsamlı bir analiz, geçen yıl Hive, Royal ve Black Basta gibi kötü şöhretli fidye yazılımı grupları arasındaki bağlantıları ortaya çıkarır.
başlıklı bir raporda, “Kümeleme Saldırgan Davranışı Gizli Kalıpları Ortaya Çıkarıyor” Sophos, geçtiğimiz yıl Hive, Royal ve Black Basta gibi kötü şöhretli fidye yazılımı grupları arasındaki bağlantıları ortaya koyuyor.
Ocak 2023’te yapılan üç aylık araştırma, yöntemlerinde çarpıcı benzerlikler ortaya çıkardı ve Royal fidye yazılımı grubu ile diğer popüler fidye yazılımı grubu arasında bir dereceye kadar bağlantı veya bilgi alışverişi olduğunu öne sürdü.
Çarpıcı benzerlikler şunları içerir:
- Sistem girişi için aynı oturum açma kimlik bilgilerini kullanma.
- Son yükü kurbana özel .7z arşivleri aracılığıyla teslim etmek.
- Güvenliği ihlal edilmiş sistemlerde tutarlı komut yürütme için paylaşılan toplu komut dosyalarını kullanma.
Rapora göre, Royal fidye yazılımı grubu, bağlı kuruluşlara daha fazla güvendiğini gösteren belirgin, ayrıntılı benzerliklerle öne çıkıyor.
Güvenlik şirketinde baş araştırmacı olan Andrew Brandt, Royal fidye yazılımı grubunun yoldaşlarla işbirliği ve diğer gruplarla potansiyel bağlantıları hakkındaki bulgularının önemini vurguladı.
“Bu benzersiz davranışlar, Royal ransomware grubunun daha önce düşünülenden çok daha fazla bağlı kuruluşlara bağımlı olduğunu gösteriyor. Sophos’un baş araştırmacısı Andrew Brandt, Royal’in bağlı kuruluşlarla yaptığı çalışmalar ve diğer gruplarla olası bağları hakkında edindiğimiz yeni içgörüler, Sophos’un derinlemesine, adli tıp araştırmalarının değerini ortaya koyuyor” dedi.
Royal ransomware grubunun işbirlikçi doğası
Sophos X-Ops, bu kötü niyetli tehdit aktörleri arasındaki bağlantıları ortaya çıkarmak için üç aylık kapsamlı bir araştırma kapsamında dört fidye yazılımı olayını analiz etti.
Teknik analiz, Ocak 2023’teki Hive fidye yazılımı grubunu ve ardından aynı yılın Şubat ve Mart aylarında Royal’in eylemlerini kapsıyordu.
Bu zaman aralığında, Black Basta fidye yazılımı grubu da fidye yazılımı kampanyasını Mart ayında başlattı.
Özellikle FBI’ın Ocak 2023’ün sonlarında yaptığı müdahale, Hive’ın operasyonlarını önemli ölçüde etkiledi. Bu bozulma, potansiyel olarak eski Hive bağlı kuruluşlarının Royal ve Black Basta fidye yazılım gruplarıyla güçlerini birleştirmesine yol açarak sonraki saldırılarda gözlemlenen çarpıcı benzerlikleri açıkladı.
Çalışma, tekrarlayan taktiklerle karakterize edilen bir tehdit faaliyeti kümesini ortaya çıkardı. Ortak noktalar arasında dosyaların yeniden kullanımı (file1.bat, file2.bat, ip.txt, gp.bat), belirli kullanıcı adları/şifreler (Adm01/Adm02 | Pa$$w0rd991155, AdminBac | [email protected]@ssW, vb.) ve Zamanlanmış Görevler aracılığıyla kalıcılık yöntemlerinin oluşturulması.
Saldırganlar, halka açık sitelerdeki Cobalt Strike işaretlerinden yararlandı, base64’te PowerShell komutlarını dağıttı ve “exe” adlı bir kopyadan PowerShell’i yürüttü.
Ayrıca rapor, yinelenen PowerShell.exe’nin kullanıldığını ve “exe” adlı bir kopyanın oluşturulduğunu da tespit etti.
Bu fidye yazılımı gruplarının arkasındaki saldırganlar, uç nokta korumasını engellemek için Güvenli Mod’a başvurdu. Paylaşılan altyapı, tutarlı yükler ve standart IP adresleri, çeşitli fidye yazılımı aileleri arasında potansiyel bir bağlantıya işaret ediyordu.
Ünlü ve kötü şöhretli fidye yazılımı gruplarının kökenleri
Kraliyet fidye yazılımı
Royal fidye yazılımı grubunun ilk erişime yönelik sofistike yaklaşımı, genellikle kötü amaçlı PDF’ler ve geri arama kimlik avı kullanan becerikli kimlik avı kampanyalarını içerir.
Ağırlıklı olarak Amerika Birleşik Devletleri’ni (%64) hedef alarak, normal davranışları taklit ederek Cobalt Strike, NSudo ve PsExec gibi araçları yeniden amaçlıyorlar.
Grup, saldırıdan sonra ısrarla yeniden işe alınır ve gelecekteki istismarlar için sistemleri yeniden enfekte eder. Royal fidye yazılımı grubu, endüstri odaklı fidye yazılımlarının aksine, çeşitli sektörlerdeki güvenlik açıklarını fırsatçı bir şekilde kullanır ve kimliklerini karmaşık hale getirir.
Hive fidye yazılımı grubu
Hive fidye yazılımı grubu, Haziran 2021’de ortaya çıkan ve o zamandan beri sağlık, kâr amacı gütmeyen kuruluşlar ve enerji gibi çeşitli sektörleri hedef alan merkezi bağlı kuruluş tabanlı bir varlıktır.
Hizmet Olarak Fidye Yazılımı olarak faaliyet gösteren Hive fidye yazılımı grubu, bağlı kuruluşları fidye yazılımı saldırıları başlatmaları için donatır.
Taktikler arasında kimlik avı, VPN sızıntıları ve güvenlik açıklarından yararlanma yer alır. Fidye taleplerinin karşılanmaması durumunda kurbanları ‘HiveLeaks’ TOR sitesinde veri ifşası konusunda uyarırlar.
Hive’ın kökleri, paylaşılan kurban sızıntılarından anlaşılan Conti fidye yazılımı grubunun düşüşüyle bağlantılı.
Black Basta fidye yazılımı grubu
Bir hizmet olarak fidye yazılımı (RaaS) aktörü olan Black Basta fidye yazılımı grubu, Nisan 2022’de ortaya çıktı. Çifte gasp taktikleriyle tanınan bu grup, yakın zamanda Qakbot truva atı ve PrintNightmare istismarını bünyesine kattı. Yeni olmasına rağmen, Black Basta fidye yazılımı grubu, yaygın saldırılar yerine hedefli saldırıları tercih ediyor.
Özellikle, verileri sızdırmak amacıyla büyük şirketlere saldırıyorlar. Yeraltı pazarlarından ağ kimlik bilgilerini alma konusunda yetenekli olan bu kişilerin karmaşık yaklaşımı, tecrübeli siber suçlulara benzer.
Medya Sorumluluk Reddi: Bu rapor, çeşitli yollarla elde edilen şirket içi ve şirket dışı araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar, bu bilgilere güvendikleri için tüm sorumluluğu üstlenirler. Cyber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları için hiçbir sorumluluk kabul etmez.