Dolandırıcılık Yönetimi ve Siber Suç, Fidye Yazılımı
Her iki fidye yazılımı operasyonu aktif kalır ve bir tehdit oluşturur, uzmanlar uyardı
Mathew J. Schwartz (Euroinfosec) •
20 Şubat 2025
İsimleri “Siyah” varyantları olan fidye yazılımı grupları, yeni yılın ilk birkaç ayına sahip. Blacklock’a bağlı saldırılar artıyorken, uzun süredir devam eden siyah Basta, mevcut bir tehdit olmaya devam etse bile dağılmaya hazır görünüyor.
Ayrıca bakınız: Canlı Web Semineri | Expored QR kodları: Kolaylıktan Siber Güvenlik Kabusu
Siber güvenlik firması Reliaquest, ilk olarak Mart 2024’te görülen BlackLock fidye yazılımı, ilk olarak Mart 2024’te görülen Windows, VMware ESXI ve Linux sistemleri enfekte etmek için fidye yazılımı oluşturuyor.
El Dorado veya Eldorado olarak da bilinen Blacklock, çift gasp uygular, bu nedenle sistemlerini şifrelemeden önce kurbanlardan veri çalır, bir şifreleme için fidye talep eder ve çalınan verileri yayınlamama sözü verir. Reliaquest, Blacklock’un veri sızıntısı sitesinin, geçen yılın son üç ayında bir önceki üç ay boyunca on dört kat daha fazla kurbanın listesini listelediğini söyledi.
Fidye yazılımı grupları, mağdurların kimliği ve miktarı da dahil olmak üzere düzenli olarak yatmaktadır. Buna rağmen, kara karalama perpetasyonlu saldırılardaki herhangi bir artış, yeni ortaya çıkan grubun hızla büyüdüğünü göstermektedir.
Fidye yazılımı gruplarının kötü amaçlı yazılımlarının kalitesi, bazılarının diğerlerinden daha fazla kurbanı biriktirmesine neden olan bir faktördür. Oyun, Qilin ve Blacklock operasyonları, kendi özel krykerlerini koruyan mevcut gruplar arasında. Üst düzey oyuncular tarihsel olarak, kötü amaçlı yazılımlarının rekabetten daha hızlı ve daha sert olduğunu iddia ederek en iyi iştirakleri tespit etmek ve çekmek için dolaplarını daha zor hale getirmek için bunu yaptı.
Bu tür gruplar, Reliaquest’te bir siber telaş analisti olan Jim Wilson, BL00DY, Dragonforce ve RA World’in beğenilerinin aksine. Bu tür gruplar teknik bilgiden yoksun olabilir veya üst düzey kalkınma yeteneklerini karşılayamayabilir. Savunucuların tersi, altta yatan kodu inceleyebilmeleri ve çoğu zaman hedeflenen savunmaları hazırlayabilmeleridir.
Blacklock’un siber suçlu yeraltı varlığı son aylarda gelişti. Wilson, Blacklock’un yeni iştirakler, başlangıç erişim brokerleri ve üst düzey programlama ve geliştirme uzmanlarını işe almak için bir sap olarak “$$$” kullanarak rampa siber suç forumunda düzenli olarak yayınladığını söyledi. Grup, saldırıyı daha deneyimli operasyon üyelerine teslim etmeden önce kurbanları kötü niyetli sitelere yönlendirebilen bilgisayar korsanları düzenli olarak “kaçaklar” için reklam veriyor.
Olay müdahalesi firmaları, kimlik avı saldırılarının ve uzaktan erişim araçlarından ödün vermenin fidye yazılım gruplarının kurbanın ortamlarına ilk erişim elde etmesinin ve ardından bilinen yazılım güvenlik açıklarından yararlanmanın en yaygın yolu olduğunu söylüyor.
Üst uçuş grupları genellikle bu stratejilere yeni yaklaşımlar ararlar. 28 Ocak’ta $$$, daha önce Azure Active Directory olarak bilinen Active Directory ve Entra arasındaki değişiklikleri senkronize eden Microsoft’un Entra Connect Sync’i kötüye kullanmak için gerekli becerilerle rampa bilgisayar korsanlarında talep etti.
Gönderi, Aralık 2024’te Specterops’tan, saldırganların bir kullanıcının hesabının anahtarı olan iş için kendi pencerelerini ekleyerek Entra’nın senkronizasyon yeteneklerini potansiyel olarak nasıl kötüye kullanabileceğini detaylandıran araştırmalara atıfta bulundu. Bu tür saldırıların geçip geçmediği görülmeye devam ediyor.
Siyah siyah
Blacklock’un yükselişi, diğer grupların düşüşte olduğu görülür.
Özellikle, kötü şöhretli Rusça konuşan Revil ve Conti operasyonlarından dönen Black Basta’nın dağılmaya yaklaştığı görülüyor, dedi tehdit istihbarat firması Redsense’nin ortağı ve baş araştırma görevlisi Yelisey Bohuslavskiy.
Grubun zorluklarından biri, qbot, yani Qakbot, Batı kolluk kuvvetlerinin Ağustos 2023’te QBOT’u bozuncaya kadar dayandığı kötü amaçlı yazılım için uygun bir yedek buluyor. Dikkatle planlanan sosyal mühendislik kampanyalarının yürütülmesine dağıtım.
Siber güvenlik firması Rapid7, Black Basta’nın sosyal mühendislik saldırısı tekniklerini geçen yıl çeşitli dalgalarda rafine ettiğini, her seferinde “yeni kötü amaçlı yazılım yükleri, iyileştirilmiş teslimat ve artan savunma kaçakçılığı” eklediğini bildirdi.
Bu sosyal mühendislik saldırıları, “Microsoft Teams aracılığıyla lure gönderme” grubunu, operatörlerin birçok kez BT ekibinde, bazen yardım masası veya müşteri destek grubunun bir parçası olarak gibi davranmayı içeriyordu.
Potansiyel mağdurlar etkileşime girdiyse, operatörün bir sonraki adımı, kullanıcıyı herhangi bir uzaktan yönetim aracı (level, quickassist, screenconnect veya teamViewer) gibi bir uzaktan yönetim aracı yüklemeye çalıştırmaya çalıştı veya başka bir kötü niyetli QR kodu gönderiyor veya Rapid7, openssh istemcisini kullanarak sistem ile ters kabuk.
Araştırdığı vakalara dayanarak, Rapid7, saldırganlar bir mağdurun sistemine erişirse, bir sonraki hamlelerinin genellikle ZBOT veya Darkgate kötü amaçlı yazılımları kurmak, hem ek kötü amaçlı yazılım yüklemek hem de çevreyi hızlı bir şekilde doldurmak ve ” kullanıcının kimlik bilgileri. ” En iyi hedefler, saldırganın potansiyel olarak MFA’yı atlamasına yardımcı olmak için VPN kimlik bilgilerini ve herhangi bir aktif çok faktörlü kimlik doğrulama jetonlarını içeriyordu. Bundan sonra, saldırganlar genellikle daha geniş ortama erişmeye, verileri çalmaya ve kripto dolu kötü amaçlı yazılımları dağıtmaya çalışacaklarını söyledi.
Geçen Aralık ayında Reliaquest tarafından araştırılan bu tür bir saldırı, Microsoft benzeri URL’den 15’ten fazla çalışana gönderilen “spam e -postaları seli” ile başladı onmicrosoft.com – Reliaquest’te siber tehdit istihbarat analisti John Dilgen, meşru görünmek için markalı – kullanıcıların e -postaya erişemediğini söyledi.
Bir yardım masası çalışanı gibi davranarak, “Tehdit Oyuncu daha sonra ekipleri en az iki kullanıcıyı çağırmak için kullandı ve uzaktan erişim aracı hızlı bir yardımı açmaya, uzak bir oturuma katılmaya ve makinelerinin kontrolünü vermeye ikna etti.” Dedi.
Hızlı Assist’e eriştikten sonra – Windows’a yerleştirilmiş – 7 dakika içinde saldırganın, saldırganın komut ve kontrol sunucusuyla iletişim kurmaya başlamasını sağlayan ve bir “koparma zamanı” elde eden yazılım yüklediğini söyledi. tam anlamıyla hedeflenen ortamda hareket etmek – toplam 48 dakika sonra. Nihayetinde, saldırgan üretim sektörü kurbanından gelen verileri başarıyla soktu.
Bu tür son saldırılara rağmen, “derin ve karanlık web istihbarat kaynaklarına” dayanan Redsense’den Bohuslavskiy, geçen yaz başından beri Black Basta’daki kilit oyuncuların “fidye yazılımı operasyonlarıyla yorgunluk belirtileri” gösterdiğini söyledi. 2019 veya 2020.
Grubun önceki hedeflemesinin Rus hükümetiyle yakın bağları olabileceğini öne sürdüğünü ekleyerek, “Ekibi bir arada tutmada kritik bir rol oynayan yöneticinin bile, işin ilgisini kaybettiği bildirildi” dedi. Rusya fidye yazılımları kullanan suçlularda mı geliyor?).
Black Basta eğiliyor gibi görünüyor ve iştiraklerinin çoğu muhtemelen diğer operasyonlar tarafından işe alınacak olsa da, grubun kendisi bir tehdit oluşturmaya devam ediyor. Bohuslavskiy, “Halen sunucular işletiyorlar, kurbanlarla müzakere ediyorlar ve kötü korunmuş dolaplar kullanıyorlar.” Dedi. “Şifre çözme, giderek daha dikkatsiz oldukları için genellikle başarısız oluyor. Bu ihmal onları daha da yıkıcı hale getiriyor.”