ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) devam eden #StopRansomware kampanyası kapsamında yayınladığı uyarıya göre, daha önce Royal ismiyle faaliyet gösteren siber suçlu fidye yazılımı çetesi, BlackSuit ismiyle yeniden markalaşarak faaliyete geçti ve önemli gasp talepleriyle birçok sektördeki kuruluşları aktif olarak hedef alıyor.
Muhtemelen feshedilmiş Conti operasyonunun soyundan gelen ve Black Basta ve Hive gibi diğer mürettebatlarla potansiyel bağlantıları bulunan Royal, 2022 sonbaharından 2023 yazına kadar yaklaşık dokuz aylık bir süre boyunca faaliyette bulundu ve bu zaman diliminde bir dizi hasar verici saldırı gerçekleştirdi.
BlackSuit’in yeniden ortaya çıkışının üzerinden 12 ay geçti ve hem CISA hem de FBI tarafından takip edildi. Bilinen siber saldırılardan yola çıkarak, şirketin fidye yazılımı deposunun Royal’inkiyle önemli kodlama benzerlikleri taşıdığı ve ayrıca “gelişmiş yetenekler” gösterdiği sonucuna varıldı.
CISA, bunlar arasında şunları söyledi: “BlackSuit, tehdit aktörünün bir dosyadaki verilerin belirli bir yüzdesini şifrelemesini sağlayan benzersiz bir kısmi şifreleme yaklaşımı kullanıyor.”
Bu şekilde, daha büyük dosyalar için şifreleme yüzdesi düşürülebilir, bu da çetenin tespit edilmekten kurtulmasına yardımcı olur ve fidye yazılımının kendisinin çalışabileceği hızı önemli ölçüde artırır.
Diğer çetelerde olduğu gibi, ilk erişimi elde etmek için en sık kullanılan yöntem kimlik avı e-postalarıdır. Ancak BlackSuit’in ayrıca Uzak Masaüstü Protokolü’nü (RDP), halka açık web uygulamalarındaki güvenlik açıklarını ve ilk erişim aracılarının (IAB) hizmetlerini kullandığı da bilinmektedir.
Erişim sağladıktan sonra, operatörleri işe gitmeden önce kurbanların antivirüs yazılımlarını da devre dışı bırakır. BlackSuit, veri sızdırma faaliyetleri yürütür ve ödeme alınmazsa daha sonra karanlık web sızıntı sitesinde yayınlanan verilerini şifrelemeden önce kurbanlarından gasp alır.
CISA, çetenin toplamda 500 milyon doların (393,4 milyon sterlin) üzerinde fidye talep ettiğini, tipik fidye miktarlarının en düşük seviyede 1 milyon dolardan başlayıp 10 milyon dolara kadar çıktığını, ancak en az bir kez 60 milyon dolarlık talepte bulunulduğunun bilindiğini belirtti.
Çetenin ilk saldırısında fidye talebinde bulunmaması dikkat çekicidir; kurbanlar bunun yerine veri şifrelemesinden sonra iletilen bir Tor Onion URL’si aracılığıyla doğrudan müzakerecilerle etkileşime girmelidir. BlackSuit’in kurbanlarına baskı yapmak için telefon görüşmeleri ve e-postalar kullanmaya çalıştığı da bilinmektedir.
KnowBe4’te güvenlik farkındalığı savunucusu olan Martin Kraemer şunları söyledi: “BlackSuit fidye yazılımından sorumlu grup, para koparmak için saldırgan taktikler kullanmasıyla biliniyor. Şirketleri kurumsal usulsüzlükleri ifşa etmekle tehdit etmekten, çalışanların ve liderlerin yakınlarını korkutmaktan veya yasadışı faaliyetleri ifşa ederek çalışanları şantaj yapmaktan korkmuyorlar.
“Bu taktikler bir işi kontrolleri altında tutmak için tasarlanmıştır. Bir şirketin itibarına ne kadar çok zarar verirlerse, kurbanın ödeme yapma olasılığı o kadar artar. Bu onların stratejisidir.
“Fidye yazılımı gruplarının dezenformasyon hizmetleri sağlayıcılarıyla yakın bir şekilde çalıştığı bir senaryoya yakınız. Karanlık web’de, birinin kişisel itibarını yok etmek veya hisse senedi fiyatlarını manipüle etmek için kampanyalar düzenlenebilir. Bu tür kampanyaların maliyeti, olası bir fidye ödemesine kıyasla çok daha düşüktür.
“Kuruluşların hazır olması gerekiyor. Kriz yönetimi ve olay müdahale ekipleri, doğru şeffaflık seviyesini sağlamak ve çalışan ve tüketici güvenine verilen zararı sınırlamak için halkla ilişkiler departmanıyla yakın bir şekilde işbirliği yapmalıdır. Hedefli yanlış bilgilendirme bir faktör haline gelirken, halkla ilişkiler departmanları ayrıca şirkete önemli ölçüde zarar verebilecek anlatıları tahmin etmeye ve yönetmeye hazır olmalıdır. İddia edilen ihmal veya suistimal olsun, halkla ilişkiler departmanlarının hazırlanmış yanıtları olması gerekir.”
Güncellenmiş tehlike göstergeleri (IoC’ler) de dahil olmak üzere BlackSuit hakkında daha fazla bilgi CISA’dan edinilebilir.