Microsoft, Moonstone sleet’in Qilin fidye yazılımı yüklerini sınırlı sayıda son saldırıda kullandığı için izlenen bir Kuzey Koreli hack grubunun izlendiğini söyledi.
Şirketin tehdit istihbarat uzmanları bu hafta yaptığı açıklamada, “Şubat 2025’in sonlarından beri Microsoft, Kuzey Koreli bir devlet oyuncusu olan Moonstone Sleet’i gözlemledi ve Qilin fidye yazılımını sınırlı sayıda kuruluşta konuşlandırdı.” Dedi.
“Moonstone Sleet, daha önce kendi özel fidye yazılımlarını saldırılarına dağıtmıştı ve bu, bir RAAS operatörü tarafından geliştirilen fidye yazılımlarını dağıttıkları ilk örneği temsil ediyor.”
Daha önce Storm-1789 olarak izlenen bu tehdit grubunun etkinliği başlangıçta elmas sleet ve oniks sleet gibi diğer Kuzey Koreli saldırganlarla örtüştü. Ancak, o zamandan beri kendi taktiklerine ve özel takım ve saldırı altyapısına geçti.
Microsoft, Moonstone sleet hacker’larının truva yazılımları (örneğin, macun), özel kötü amaçlı yazılımcılar, kötü amaçlı oyunlar ve NPM paketleri ve sahte yazılım geliştirme şirketleri (örneğin, CC şelalesi, starglow ventures) kullanarak hem finansal hem de siber sorumluluk hedeflerini hedeflediğini söylüyor.
Ağustos 2022’de “gündem” adı altında ortaya çıktığından, Qilin fidye yazılımı çetesi karanlık ağ sızıntı sitesinde 300’den fazla kurban talep etti. Bununla birlikte, Hizmet Olarak Fidye Yazılımı (RAAS) operasyonu, saldırılar 2023’ün sonuna doğru zirveye kadar zar zor aktifti. Aralık 2023’te, Qilin iştirakleri VMware ESXI sanal makinelerini hedeflemek için en gelişmiş Linux şifrelemelerinden birini kullanmaya başladı.
Şimdiye kadar, BleepingComputer, kurbanların büyüklüğüne bağlı olarak Qilin fidye taleplerinin 25.000 $ ile milyonlarca değiştiğini gördü. Qilin, otomotiv devi Yangfeng, Amerikan gazetesi yayıncısı Lee Enterprises, Avustralya mahkeme hizmetleri Victoria ve patoloji hizmetleri sağlayıcısı Synnovis de dahil olmak üzere 310’dan fazla kurban olduğunu iddia etti.
İkincisi, Londra’daki birkaç büyük NHS hastanesini etkileyen ve yüzlerce operasyon ve randevuyu iptal etmeye zorlayan bir kesintiye yol açtı.
Mayıs 2024’te Microsoft, Moonstone Squet’i özel bir FakePenny Fidye yazılımı varyantına da bağladı. Başarılı bir sahte fidye yazılımı saldırısından sonra, Kuzey Koreli bilgisayar korsanları BTC’de 6.6 milyon dolarlık fidye talebi istediği gözlemlendi.
Moonstone Squet, son yıllarda fidye yazılımı saldırılarına bağlı ilk Kuzey Koreli destekli tehdit grubu değil. Mayıs 2017’de ABD ve İngiltere hükümetleri, dünya çapında yüz binlerce bilgisayarı düşüren WannaCry fidye yazılımı salgını için Lazarus Grubu’nu suçladı.
Yıllar sonra, Temmuz 2022’de Microsoft ve FBI, Kuzey Koreli bilgisayar korsanlarını Holy Ghost fidye yazılımlarına bağladı ameliyat ve MAUI Fidye Yazılımı Saldırılarını Sağlık Hizmetleri Orgs.