H0lyGh0st adlı bir fidye yazılımı operasyonu, bir yıldan fazla bir süredir Kuzey Koreli bilgisayar korsanları tarafından yürütülüyor ve farklı ülkelerdeki küçük işletmelere fidye yazılımıyla saldırıyor.
Bir süredir grup adına oldukça fazla aktivite var. Ancak çete, bölgedeki diğer çetelerle aynı düzeyde bir üne kavuşamadı.
Şöhret ve başarı elde etmek için bile, diğer çetelerin aynı formülünü takip ettiler: –
- çifte gasp
- kurbanların adını yayınlamak
- Kurbanların çalınan verilerinin yayınlanması
Fırsatlardan yararlanmak, küçük taleplerde bulunmak
Şu anda, Microsoft Tehdit İstihbarat Merkezi (MSTIC), bilgisayar korsanlarının kendilerini H0lyGh0st olarak adlandıran DEV-0530 olduğunu tespit etti.
H0lyGh0st olarak bilinen çetenin fidye yazılımı kullandığı en az bir aydır biliniyor ve son birkaç ayda birçok kuruluşu tehlikeye atmayı başardı.
SiennaPurple’ın (BTLC_C.exe), Go tabanlı sürümlerle karşılaştırıldığında birçok önemli özellikten yoksun olan, Holy Ghost fidye yazılımının erken bir çeşidi olduğunu unutmamak önemlidir.
SiennaBlue, Microsoft tarafından daha yeni varyantlara verilen addır: –
- HolyRS.exe
- HolyLocker.exe
- BTLC.exe
Ayrıca, zaman içinde işlevlerine aşağıdaki özellikler eklendi ve mevcut sürümlerine dahil edildi:-
- Çoklu şifreleme seçenekleri
- dize gizleme
- Açık anahtar yönetimi
- İnternet desteği
- intranet desteği
Hedefler
DEV-0530 tarafından tehlikeye atılan ve çoğu küçük ve orta ölçekli işletmeler olan birkaç hedef var. Aşağıdakiler de dahil olmak üzere çok çeşitli kurbanlar vardı: –
- Bankalar
- Okullar
- Üretim organizasyonları
- Etkinlik ve Toplantı planlama şirketleri
Çoğu fidye yazılımı saldırısında olduğu gibi, H0lyGh0st bir aldatmaca olarak organize edildi ve operatörler, virüslü bilgisayar sistemini geliştirdikleri şifreleme rutini ile şifrelemeden önce verileri çaldı.
Saldırgan, güvenliği ihlal edilmiş bilgisayarda fidye ödemesi talep eden bir fidye notu bıraktı. Siber suçlular ayrıca kurbana, çaldıkları çalınmış bilgilerin bir örneğinin bağlantısını içeren bir e-posta gönderdi.
Fidye
Çoğu durumda, bu grubun arkasındaki operatörler 1,2 ila 5 bitcoin arasında herhangi bir yerde bir ödeme talep etti veya mevcut döviz kurunda yaklaşık 100.000 $ talep etti.
Saldırgan, fiyat yüksek olmasa bile pazarlık yapmaya istekliydi, bazen fiyatı başlangıçta istediğinin üçte birinden daha azına indiriyordu.
Plutonium olarak bilinen Lazarus şemsiyesi altındaki bir alt grubun DEV-0530 ile bağlantıları olduğuna inanılıyor. DEV-0530’un karanlık web portalı, zengin ve fakir arasındaki uçurumu kapatarak fakir ve aç insanları desteklemeyi hedeflediğini söylüyor.
Öneri
Aşağıda, Microsoft’taki güvenlik uzmanları tarafından önerilen tüm Fidye Yazılımı azaltmalarından bahsettik:-
- Kimlik bilgilerinin bütünlüğünü sağlamak.
- Kimlik bilgilerinin açığa çıkması için bir denetim gerçekleştirme.
- Güncellemeleri Active Directory’ye dağıtmak, öncelik listesinin en üstünde yer alır.
- Bir güvenlik önlemi olarak bulutu sağlamlaştırma.
- Sahip olduğunuz her hesapta MFA’nın zorunlu kılındığından emin olun.
- Kullanıcının parola olmadan oturum açmasını sağlamak için parolasız kimlik doğrulama yöntemlerini kullanma.
- Eski kimlik doğrulamanın devre dışı bırakıldığından emin olun.
Bizi Linkedin’den takip edebilirsiniz, heyecan, Facebook günlük Siber Güvenlik ve hack haber güncellemeleri için.