Bilgisayar korsanları, kurbanların verilerini şifreleyerek ve serbest bırakılması için fidye talep ederek onlardan zorla para almalarına olanak tanıyan fidye yazılımlarından yararlanıyor.
Bu yöntem oldukça kazançlı olsa da faillerin izini sürmek çoğu zaman zordur.
Sentinel One araştırmacıları yakın zamanda Ikaruz Red Team gibi Hacktivist grupların düzeni bozmak ve siyasi nedenlere dikkat çekmek için fidye yazılımlarını giderek daha fazla kullandığını keşfetti.
Sızan inşaatçılardan yararlanan Ikaruz Kırmızı Ekibi ve Turk Hack Team ve Anka Underground gibi uyumlu gruplar yakın zamanda Filipin hedeflerine saldırılar düzenleyerek hükümetin CERT-PH markasını gasp etti.
Ikaruz Kırmızı Takımı LockBit Builder’dan Faydalanıyor
2023’ten günümüze kadar geçen sürede, Ikaruz Kırmızı Ekibi (IRT), web sitelerini tahrif etmeye, onları DDoS’lemeye dahil oldu ve şimdi bölgede meydana gelen daha geniş bir hacktivizm dalgasının parçası olarak fidye yazılımlarına yöneliyor.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın
Buna, Filipinler’in stratejik konumu nedeniyle Çin’de artan gerilime paralel olarak fidye yazılımı, dezenformasyon ve casusluk kampanyaları yürüten Robin Cyber Hood ve Philippine Exodus gibi gruplar da dahildir.
Bu bağlamda IRT, Hamas yanlısı Anka Red Team ve Turk Hack Team ile bağlarını paylaşıyor.
.webp)
Daha önce ana saldırı vektörü olarak tahrifat yapmayı taahhüt eden bu grup, bu amaçla sızdırılan LockBit geliştiricilerini temel alan küçük ölçekli fidye yazılımı saldırıları kullanmaya başladı; fidye notlarını değiştirdiler ancak parasal nedenlerden ziyade kesintiyi gösteren müzakerelerin ayrıntılarını değiştirmediler.
Ocak 2023’ten bu yana, diğerlerinin yanı sıra LockBit, JellyFish ve Vice Society’yi kullanan IRT tarafından birçok Filipin kuruluşuna karşı saldırı yapıldığı iddia edildi.
SentinelOne, IRT yükünün LockBit’in simgesinin yerini alacak özel bir .ico dosyası içerdiğini ancak gerekli RED.png dosyasına referansta bir hata oluştuğunu söyledi.
Yürütüldüğünde, LockBit’i (lb3.exe) çıkarır ve başlatır, dosyaları .Uc2RrigQ uzantılı hızla şifreler ve eşleşen fidye notlarını bırakır.
.webp)
IRT, muhtemelen siber güvenlik çabalarıyla alay etmek veya kötü niyetli faaliyetleri gizlemek amacıyla Filipin hükümeti CERT-PH ve Hack4Gov CTF görüntülerini veya markalamayı tercih ediyor.
BreachForums ve GitHub gibi platformlarda “IkaruzRT” ve “Ikaruz Reignor” takma adlarıyla faaliyet gösteren IRT, Anka Red Team, Anka Underground ve Hamas yanlısı Türk Hack Team ile bağlantısı olduğunu iddia ediyor.
Siyasi davaları teşvik ederken Yakult Filipinler gibi ihlallerin reklamını yaptı. Sosyal medya varlığı, Ağustos 2023 ile Ocak 2024 arasında Filipinli kurbanlardan veri sızıntılarının desteklenmesini içeriyor.
Ikaruz Kırmızı Ekibi, karmaşık olmayan ancak zarar veren Filipin saldırıları gerçekleştiren daha büyük bir hacktivist hareketin içinde yer alıyor; bu saldırılar, potansiyel olarak Çin ile kritik altyapıyı istikrarsızlaştırmayı amaçlayan artan bölgesel gerilimlerin bir parçası.
IOC’ler
.webp)
ANYRUN kötü amaçlı yazılım korumalı alanının 8.’si Doğum Günü Özel Teklifi: 6 Aylık Ücretsiz Hizmet Kazanın