Siber güvenlik araştırmacıları, dünya çapında binlerce saldırının başlatılmasında rol oynadığı iddiasıyla bu yılın başlarında ABD hükümeti tarafından suçlanan Rus vatandaşı Mikhail Pavlovich Matveev’in liderliğindeki fidye yazılımı operasyonunun iç işleyişine ışık tuttu.
Saint Petersburg’da ikamet eden ve Wazawaka, m1x, Boriselcin, Uhodiransomwar, Orange ve waza takma adlarıyla tanınan Matveev’in, 2010 yılından bu yana LockBit, Babuk ve Hive fidye yazılımı çeşitlerinin geliştirilmesinde ve dağıtımında önemli bir rol oynadığı iddia ediliyor. en az Haziran 2020.
İsviçreli siber güvenlik firması PRODAFT, The Hacker News ile paylaştığı kapsamlı bir analizde, “Wazawaka ve ekip üyeleri, fidye ödemeleri konusunda belirgin bir şekilde doyumsuz bir açgözlülük sergiliyor ve siber operasyonlarında etik değerleri önemli ölçüde göz ardı ettiklerini gösteriyor.” dedi.
“Hassas dosyaları sızdırma tehdidi yoluyla gözdağı içeren taktikler uygulamak, dürüst olmayan uygulamalara girişmek ve kurban fidye ödemesine uyduktan sonra bile dosyaları saklamaya devam etmek, geleneksel fidye yazılımı gruplarının uygulamalarında yaygın olan etik boşluğu örneklendiriyor.”
Yapay Zeka Destekli Tehditleri Sıfır Güvenle Yenmek – Güvenlik Profesyonelleri için Web Semineri
Günümüz dünyasında geleneksel güvenlik önlemleri bunu kesmeyecektir. Şimdi Sıfır Güven Güvenliği zamanı. Verilerinizi daha önce hiç olmadığı gibi koruyun.
Şimdi Katıl
PRODAFT’ın bulguları, Nisan ve Aralık 2023 arasında, çeşitli fidye yazılımı türleriyle bağlantılı çeşitli tehdit aktörleri arasındaki binlerce iletişim günlüğünün ele geçirilmesiyle derlenen verilerin sonucudur.
Matawveev’in, saldırıları gerçekleştirmek için altı penetrasyon test cihazından (777, bobr.kurwa, krbtgt, shokoladniy_zayac, WhyNot ve dushnila) oluşan bir ekibe liderlik ettiği söyleniyor. Grubun, üyeler arasında daha iyi işbirliğini teşvik eden düz bir hiyerarşisi vardır.
PRODAFT, “Her birey, yeni senaryolara ve durumlara uyum sağlamada dikkate değer düzeyde esneklik sergileyerek, ihtiyaç duyuldukça kaynak ve uzmanlığa katkıda bulunur.” dedi.
Matveev, Conti, LockBit, Hive, Monti, Trigona ve NoEscape’in bağlı kuruluşu olarak çalışmasının yanı sıra, 2022’nin başlarına kadar Babuk fidye yazılımı grubunda yönetim düzeyinde bir rol üstlendi ve “karmaşık bir ilişki” olarak tanımlanan durumu paylaşıyor. Muhtemelen Babuk ve Monti’nin arkasındaki geliştirici olan Dudka adında başka bir aktör.
Matveev ve ekibi tarafından gerçekleştirilen saldırılar, Zoominfo’nun yanı sıra kurbanlar hakkında bilgi toplamak için Censys, Shodan ve FOFA gibi hizmetlerin kullanımını, bilinen güvenlik kusurlarına ve bir dayanak noktası elde etmek için ilk erişim aracılarına güvenmenin yanı sıra, özel ağların bir karışımını da içeriyor. ve VPN hesaplarına kaba kuvvet uygulamak, ayrıcalıkları artırmak ve kampanyalarını kolaylaştırmak için kullanıma hazır araçlar.
Şirket, “İlk erişimin sağlanmasının ardından Wazawaka ve ekibi, tercih ettikleri Uzaktan İzleme ve Yönetim (RMM) aracını yürütmek için öncelikle PowerShell komutlarını kullanıyor” dedi. “MeshCentral, farklı işlemler için sıklıkla tercih edilen açık kaynaklı yazılım olarak ekibin benzersiz araç seti olarak öne çıkıyor.”
PRODAFT’ın analizi ayrıca Matveev ile 2014 yılında dağıtılan GameOver Zeus botnet’inin geliştirilmesiyle bağlantısı olan Rus vatandaşı Evgeniy Mihayloviç Bogachev ile Evil Corp. arasındaki bağlantıları ortaya çıkardı.
Babuk fidye yazılımı operasyonlarının 2021’de PayloadBIN olarak yeniden markalandığını ve ikincisinin Aralık 2019’da ABD tarafından kendisine uygulanan yaptırımları aşmak için Evil Corp’a bağlandığını belirtmekte fayda var.
PRODAFT, “Bu teknik ilişki, Wazawaka ile kötü şöhretli siber suçlu Bogachev arasındaki bilinen ilişkiyle birleştiğinde, Wazawaka, Bogachev ve Evil Corp’un operasyonları arasında daha derin bağlantılar olduğunu gösteriyor.” dedi.