LockBit fidye yazılımı operasyonunun arkasındaki tehdit aktörleri, uluslararası bir kolluk kuvvetinin sunucularının kontrolünü ele geçirmesinden günler sonra, yeni altyapıyı kullanarak karanlık ağda yeniden ortaya çıktı.
Bu amaçla kötü şöhretli grup, veri sızıntısı portalını TOR ağındaki yeni bir .onion adresine taşıdı ve bu yazının yazıldığı an itibariyle 12 yeni kurbanı listeledi.
LockBit’in arkasındaki yönetici, uzun takip mesajıbazı web sitelerine büyük olasılıkla CVE-2023-3824 olarak takip edilen kritik bir PHP kusurundan yararlanılarak el konulduğunu söyledi ve PHP’yi “kişisel ihmal ve sorumsuzluk” nedeniyle güncellemediklerini kabul etti.
“Bunun CVE değil de PHP için 0-gün gibi bir şey olabileceğinin farkındayım ancak %100 emin olamıyorum çünkü sunucularımda yüklü olan sürümün zaten bilinen bir güvenlik açığı olduğu biliniyordu, dolayısıyla bu büyük olasılıkla kurbanların yönetici ve sohbet paneli sunucularına ve blog sunucusuna nasıl erişildiğidir” dediler.
Ayrıca ABD Federal Soruşturma Bürosu’nun (FBI) Ocak ayında Fulton County’ye yapılan bir fidye yazılımı saldırısı nedeniyle altyapılarını “hacklediğini” ve “çalınan belgelerin pek çok ilginç şey ve Donald Trump’ın yaklaşmakta olan ABD seçimlerini etkileyebilecek davalarını içerdiğini” iddia ettiler. “
Ayrıca “.gov sektörüne” daha sık saldırı yapılması çağrısında bulunurken, yetkililerin 1.000’den fazla şifre çözme anahtarı elde ettiği sunucunun neredeyse 20.000 şifre çözücü barındırdığını, bunların çoğunun korunduğunu ve toplam şifre çözücü sayısının yaklaşık yarısını oluşturduğunu belirttiler. 2019’dan beri üretilen şifre çözücüler.
Grup ayrıca, üye kuruluşların takma adlarının “forumlardaki gerçek takma adlarıyla ve hatta mesajlaşma programlarındaki takma adlarıyla hiçbir ilgisi olmadığını” da ekledi.
Hepsi bu değil. Gönderi aynı zamanda gerçek “Bassterlord”un kimliğinin tespit edilmediğini ve FBI eylemlerinin “bağlılık programımın itibarını yok etmeyi amaçladığını” iddia ederek kolluk kuvvetlerinin itibarını sarsmaya çalıştı.
“Kurtarılması neden 4 gün sürdü? Çünkü PHP’nin son sürümünün kaynak kodunu uyumsuzluk nedeniyle düzenlemek zorunda kaldım” dediler.
“Tembel olmayı bırakacağım ve bunu kesinlikle her yapı belirleyicinin maksimum korumaya sahip olmasını sağlayacağım, artık otomatik şifre çözme denemesi olmayacak, tüm şifre çözme denemeleri ve şifre çözücülerin verilmesi yalnızca manuel modda yapılacak. Böylece mümkün olan en kısa sürede şifre çözme işlemi gerçekleştirilecek. Bir sonraki saldırıda FBI tek bir şifre çözücüyü bile bedava alamayacak.”
Rusya Üç SugarLocker Üyesini Tutukladı
Gelişme, Rus kolluk kuvvetleri yetkililerinin, SugarLocker fidye yazılımı grubuyla bağlantılı olarak Aleksandr Nenadkevichite Ermakov (diğer adıyla blade_runner, GustaveDore veya JimJones) dahil olmak üzere üç kişiyi tutukladığı dönemde geldi.
Rus siber güvenlik firması FACCT, “Saldırganlar, açılış sayfaları, mobil uygulamalar, komut dosyaları, ayrıştırıcılar ve çevrimiçi mağazaların geliştirilmesine yönelik hizmetler sunan meşru bir BT firması Shtazi-IT kisvesi altında çalıştılar” dedi. “Şirket yeni çalışanların işe alınmasına ilişkin ilanları açıkça yayınladı.”
Operatörler ayrıca özel kötü amaçlı yazılım geliştirmek, çevrimiçi mağazalar için kimlik avı siteleri oluşturmak ve kullanıcı trafiğini Rusya ve Bağımsız Devletler Topluluğu (BDT) ülkelerinde popüler olan dolandırıcılık planlarına yönlendirmekle suçlanıyor.
SugarLocker ilk olarak 2021’in başlarında ortaya çıktı ve daha sonra hizmet olarak fidye yazılımı (RaaS) modeli kapsamında sunulmaya başlandı ve kötü amaçlı yazılımını, hedefleri aşmak ve fidye yazılımı yükünü dağıtmak için bir ortaklık programı kapsamında diğer iş ortaklarına kiraladı.
Fidye gelirlerinin neredeyse dörtte üçü bağlı kuruluşlara gidiyor; ödeme 5 milyon doları aşarsa bu rakam %90’a çıkıyor. Siber suç çetesinin Shtazi-IT ile bağlantıları daha önce geçen ay Intel 471 tarafından açıklanmıştı.
Ermakov’un tutuklanması, Avustralya, İngiltere ve ABD’nin, sağlık sigortası sağlayıcısı Medibank’a 2022’de düzenlenen fidye yazılımı saldırısında oynadığı iddia edilen rol nedeniyle kendisine mali yaptırımlar uygulamasının ardından gelmesi nedeniyle dikkate değer.
Ekim 2022’nin sonlarında gerçekleşen ve artık faaliyette olmayan REvil fidye yazılımı ekibine atfedilen fidye yazılımı saldırısı, mevcut ve eski müşterilerinin yaklaşık 9,7 milyonunun yetkisiz erişimine yol açtı.
Çalınan bilgiler arasında isimler, doğum tarihleri, Medicare numaraları ve akıl sağlığı, cinsel sağlık ve uyuşturucu kullanımına ilişkin kayıtlar da dahil olmak üzere hassas tıbbi bilgiler yer alıyordu. Bu kayıtlardan bazıları aynı zamanda karanlık ağa da ulaştı.
Bu aynı zamanda TASS haber ajansının 49 yaşındaki bir Rus vatandaşının Vologda’nın 38 yerleşim yerini elektriksiz bırakan teknolojik kontrol sistemlerine siber saldırı düzenleme suçlamasıyla yargılanacağını ortaya koyan bir raporunun ardından geldi.