İsrail’in en iyi teknoloji okulu Technion İsrail Teknoloji Enstitüsü (IIT), İsrail karşıtı duygularla dolu bir fidye notunda 80-Bitcoin ödemesi (basın zamanında yaklaşık 1,7 milyon dolar) talep eden DarkBit hacker grubu tarafından yapılan bir fidye yazılımı saldırısının kurbanı.
BlackBerry’den gelen bir rapora göre, üniversite saldırıyı tehdit aktörünün yükü derlemesinden bir gün sonra 12 Şubat’ta bildirdi.
BlackBerry’de bir tehdit araştırmacısı olan Dmitry Bestuzhev, “Bu, DarkBit’in kurbanın ağına ilk erişimi bundan bir süre önce sürdürdüğünü, implantın ise saldırı gerçekleşmeden birkaç saat önce derlendiğini gösteriyor olabilir” diyor.
BlackBit ayrıca, kuruluşun fidyeyi 48 saat içinde ödememesi durumunda miktarın %30 artacağı konusunda IIT’yi uyardı.
Hasarın boyutu, ihlalin kaynağı ve ilk bulaşma vektörü kamuya açıklanmadı.
Golang tabanlı fidye yazılımı, komut satırı argümanlarını kabul etme ve bağımsız olarak çalışma yeteneği gibi birkaç dikkate değer özelliğe sahiptir. Varsayılan modu, çok sayıda dosya türünü etkileyen AES-256’yı kullanarak kurbanın cihazını şifrelemeyi içerir. Ek olarak, daha hızlı ve daha etkili şifreleme sağlamak için çoklu okuma yöntemini kullanır.
Bestuzhev, Dark Reading’e fidye notu ile tehdit aktörünün Twitter hesabı ve Telegram profiline dayanarak saldırının ana motivasyonunun finansal olmaktan çok jeopolitik olduğunu söyledi.
Ek bir motive edici – intikam – bir DarkBit tweet’inde ve intikam peşinde koşan eski bir teknoloji çalışanının saldırıları gerçekleştirmek için araç ve yazılıma ilişkin içeriden bilgi kullanıyor olabileceği olasılığını ima eden fidye notunun metninde belirtildi.
“Yüksek teknolojiye nazik bir tavsiye [sic] şirketler: Bundan sonra, özellikle çalışanlarınızı işten çıkarmaya karar verirken daha dikkatli olun. [sic] inek olanlar. #DarkBit,” tweet belirtti.
Açıklama her ne kadar kırmızı ringa balığı olsa da, içeriden gelen tehditlerin – örneğin işten atılan kızgın bir çalışan veya kuruluşa zarar vermeye çalışan hoşnutsuz bir çalışan – güvenlik profesyonelleri için artan bir endişe kaynağı olduğunu belirtmekte fayda var.
Telegram, Twitter ve DarkBit web sitesindeki yorumlar da İsrail’e karşı bilgisayar korsanlığı motivasyonlarını sergiliyor.
Bestuzhev, bir üniversiteyi hedef almanın gürültü yarattığını ve jeopolitik gündem olduğundan, amacın mesajı yaymak olduğunu söylüyor.
“Okuyamayan ve çalışamayan birçok öğrenci ve meslektaş için bir mesaj yükseltici işlevi görüyor” diyor. “Saldırganın bakış açısından, mümkün olduğu kadar çok kişiye ulaşmak harika bir hedef.”
Çoklu Motivasyonlar: Politik, Finansal, Kişisel
Tanium’da uç nokta güvenlik araştırması direktörü Melissa Bischoping, bu saldırının birden çok motivasyona – siyasi bilgisayar korsanlığı, intikam ve mali kazanç – değindiğini kabul ediyor.
“DarkBit’in arkasında kim varsa, fidye notlarına siyasi rejimler hakkındaki duruşları ve teknik çalışanların işten çıkarılması ve işten çıkarılmasıyla ilgili yorumlar ekledi” diyor. “Bunun tamamen yeni bir grup mu yoksa önceki bir çetenin bir dalı mı olduğu henüz belli değil.”
Fidye yazılımlarının jeopolitikte giderek artan bir şekilde bir silah olarak kullanıldığına dikkat çekiyor çünkü kolayca satın alınabilir ve konuşlandırılabilir ve hızlı bir şekilde yüksek etkili yıkım sağlayabilir.
Bischoping, “Fidye yazılımı operatörleri fark edilmemekle ilgilenmiyor” diyor. “Aslında, tam tersi – bir mesaj göndermek, zarar vermek ve ödeme almak istiyorlar.”
Üniversitelerin popüler hedefler olabileceğini, çünkü genellikle yetersiz BT departmanlarına ve yönetilecek ve güvenlik altına alınacak birçok uç noktaya sahip olduklarını ve uzlaşma için birden fazla açıklığa sahip olduklarını açıklıyor.
“DarkBit’in sosyal medyası ve fidye notu, İsrail hükümeti ve bağlantılı kuruluşlara karşı açık siyasi duruşlar ve saikler gösterdiğinden, rastgele bir saldırı değildi” diye ekliyor.
Belirsiz Niyetler Daha Kötü Bir Şeyi Maskeleyebilir
Keeper Security’nin CEO’su ve kurucu ortağı Darren Guccione, bir tehdit aktörünün bir fidye yazılımı saldırısının veya diğer herhangi bir kötü amaçlı yazılım saldırısının ardındaki tek motivasyonun, apaçık görünen veya tehdit aktörlerinin kendileri tarafından dile getirilenler olduğunu varsaymanın tavsiye edilemeyeceğini söylüyor. .
“Fidye yazılımı genellikle ödeme almak için kullanılsa da, tehdit aktörleri bir hedefin sistemini veya BT altyapısını başka yollarla tehlikeye atmaya çalışırken, bu aynı zamanda bir sis perdesi veya ikramiye ödeme gününden başka bir şey olmayabilir” diyor.
Guccione, “Tehdit aktörünün bu saldırının arkasındaki açık veya gerçek motivasyonları ne olursa olsun, siber saldırının kapsamını değerlendirmek ve hasarı gidermek için tam bir soruşturma yapılmalıdır.”
Tüm fidye yazılımı saldırılarında olduğu gibi, benzer nitelikteki gelecekteki saldırıları caydırmak için fidye ödememeyi tavsiye ediyor.
Guccione, “Kuruluşlar, gelecekteki herhangi bir siber saldırının zararını azaltmak için sıfır güven, sıfır bilgi mimarisi uygulamayı da düşünmelidir” diyor.