Bilgisayar korsanları, fidye müzakereleri sırasında pazarlık güçlerini artırmak için verileri şifrelemeden önce verileri sızdırıyor.
Özel bilgilerin kamuya ifşa edilmesi tehdidi, mağdurların derhal fidye ödemesi konusundaki aciliyeti artırıyor.
Secureworks Karşı Tehdit Birimi araştırmacıları, GOLD IONIC olarak bilinen INC Ransom grubunu takip ediyor.
INC Ransom Group Verileri Sızdırıyor
Ağustos 2023’te ortaya çıkan bu tehdit grubu, çifte şantaj taktiği uyguluyor: Şifrelemeden önce verileri sızdırıyor, ardından mağdurlara fidye ödemeleri için baskı yapmak üzere kamuya ifşa etme tehdidinde bulunuyor.
Ağustos 2023 ile Mart 2024 arasında, GOLD IONIC’in Tor sızıntı sitesi 72 kurbanın adını yayınladı ve bunlara Nisan 2024’te 7 kişi eklendi. Sanayi, sağlık ve eğitim sektörlerindeki Amerikalı kurbanlara odaklanmasına rağmen dünya çapında yayıldı.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Diğer e-posta güvenlik çözümlerinin kaçırdığı kimlik avı saldırılarının %99’unu durdurur. .
Ücretsiz Demoyu Deneyin
SecureWorks, GOLD IONIC’in bağlı kuruluşlar yerine dosyaları fidye için şifreleyen solo bir grup gibi göründüğünü söyledi.
Toplu sürümler olarak yayınlanan olası istisnalar dışında, aylık rakamlarda tutarlı bir model var gibi görünüyor.
.webp)
Mali motivasyona sahip birçok grup gibi GOLD IONIC de coğrafyalar ve sektörler arasında ayrım gözetmeyen, fırsatçı saldırılar gerçekleştiriyor.
Ancak mağdurların çoğu ABD merkezli kuruluşlardır ve en çok etkilenen ikinci ülke olan Birleşik Krallık ile önemli bir fark vardır.
.webp)
Batılı kurbanların yaygınlığı ve Bağımsız Devletler Topluluğu ülkelerinden mağdurların azlığı, grubun muhtemelen Rusya’da veya bir BDT ülkesinde faaliyet gösterdiğini gösteriyor.
Ağustos 2023’ten Mart 2024’e kadar diğer fidye yazılımı gruplarına kıyasla eğitim kurumlarının daha fazla temsil edildiği en yaygın hedefler sanayi, sağlık ve eğitim kuruluşları olmasına rağmen hiçbir sektör öne çıkmıyor.
.webp)
Secureworks’ün olay müdahale görevlerinde GOLD IONIC, sürekli olarak INC fidye yazılımını dağıtır. Bir vaka potansiyel olarak LockBit bağlı kuruluşlarının tercih ettiği bir başlangıç vektörü olan “Citrix Bleed” güvenlik açığı (CVE-2023-4966) aracılığıyla ilk erişimi içeriyordu.
Saldırının ardından saldırgan, Meterpreter kabuğunu düşürdü, Active Directory’yi numaralandırdı, WinRAR ve Megasync kullanarak 70 GB’ın üzerinde veriyi arşivledi ve sızdırdı, ardından kurbanın adı verilen INC fidye yazılımı ikili dosyasını 500’den fazla sisteme kopyaladı ve dosyaları şifrelemek için PsExec aracılığıyla uzaktan çalıştırdı.
INC fidye notunda, veri sızıntılarını önlemek için tehdit aktörüyle 72 saat içinde “.onion” adresi aracılığıyla iletişime geçilmesi talimatı veriliyor.
Sızıntı bölgesi LockBit’inkine benzese de gruplar arasında bilinen başka bir bağlantı bulunmuyor.
%20and%20INC%20Ransom%20(bottom)%20leak%20sites%20(Source%20-%20Secureworks).webp)
INC Ransom sızıntı sitesi diğer fidye yazılımı gruplarının bazı kurbanlarını listeliyor. Bir vakada GOLD BLAZER’ın ALPHV fidye yazılımıyla eşleşen dosyalar ve fidye notu formatı yer alıyordu.
.webp)
Finansal motivasyona sahip bağlı kuruluşlar kendi çıkarları doğrultusunda hareket edebilir, hatta değiştirilmiş fidye bağlantılarıyla başka bir yere göndermek üzere verileri çalabilir.
Bazı bağlı kuruluşlar yediye kadar fidye yazılımı ailesi dağıttı. Dinamik bağlı kuruluş-operatör ilişkisi, sızıntı sitelerinde çapraz paylaşımları açıklayabilir.
Looking to Safeguard Your Company from Advanced Cyber Threats? Deploy TrustNet to Your Radar ASAP.