Tehdit istihbaratı araştırmacıları, The Gentlemen’s RaaS adı verilen yeni bir hizmet olarak fidye yazılımı (RaaS) operasyonunun zeta88 tanıtıcısını kullanan bir operatör tarafından yeraltı hack forumlarında aktif olarak işe alındığını tespit etti.
Platformlar arası tehdit, fidye yazılımı yeteneklerinde önemli bir evrimi temsil ediyor ve saldırganlara Windows, Linux ve ESXi sistemleri için hem Go hem de C programlama dillerinde kodlanmış özel şifreleme dolapları sunuyor.
Bu gelişme, birden fazla işletim sistemi genelinde kurumsal altyapıyı hedef alan fidye yazılımı operasyonlarının artan karmaşıklığının ve ticarileşmesinin altını çiziyor.
Gentlemen’s RaaS, deneyimli tehdit aktörlerini ve organize suç gruplarını çekmek için tasarlanmış alışılmadık derecede avantajlı bir ortaklık programı kullanıyor.
Operatör, bağlı kuruluşlara fidye gelirlerinin yüzde 90’lık etkileyici bir payını sunuyor ve yalnızca yüzde 10’luk bir işletim ücretini elinde tutuyor.
Bu cömert gelir paylaşımı, operasyonu rakip RaaS platformlarından ayırıyor ve operatörün teknik altyapıya ve mağdur edinme yeteneklerine önemli ölçüde güvendiğini gösteriyor.
En önemlisi, ortaklık programı ortaklara fidye müzakereleri üzerinde tam kontrol vererek, operatörlerin teknik arka uç ve kurban verileri barındırma işlemlerini yönetirken, onların iletişimleri ve gasp taktiklerini bağımsız olarak yönetmelerine olanak tanıyor.
Teknik Mimari ve Şifreleme
The Gentlemen’s RaaS’ın teknik özellikleri, birden fazla platformda dikkatli mühendisliği ortaya koyuyor.
Go’da geliştirilen Windows ve Linux dolabı, ağa bağlı depolama (NAS) ve BSD sistemleri de dahil olmak üzere geniş bir sistem yelpazesini hedefliyor. C dilinde kodlanan ESXi dolabı, yaklaşık 32 kilobaytlık olağanüstü küçük bir alanı koruyarak sanal altyapı üzerinde gizli dağıtıma olanak tanır.
Her iki bileşen de, toplu şifre çözme saldırılarını önlemek için dosya bazında oluşturulan geçici anahtarlarla Curve25519 anahtar değişim mekanizmalarıyla birleştirilmiş XChaCha20 şifrelemesini kullanan askeri düzeyde şifreleme kullanır.
Fidye yazılımı, güvenliği ihlal edilmiş ağlara yanal olarak yayılmak için çok sayıda karmaşık yayılma mekanizması kullanıyor.
Kendi kendine yayılma yetenekleri, kullanıcı etkileşimi gerektirmeden sistemler arasında geçiş yapmak için Windows Yönetim Araçları (WMI), WMIC, zamanlanmış görevler (SCHTASKS), hizmet denetleyicisi (SC) ve PowerShell uzaktan iletişiminden yararlanır.
Kalıcılık için, kötü amaçlı yazılım, programlanmış görevler ve kayıt defteri değişiklikleri aracılığıyla önyükleme sırasında çalıştırma işlevi oluşturarak, virüslü sistemlerin sistem yeniden başlatmaları sırasında kötü amaçlı yazılımı korumasını sağlar.
Otomatik ağ keşfi, erişilebilir ağ kaynaklarının sistematik olarak tanımlanması ve şifrelenmesiyle kapsamlı paylaşım keşfine ve şifrelemeye olanak tanır.
Operasyonel Güvenlik ve Dağıtım
Beyler RaaS’ı, profesyonel suç örgütü standartlarını yansıtan çeşitli operasyonel güvenlik önlemlerini uygulamaktadır.
Operasyon, yetkisiz yürütme ve analizleri önleyen, parola korumalı özelleştirilmiş yapılar ve şifre çözücüler içerir. Özellikle operatör, tüm çalışma modlarında şifrelenmiş dosyaları geri yükleyebilen evrensel bir şifre çözücüyü uygulamaya koymuştur; bu, bu platformu daha az karmaşık rakiplerden ayıran bir teknik özelliktir.
Coğrafi sınırlar, Rusça konuşulan siber suç operasyonlarında yaygın olarak gözlemlenen bir model olan, Rusya ve Bağımsız Devletler Topluluğu (BDT) bölgelerinden kaçınılarak uygulanmaktadır.
Operasyon, modern fidye yazılımı operasyonlarının yerleşik çifte gasp modelini izleyerek, sızdırılan bilgileri yayınlamak için özel bir veri sızıntısı web sitesi bulunduruyor.
Güvenlik araştırmacıları, iddia edilen tüm özelliklerin, aktif kampanyaların gözlemlenmesine kadar doğrulanmamış bağımsız değerlendirmeler olarak kaldığını vurguluyor.
Bu platformun ortaya çıkışı, tehdit aktörlerinin suç hizmetleri pazarında rekabet edebilmek için platformlar arası yeteneklere ve operasyonel altyapıya önemli ölçüde yatırım yapmasıyla, fidye yazılımı geliştirmenin ısrarla ticarileştirildiğini gösteriyor.
Windows, Linux ve sanallaştırılmış ortamları çalıştıran kuruluşlar, artık kurumsal ağlarda maksimum etki sağlamak üzere tasarlanmış bu çok platformlu araç seti ile donatılmış, gelişmiş, iyi kaynaklara sahip tehdit aktörlerinden kaynaklanan yüksek riskle karşı karşıyadır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.