Dolandırıcılık Yönetimi ve Siber Suç, Fidye Yazılımı
UNC4393, 2022’den beri faaliyet gösteren finansal olarak motive edilmiş bir tehdit grubudur
Akşaya Asokan (asokan_akshaya) •
31 Temmuz 2024
Yeni tespit edilen finansal amaçlı bir bilgisayar korsanlığı grubu, bu yılın başlarında başlayan devam eden bir gasp kampanyasının parçası olarak Basta fidye yazılımını kullanıyor.
Ayrıca bakınız: Hazırlıksız Olmanın İşletmenize Maliyeti
Kampanyayı ortaya çıkaran Google Mandiant, grubu UNC4393 olarak takip ediyor.
Basta kamuya açık olarak pazarlanmadığı ve yalnızca davet yoluyla erişilebildiği için Mandiant araştırmacıları UNC4393’ün “Basta fidye yazılımının birincil kullanıcısı” olma ihtimalinin yüksek olduğunu düşünüyor.
Mandiant, “Veri sızıntısı sitelerinde iddia edilen yüzlerce Basta fidye yazılımı kurbanı, UNC4393’ün hızlı operasyonel temposu nedeniyle güvenilir görünüyor,” dedi ve grubun bir kurbanı fidye için harcadığı ortalama sürenin yaklaşık 42 saat olduğunu ekledi. “UNC4393, keşif, veri sızdırma ve hedeflere yönelik eylemleri hızla gerçekleştirmede yeterlilik gösterdi.”
Hack grubu, ağ erişimi için ilk erişim aracılarına güvenir. Bunlar arasında Mandiant’ın UNC2633 ve UNC2500 olarak izlediği ve ağ güvenliğini tehlikeye atmak için QakBot içeren kimlik avı e-postaları kullanan iki iştirak bulunmaktadır. İştiraklerin operasyonlarının analizine dayanarak araştırmacılar, aktörlerin muhtemelen feshedilmiş Trickbot ve Conti gruplarıyla bağlantılı olduğunu tahmin ediyor.
Kötü amaçlı yazılımın FBI ve diğer uluslararası kolluk kuvvetleri tarafından engellenmesinin ardından grup, ilk erişim için DarkGate adı verilen diğer kötü amaçlı yazılım varyantlarına güvenmeye başladı.
UNC4393, ilk erişimi elde ettikten sonra BloodHound, AdFind ve PSnmap gibi bir dizi açık kaynaklı saldırı haritalama aracını kullanarak kurbanın ağını analiz ediyor.
Saldırganlar, dışarıya bakan ağ cihazlarını veya sunucularını doğrulamak için kimlik bilgileri ve kaba kuvvet yöntemleri kullanır. Grup, ilk günlerinde Basta’yı manuel olarak dağıtırken, Basta’yı sunmak için özel bir .NET tabanlı yardımcı program olan Knotrock’ı dağıtmaya başladı. Yardımcı program, büyük ölçekli saldırılar sırasında daha hızlı şifreleme gibi yetenekler sunar.
Mandiant, araştırmacıların bir örnekte grubun kalıcılık kazanmak ve güvenlik tespitini aşmak için 2023’ten beri etkin olmayan SilentNight adlı bir kötü amaçlı yazılım türüne güvendiğini gözlemlediklerini söyledi.
“Bu yılın başlarında başlayan SilentNight etkinliğinin en son dalgası, öncelikle kötü amaçlı reklamlar aracılığıyla sağlandı. Bu, UNC4393’ün bilinen tek ilk erişim yolu olarak kimlik avından önemli bir uzaklaşma anlamına geliyordu.”