ABD Adalet Bakanlığı, birden fazla yerli ve uluslararası kolluk kuvveti ile işbirliği içinde, daha önce Royal olarak bilinen Blacksuit Fidye Yazılım Grubu ile ilişkili kritik altyapının ele geçirildiğini duyurdu.
Yetkililer, tehdit aktörleri tarafından fidye yazılımı yüklerini dağıtmak, çift uzatma taktikleri yoluyla kurbanları zorlamak ve akrabalı yasadışı gelirleri kripto para karıştırma hizmetleri aracılığıyla kullanılan dört komuta ve kontrol (C2) sunucusu ve dokuz alandan söktüler.
İç Güvenlik Bakanlığı’nın İç Güvenlik Soruşturmaları (HSI), ABD Gizli Servisi, IRS Ceza Soruşturması (IRS-CI) ve FBI tarafından yönetilen bu çok ajans çabası, Birleşik Krallık, Almanya, İrlanda, Fransa, Kanada, Ukrayna ve Lituania’daki ortaklardan teknik uzmanlığı içeriyordu.
Operasyon, kimlik avı kampanyaları, uzak masaüstü protokolü (RDP) sömürüsü ve modası geçmiş yazılım yığınlarında güvenlik açığı zincirlemesi yoluyla ilk erişimi kolaylaştıran grubun arka uç altyapısını hedefledi ve kurban ağları ve veri açığa çıkma işleminden önce yanal hareket sağladı.
Koordineli yayından kaldırma yürütür
Federal bir emrinin açığa çıkması, nöbet sırasında yaklaşık 1.091.453 $ değerinde sanal para varlıklarının kaybedilmesini, blockchain analizi yoluyla izlenen fidye yazılımı türevi fonların bir kısmını temsil etti.
21 Haziran 2024 civarında Virginia’nın doğu bölgesindeki meslektaşlarının toplanan kanıtlarına dayanarak, ABD’nin Columbia Bölgesi Avukatlık Bürosu tarafından yürütülen bu nöbet, Finansal ekosistemi destekleyen finansal ekosistemi, RAAS (RAAS) işlemlerini desteklemek için uygulanmasının altını çizmektedir.
Ulusal Güvenlik Başsavcısı Yardımcısı John A. Eisenberg, grubun kritik üretim, devlet tesisleri, sağlık ve halk sağlığı sistemleri ve ticari tesisler de dahil olmak üzere ABD kritik altyapı sektörlerinin sürekli hedeflenmesini vurguladı ve potansiyel inkar etkileri ve veri ihlalleri yoluyla kamu güvenliğine ciddi riskler getirdi.
Virginia’nın Doğu Bölgesi için ABD Avukatı Erik S. Siebert, siber tehdit aktörlerinin operasyonel esnekliğini azaltmayı hedefleyerek proaktif altyapı yayından kaldırma işlemlerine öncelik veren “ilk bozulma” stratejisini vurguladı.
Siber güvenlik için daha geniş sonuçlar
FBI ve Siber Güvenlik ve Altyapı Güvenlik Ajansı’ndan (CISA) ortak bir siber güvenlik danışmanlığı, Blacksuit’in kraliyetten yeniden markalaşmasını yansıtmak için güncellendi, grubun taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) detaylandırdı, komuta uygulaması için kobalt grev beacons kullanımı, komuta uygulaması, nöbet tutma yoluyla kimlik tasarlama gibi.
Danışmanlıkta sağlanan uzlaşma göstergeleri (IOC’ler), kötü niyetli IP adresleri, fidye yazılımı ikili dosyaları için karma değerler ve yara tespit için kurallar, kuruluşların ağ segmentasyonu, çok faktörlü kimlik doğrulama (MFA) yoluyla savunmaları desteklemesini ve CVE-2021-4428 (log428 (log428 (log428) ‘de bilinen savunmasızların zamanında yamalanmasını içerir.
Victims were typically coerced into paying ransoms in Bitcoin (BTC) via Tor-hidden services on the darknet, with one documented case on April 4, 2023, involving a payment of 49.3120227 BTC equivalent to $1,445,454.86 at the time subsequently laundered through a series of deposits and withdrawals on a virtual currency exchange until frozen on January 9, 2024.
HSI Siber Suçlar Merkezi’nden Müdür Yardımcısı Michael Prado, eylemi fidye yazılımı ekosisteminin bütünsel bir sökülmesi olarak nitelendirdi, aynı zamanda sadece sunucu yayından kaldırma işlemlerini değil, aynı zamanda tumpler ve hakemsiz borsalara dayanan para aklama boru hatlarının müdahalesini de kapsıyordu.
Sorumlu Özel Temsilci ABD Gizli Servis’in Ceza Soruşturma Bölümü’nden William Mancino, Blacksuit’in dağıtım yeteneklerine yapılan darbeyi not ederken, IRS-CI’nin Washington saha ofisinden Kareem Carter, Kareem Carter, yasadışı akışların izlenmesindeki finansal soruşturmaların rolünü vurguladı.
Dava, ABD Avukatları Laura D. Withers, Jacques Singer-Emery ve Rick Blaylock Jr. tarafından, İngiltere’nin Ulusal Suç Ajansı ve Ukrayna’nın Siber Polis Departmanı gibi uluslararası meslektaşları ile devam eden soruşturmalarla kovuşturuluyor.
Bu operasyon, çokuluslu, istihbarat odaklı aksamalara doğru bir kaymayı örneklendirir, potansiyel olarak Raas bağlı kuruluşları için saldırı yüzeyini azaltır ve kurbanları fidye ödemek yerine olayları bildirmeye teşvik eder, böylece tehdit gelir akışları tehdit aktörlerini aç bırakır.
Fidye yazılımı tehditleri polimorfik kod ve sıfır gün istismarları ile geliştikçe, bu tür koordineli çabalar, kritik sektörlerde siber esnekliği artırmada kamu-özel ortaklıklarının gerekliliğini vurgulamaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!