Dolandırıcılık Yönetimi ve Siber Suç, Fidye Yazılımı
FBI Grubu, takip fidye taleplerini içeren üçlü uzatma taktiklerine bağlar
Mathew J. Schwartz (Euroinfosec) •
13 Mart 2025
ABD federal hükümeti Çarşamba günü uyardı, fidye yazılım grupları, kurbanları iki kez bir şifrektörü ödemeye zorlamak için üçlü gasp aldatmaca ile çalkalanma taktiklerinin sınırını zorluyor.
Ayrıca bakınız: Yeni Ondemand | Expored QR kodları: Kolaylıktan Siber Güvenlik Kabusu
Medusa operasyonunun arkasındaki Rusça konuşan operatörler bu özel uyarının konusudur. Siber Güvenlik ve Altyapı Güvenlik Ajansı, FBI ve Çok Devlet Bilgi Paylaşımı ve Analiz Merkezi, grubun sağlık, eğitim, teknoloji, imalat, yasal hizmetler ve sigorta dahil olmak üzere kritik altyapı sektörlerinde 300’den fazla kuruluşa karşı saldırılara bağlı olduğunu söylüyor.
Çoğu fidye yazılımı, dosyaları kötü niyetli bir şekilde şifreleyerek çift gasp uygular ve ayrıca mağdurların ödemeyi reddetmesi durumunda tehlikeye atılan verileri ifşa etmekle tehdit eder. 2011’in ortalarında çıkış yapan Medusa, Medusa müzakerecisinin kurbanın parasından kaçtığını iddia ederek, “gerçek şifrelemeyi” sağlamak için fidye yarısının yeni bir ödemesini talep ederek zorlama taktiklerine üçüncü bir bükülme ekledi.
Medusa, son haftalarda Wisconsin’deki Bell Ambulans, İngiliz Kitap Yazıcı CPI kitapları, telefon eğitimi firması müşteri yönetimi sistemleri, Nebraska’nın Heartland Sağlık Merkezi ve Colorado’nun üçüncü büyük şehri Aurora da dahil olmak üzere yeni bir kurban alan iddia etti. Bu varlıkların gerçekten gruba kurban olup olmadığı ve ne ölçüde bozulabilecekleri açık sorular olarak kalırlar. Grubun yakın zamanda kurban olarak iddia ettiği bir başka kuruluş olan South Carolina’nın Laurens Okul Bölgesi 56, bir güvenlik ihlali onayladı.
Siber güvenlik firması NCC Group, Medusa’nın en bilinen saldırı kurbanlarına bağlı aylık bir grup listesinde dokuzuncu sırada yer aldığını söyledi. 2024 yılında, bilinen fidye yazılımı saldırılarının% 9’u gruba bağlandı, siber güvenlik firması Blackfog.
“Dramatik bir yetenekle, Medusa agresif müzakere tarzı ve fidye ödemeyen kurbanları utanmaya çalışır.” Diyor. Diyerek şöyle devam etti: “Grup geçen yıl giderek daha üretkendi ve bunun diğer grupların yayından kaldırılmasından da faydalanabileceğini gösteriyor.”
Araştırmacılar, Medusa’nın kapalı bir iş olarak başlatılan nispeten uzun süreli – en azından kendi adı altında – operasyon olduğunu söyledi. Sıkı kontrol edilen grup sadece kendi kripto-kilitleme kötü amaçlı yazılımını geliştirmekle kalmadı, aynı zamanda sadece kendi kullanımı için ayrıldı.
Daha sonra, grup, bir operatörün kripto-kilitleme kötü amaçlı yazılımları tedarik etmek ve çoğu zaman bir veri sızıntı sitesi barındırma ve müzakereleri ele almak da dahil olmak üzere birden fazla hizmet sağladığı bir fidye yazılımı modelini benimsedi. Medusa, siber suç forumlarında ve pazar yerlerinde ilk erişim brokerlerini işe alır. İştirakler veya iş ortakları, kötü amaçlı yazılımları alır ve bir kurbanın ödediği her fidye% 70 ila% 80’ine kadar uzanan bir kesinti alın.
Diğer birçok grup gibi, Medusa’nın fidye yazılımı enfekte bir sistemin büyük bölümlerini zorla şifreledikten sonra, kurbanları ödemeye çalışmak için 48 saatlik bir geri sayım zamanlayıcısı görüntüler. Bir saldırıdan sonra, “Medusa’ya bağlı kripto para birimi cüzdanlarına doğrudan köprü ile fidye talepleri yayınlanıyor.” “Bu aşamada Medusa, geri sayım zamanlayıcısı sona ermeden önce verilerin ilgili taraflara satışını aynı anda tanıtıyor. Kurbanlar, geri sayım zamanlayıcısına bir gün eklemek için kripto para biriminde 10.000 dolar ödeyebilir.”
Medusa’nın aslında çalınan verileri satıp satmadığı veya sadece tehdidini kullanıp kullanmadığı açık değildir. Medusa gibi Rusça konuşan fidye yazılımı gruplarının da Rus devleti ile belirsiz bir ilişkisi vardır, yani çalınan veriler Moskova’nın güvenlik ve istihbarat aparatı ile paylaşılabilir.
İlk Erişim Komisyoncuları ile Bağlar
Diğer birçok Raas grubu gibi saldırılarını körüklemek için Medusa, daha geniş siber suç ekosisteminden yararlanır. Alert, “Bu bağlı kuruluşlara sadece Medusa için çalışma fırsatı ile 100 ila 1 milyon dolar arasında potansiyel ödemeler sunuluyor.”
Büro, Medusa ile çalışan ilk erişim brokerlerinin genellikle bu iki taktike güvendiğini söyledi: meşru kimlik bilgilerini elde etmek için tasarlanmış ve bir kuruluşun ağındaki bilinen, takılmamış güvenlik açıklarını ilk erişim elde etmek için kullanma kampanyaları. Medusa fidye yazılımı sunmak için kullanılan bilinen güvenlik açıkları arasında CVE-2024-1709 olarak izlenen bir screenconnect kimlik doğrulama bypass güvenlik açığı ve CVE-2023-48788 olarak izlenen bir Fortinet EMS SQL enjeksiyon kusuru bulunmaktadır.
Blackfog, grubun fidye taleplerinin bazen 40 milyon doları aştığını söyledi. Uzmanlar, tipik olarak saldırganlar tarafından yayınlanan bu taleplerin manşetleri almak ve çift genişlemeli oyunlarını keskinleştirmek için tasarlandığını söylüyor. Bir mağdurun – yakın tarihli bir önlemle, yaklaşık dörtte biri örgütün yapıp yapmadığı ve ödedikleri şeylerin suçlular tarafından asla açıklanmaması (bkz:: Fidye Yazılımı: Fidye ödeyen kurbanlar tüm zamanların en düşük seviyesine düşer).
Ödeme yapan kuruluşlar için, kolluk kuvvetleri kurbanlara, fidye yazılımı tarihinde herhangi bir gaspçinin bir veri iskeleti vaadini onurlandırdığına dair bir kanıt olmadığını ve hatta bir şifreleme için ödeme yapmanın bir çalışana yol açmayacağına dair herhangi bir kanıt olmadığını söyledi.
ABD federal alarmı, CISA’nın, daha önce 2020’de başlatılan bir ABD kar amacı gütmeyen kuruluşla birlikte, insanların yaygın sibertrasyonlara karşı kendilerini korumalarına yardımcı olmak için İnternet Güvenliği Merkezi ile bir işbirliği anlaşması kapsamında paylaştığı MS-ISAC için finansman iptalini duyurduğunu duyurdu. CIS, 17.000’den fazla ABD eyaleti, yerel, kabile ve bölgesel hükümetleri kullanıcı olarak sayan MS-ISAC ile bir sonraki adımda ne olabileceğini ayrıntılı olarak açıklamamıştır (bakınız: CISA, eyaletler ve seçimler için tehdit paylaşım merkezlerini bozar).
Birden fazla fidye yazılımı grubunun yarattığı tehdit devam ediyor ve araştırmacılar son aylarda saldırılarda bir artış gibi görünen şeyleri izliyor.