Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Uzmanlar, ABD Sağlık Kurumlarının Kesinlikle Akira Ransomware Group'un Gözünde Olduğunu Uyardı
Mathew J. Schwartz (euroinfosec) •
12 Mart 2024
Başka bir isimle LockBit bu kadar asık suratlı olabilir miydi? Rusça konuşan fidye yazılımı grupları gelir ve gider, ancak ilgili kişiler, devam eden bir endişe kaynağı olan markanın arkasında birleşir.
Ayrıca bakınız: Uç Nokta Teyakkuzu: Fidye Yazılımı Savunmasını Güçlendirme
Bu nedenle, yakın zamanda kolluk kuvvetleri tarafından kesintiye uğrayan LockBit'ten görünüşe göre hayatta ve iyi durumda olan Akira'ya üst düzey yeteneklerin akışı rapor edildi.
RedSense baş araştırma görevlisi Yelisey Bohuslavskiy, LinkedIn gönderisinde şunları söyledi: “Akira fidye yazılımı topluluğu, gözlerini 'ABD'deki sağlık kuruluşlarını' vurmaya dikmiş görünen Conti sonrası yetenekli pentester'lardan büyük bir akına maruz kalıyor.”
Pentester terimi, hedeflere sızan ve gaspın başlangıcı olarak kripto kilitleyici kötü amaçlı yazılım dağıtan siyah şapkalı bilgisayar korsanlarını tanımlayan fidye yazılımı grubudur. Şantaj ödemesinin yalnızca penetrasyon testi hizmetleri için sonradan ödenen bir ücret olduğunu söylüyorlar.
Bunun sağlık sektörü de dahil olmak üzere potansiyel kurbanlar için anlamı, daha önce LockBit için çalışan suçluların aynı hileleri ancak şimdi Akira'nın bayrağı altında deneyecek olmasıdır. Güvenlik uzmanları, savunma açısından bakıldığında, ilgili pentester'ların Cisco cihazlarındaki bilinen güvenlik açıklarını hedefleme, güncelliğini kaybetmiş VMware ESXi sanal makinelerine saldırma ve saldırganların fidye yazılımı göndermeye çalıştığı uzaktan izleme ve yönetim yazılımı yüklemeleri için kurbanları kandırma konusunda bir tercihe sahip olduğunu söyledi.
Conti Sonrası Fidye Yazılımı Grupları
Ryuk ve halefi Conti, 2018'den Şubat 2022'ye kadar fidye yazılımı sahnesine hakim oldu. Daha sonra Conti'nin liderliği Rusya'nın Ukrayna'yı işgalini açıkça destekledi ve gruba şantaj parası ödenmesine karşı dünya çapında bir tepkiye yol açtı.
Daha sonra Conti dağıldı ve çeşitli dahili ekipleri Zeon, Royal ve Black Basta gibi yeni isimler altında yeni operasyonlara başladı (bkz.: Conti'nin Mirası: Fidye Yazılımının En Çok Arananları Ne Oldu?).
RedSense, Akira'nın “Conti sonrası Ryuk tarafıyla yakın bağları” var gibi görünüyor ve bu da Akira'nın “sendikasyonun ilk günlerinde Ryuk'u konuşlandıran orijinal pentester'ları” da dahil olmak üzere Zeon (eski adıyla Conti Team One, TrickBot'u yönetiyordu) ile bir ilişkiye yol açtı. .
Geçen yaz IBM X-Force, çeşitli Conti sonrası grup veya grupların, kriptolayıcılar gibi kaynakların paylaşımı da dahil olmak üzere “yüksek düzeyde iletişim ve işbirliğini” sürdürdüklerini bildirdi. X-Force, tüm bunların “yeni grupların ayrı veya farklı gruplar olduğu varsayımına” meydan okuduğunu söyledi.
Aralık ayında Bohuslavskiy, “Doğrudan Ryuk sonrası liderlikle ilgili güvenilir birincil kaynak istihbaratı elde ettik; bu, Zeon'un hem Akira hem de LockBit için bir grup seçkin pentester olarak faaliyet gösterdiğini ve ikincisinin ana odak noktası olduğunu gösteriyor” dedi.
Fidye Yazılımını Engellemek
Kolluk kuvvetleri yakın zamanda sızma testlerini iki büyük fidye yazılımı grubuna çevirdi; Aralık ayında Alphv/BlackCat'e ve Ocak ayında LockBit'e sızıp bunları bozdu. Yayından kaldırmaların ardından her grup, karanlık görünmeden önce ayrı ayrı yeniden başlatıldığını iddia etti.
Geri dönebilirler. Fidye yazılımı grupları düzenli olarak yeni altyapıyı çalıştırıyor veya farklı bir ad altında yeniden başlatıyor. Örneğin Alphv/BlackCat, daha önce BlackMatter olarak çalışıyordu ve Mayıs 2021'de Colonial Pipeline'ı vurduktan sonra adını DarkSide olarak değiştirdi.
İlgili kişilerin birçoğu (operatörler, bağlı kuruluşlar ve yükleniciler) ile ilk erişim komisyoncuları ve kara para aklayıcılar gibi temel hizmet sağlayıcılar, vatandaşlarını asla iade etmeyen Rusya'dan faaliyet göstermektedir. Bir fidye yazılımı grubu çöktüğünde bile deneyimli uygulayıcıların farklı bir hizmete kaydolması veya yeni bir hizmet başlatması yeterlidir.
Bu, kolluk kuvvetlerinin ve güvenlik uzmanlarının LockBit de dahil olmak üzere son dönemdeki aksaklıkları kutlamadığı anlamına gelmiyor. Grup, son yılların en büyük fidye yazılımı saldırılarından bazılarını gerçekleştirdi ve bir hizmet olarak fidye yazılımı operasyonu olarak işlev gördü; bu, kötü amaçlı yazılımı kurbanları toplamak için kullanan ve daha sonra elde edilen kârı paylaşan incelenmiş bağlı kuruluşlara kripto kilitleyen kötü amaçlı yazılım sağladığı anlamına geliyor. .
Siber güvenlik firması Sophos, grubun 500 veya daha az çalışandan oluşan daha küçük işletmeleri de sert bir şekilde etkilediğini söyledi. 2023'te, Sophos'un gerçekleştirdiği küçük işletme fidye yazılımı olaylarına müdahale müdahalelerinin %28'inin LockBit'e kadar takip edildiği görüldü; bunu %16 ile Akira ve %14 ile Alphv/BlackCat takip etti.
Geçen yılın bir noktasında LockBit yaklaşımını sessizce değiştirmiş gibi görünüyor. RedSense'in baş tehdit araştırmacısı Marley Smith, 2023 sonu itibarıyla LockBit'in gelirinin büyük çoğunluğunun bağlı kuruluşlardan değil, LockBit adına sessizce çalışan ve imajını güçlendiren yüksek vasıflı ekiplerden veya “hayalet gruplardan” geldiğini söyledi.
Bohuslavskiy, LockBit'in hayalet gruplarının büyük ölçüde Zeon'dan gelen, büyük oyun avlama konusunda geniş deneyime sahip, kurbanları korkutup sistemlerine fidye yazılımı bulaştığını düşünmeleri için korkutan ve daha sonra onları yüklemeleri için kandıran son derece deneyimli pentester'lardan oluştuğunu söyledi.
İkinci plan, BazarCall olarak bilinen kumarın bir çeşididir; bu, Conti fidye yazılımı grubunun öncülüğünü yaptığı bir “geri arama kimlik avı” taktiği olup genellikle saldırganların teknik destek ekiplerini, kötü amaçlı yazılımları iletmek için kullandıkları uzaktan kontrol yazılımını yüklemeleri için kandırmaya çalışmasını içerir. Bir kurbanın ağına.
RedSense, Zeon'un LockBit adına gerçekleştirdiği birçok saldırının kurbanların saldırganların fidye taleplerini hızla karşılamasına yol açtığını ve saldırıların hiçbir zaman kamuya açıklanmadığını söyledi.
Zeon'un Akira'ya daha fazla kaynak ayırması hoş karşılanan bir haber değil. Fidye yazılımı olaylarına müdahale firması Coveware, geçen yılın ikinci yarısında Akira'nın işe yaradığı olaylarda en çok görülen tür olduğunu söyledi. 2023'ün son üç ayında araştırdığı tüm olayların %17'si Akira'dan kaynaklandı, onu %10 ile BlackCat ve %8 ile LockBit izledi.
Temel Savunmalar
Akira ve ortaklarının saldırılarını engellemek isteyen savunmacılar için hızlı yama uygulanması hayati önem taşıyor. Güvenlik araştırmacıları daha önce grubu aşağıdakilerle ilişkilendirmişti:
- hedefleme çok faktörlü kimlik doğrulaması olmayan Cisco VPN hesaplarının sayısı;
- Yönetilen hizmet sağlayıcıları ve diğerlerini etkilemek için Cisco Adaptive Security Appliance yazılımı ve Cisco Firepower Thread Defense yazılımı da dahil olmak üzere birden fazla Cisco ürününün uzaktan VPN erişim özelliklerinde CVE-2023-20269 sıfır gün güvenlik açığından yararlanılması;
- hedefleme VMware ESXi sanal makinelerindeki bilinen güvenlik açıklarının listesi.
Ocak ayında, Finlandiya kuruluşlarını vuran bir dizi Akira saldırısının ardından Finlandiya'daki siber güvenlik yetkilileri, savunucuları yedekleme stratejilerini gözden geçirmeye çağırdı. Akira'nın, kurbanların sistemlerini geri yüklemesini önlemek için ağa bağlı depolama sunucuları ve teyp yedeklemeleri de dahil olmak üzere yedekleri arama ve yok etme konusunda uzman göründüğünü söylediler.
Bohuslavskiy, Zeon ile çalışan pentester'ların muhtemelen kurbanları uzaktan yönetim ve izleme yazılımı yüklemeleri ve ESXi ile bulut ortamlarını hedeflemeleri için kandırmaya çalışmaya devam edeceklerini söyledi.
Yazılımın tamamen yamalanmış ve güncel tutulması, Zeon bilgisayar korsanlarına karşı en iyi savunma olmaya devam edecek gibi görünüyor. Bohuslavskiy, “Grup, ESXi ve bulut ortamlarını hedefleme yeteneğine sahip olsa da, iyi güncellenmiş hipervizörler ve bulut yedekleme çerçeveleri, onlar için büyük bir zorluk teşkil ediyor ve bunu, iç gevezeliklerini gözlemleyerek görüyoruz” dedi.
Buna ek olarak, “ağ bölümlendirmesi ve ayrıştırılmasının Zeon/Akira sızma hareketlerini önemli ölçüde karmaşıklaştırdığını” ve saldırılarının tespit edilmesini çok daha kolay hale getirdiğini söyledi.