Siber gasp, tehdit aktörlerinin sistemlerdeki “hassas verilere” yasa dışı olarak eriştiği ve erişimi yeniden sağlamak amacıyla saldırıyı durdurmak için “fidye” talep ettiği bir siber suçtur.
Siber gaspın iki ana türü vardır: Verileri şifreleyen ve şifrenin çözülmesi için ödeme talep eden “Fidye yazılımı” ve tehdit aktörlerinin bir ağı istenmeyen trafikle doldurmasını sağlayan “DDoS” saldırıları.
Symantec’in Tehdit Avcısı Ekibi yakın zamanda Kuzey Koreli bilgisayar korsanlarının benzersiz bilgisayar korsanlığı araçlarıyla ABD kuruluşlarına aktif olarak saldırdığını tespit etti.
Kötü şöhretli Kuzey Koreli hack grubu “Stonefly” (“Andariel”, “APT45”, “Silent Chollima” ve “Onyx Sleet”) ABD merkezli kuruluşlara karşı aktif olarak siber saldırılar yürütüyor.
Grup, yakalanmaları nedeniyle bir “suçlama” ve hatırı sayılır bir “milyonlarca dolarlık ödül” yoluyla yasal sonuçlarla karşı karşıya kalmasına rağmen, Ağustos 2023’te “üç farklı ABD kuruluşuna” izinsiz girişler gerçekleştirdi.
ANY.RUN’un Yeni Güvenli Tarama Aracını Kullanarak Şüpheli Bağlantıları Analiz Edin: Ücretsiz Deneyin
Birincil silahları, “Backdoor.Preft” (“Dtrack” veya “Valefor” olarak da bilinir) adı verilen gelişmiş özel bir kötü amaçlı yazılımdır ve bu gelişmiş birincil silah, operasyonlarıyla bağlantılıdır.
Sahte “Tableau sertifikası” ve bu kampanyaya özel iki benzersiz sertifika gibi yanıltıcı teknikler, tehdit aktörleri tarafından kullanıldı.
Burada sahte “Tableau sertifikası” daha önce “Microsoft” tarafından belgelenmişti.
Hedeflerin doğası güçlü bir şekilde finansal amaçlı saldırılara işaret ediyor ancak fidye yazılımı dağıtma girişimleri başarısız oldu.
Bu olaylar dizisi, “devlet destekli” tehdit aktörlerinin oluşturduğu kalıcı tehdidi göstermektedir.
Symantec, siber güvenlik önlemlerini atlatmaya yönelik gelişen taktiklerinin, güçlü güvenlik savunma sistemlerine ve uluslararası siber güvenlik iş birliğine olan acil ihtiyacı vurguladığını ekledi.
Bunun yanı sıra araç setleri aşağıdaki araçları da sunar:-
- Preft
- Nukebot
- Toplu dosyalar
- Mimikatz
- Keylogger’lar
- Şerit
- Keski
- PuTTY
- Plink
- Megatools
- Snap2HTML
- FastReverseProxy (FRP)
25 Temmuz 2024’te ABD Adalet Bakanlığı, Kuzey Koreli siber ajan Rim Jong Hyok’u bir dizi karmaşık siber saldırı yürütmekle suçladı.
“Rim Jong Hyok”, sofistike hack grubu “Stonefly”ın onaylanmış bir üyesidir.
Fidye yazılımının kullanıldığı saldırılar, ilk olarak 2021 ile 2023 yılları arasında ABD’li sağlık hizmeti sağlayıcılarını hedef aldı. Elde edilen fidye ödemeleri, kripto para ağları aracılığıyla aklandı.
Daha sonra yüksek profilli hedeflere karşı daha gelişmiş siber operasyonları finanse ettiler (“ABD Hava Kuvvetleri tesisleri”, “NASA’nın Genel Müfettiş Ofisi” (NASA-OIG) ve “çeşitli diğer kuruluşlar” (‘Tayvan’, ‘Güney Kore’ genelinde) ve ‘Çin’).
Stonefly’ın teknik gelişimi aşağıdaki nedenlerden dolayı dikkate değerdir: –
- 2009’da sunucu kapasitesine hakim olan temel DDoS saldırılarıyla başladı.
- Gizli sistem erişimi için 2011 yılında ‘Backdoor.Prioxer’ truva atı gibi gelişmiş araçları kullanmaya başladılar.
- 2013’te Güney Kore kurumlarına yönelik yıkıcı ‘Trojan.Jokra’ disk silme kötü amaçlı yazılımı.
Grup, 2019 yılına gelindiğinde APT tekniklerini kullanarak siber casusluğa odaklanma yeteneklerini önemli ölçüde geliştirdi.
ABD Dışişleri Bakanlığı’nın Rim’in yakalanmasını sağlayacak bilgiler için “10 milyon dolar” ödül teklif etmesine rağmen Stonefly, ABD kuruluşlarına karşı çift amaçlı kampanyasını sürdürüyor.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağı Konusunda Ücretsiz Web Semineri -> Ücretsiz Web Semineri