Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Kripto-Kötü Amaçlı Yazılım Takipçileri, 2023’ün Sonunda Bilinen Fidye Yazılımı Kurbanlarında Artış Bildiriyor
Mathew J. Schwartz (euroinfosec) •
12 Ocak 2024
Fidye yazılımı kullanan saldırganlar duracak gibi görünmüyor ve uzmanlar Aralık 2023’ün bilinen kurbanlar açısından tarihteki en kötü ikinci ay olduğunu bildiriyor. Son zamanlarda Akira kullanan saldırganlar Finlandiya’ya sert bir şekilde saldırıyor ve artan sayıda saldırının arkasında Medusa var.
Ayrıca bakınız: OnDemand I Siber Suçlular Tatilleri İzin Vermiyor
Güvenlik firması Emsisoft’a göre, fidye yazılımıyla mücadeleye yönelik uluslararası çabalara rağmen bilinen kurban sayısı 2022’de 220’den 2023’te 321’e sıçrayarak artmaya devam etti.
Kolluk kuvvetleri fidye yazılımı kullanan şüphelileri takip etmeye devam ediyor. Geçen ay FBI, Conti’nin yan grubu Alphv – diğer adıyla BlackCat tarafından kullanılan ve operasyonlarını sekteye uğratmış gibi görünen altyapıya el koydu.
Bir diğer aksaklık, Hollanda polisinin, güvenlik uzmanlarının Tortilla’nın kurbanları için ücretsiz bir şifre çözücü oluşturmasını sağlayan Babuk kaynak kodunu temel alan bir varyantı kullanan bir fidye yazılımı grubu olan Tortilla’nın liderini tutukladığı bildirildi.
Buna rağmen fidye yazılımları ortalığı kasıp kavuruyor. Aralık ayı genellikle fidye yazılımı saldırıları açısından yavaş bir ay olsa da, siber güvenlik firması BlackFog’un bildirdiğine göre geçen ay 70 yeni fidye yazılımı saldırısı kurbanının ortaya çıkmasıyla bu trend kırıldı ve bu ay Kasım ayından sonra yılın en kötü ikinci ayı oldu. Tüm fidye yazılımı gruplarının veri sızıntısı siteleri çalıştırmaması ve çalıştırdıklarında da yalnızca ödeme yapmayan kurbanların bir alt kümesini listelemeleri nedeniyle uyarılar geçerlidir.
BlackFog, geçen ay en çok kurbanın LockBit’te olduğunu, onu Alphv/BlackCat ve Medusa’nın takip ettiğini buldu.
Medusa Dosyaları Donduruyor
Palo Alto’nun Birim 42 tehdit istihbarat grubu, Medusa’nın saldırılarının arttığı konusunda uyardı.
Hizmet olarak Medusa fidye yazılımı operasyonu 2022’nin sonlarında başladı. 2023’ün başlarında, geçen yıl 74 kurbanın listelendiği özel bir sızıntı sitesi başlattı. Birim 42, çalınan verilerin “bilgi desteği” adlı bir Telegram kanalı aracılığıyla da sızdırıldığını söyledi.
Araştırmacılar, “Bu operasyon, hem sistem açıklarından hem de ilk erişim aracılarından yararlanan ve arazi dışında yaşama teknikleri yoluyla tespit edilmekten ustaca kaçınan karmaşık yayılma yöntemlerini sergiliyor” diye yazdı. Grubun kullandığı taktiklerden biri, ele geçirilen Microsoft Exchange sunucularına kötü amaçlı bir web kabuğu yüklemekti.
Bleeping Computer’ın haberine göre, grubun en çok bilinen kurbanlarından biri, Medusa’nın kısa süre önce 8 milyon dolar fidye talep ettiği Toyota Motor Corp.’un otomobil finansmanı yan kuruluşu olan Japonya’daki Toyota Finansal Hizmetler’in Avrupa ve Afrika bölümüydü. Medusa, geçen Kasım ayında Toyota’dan çaldığı iddia edilen verileri sızdırdı ve bu da örgütün fidye ödemediğini gösteriyor.
Rusça konuşan bu fırsatçı kuruluş, daha düşük bir fidye isteyen fidye yazılımı kurbanlarıyla pazarlık yapmaya ve saldırılardan mümkün olan her şekilde para kazanmaya istekli görünüyor. Birçok fidye yazılımı grubu gibi Medusa’nın da virüslü sistemlerdeki kilit ekranında bir geri sayım sayacı bulunuyor. Birim 42, zamanlayıcı dolduğunda grubun çalınan verileri sızdırma sözü vermesine rağmen, alışılmadık bir şekilde kurbanlara zamanlayıcı uzatma ayrıcalığı için 10.000 dolar ödeyebileceklerini tavsiye ettiğini söyledi.
Polis Babuk’un ‘Tortilla’ İddiasını Bastırdı
Cisco’nun Talos tehdit istihbarat grubu, kripto kilitleme kötü amaçlı yazılımını sızdırılmış Babuk kaynak koduna dayandıran bir fidye yazılımı grubu olan Tortilla’nın liderinin Amsterdam’da Hollanda polisi tarafından tutuklandığını ve ardından kısmen istihbarata dayanarak Hollanda Kamu Savcılığı tarafından yargılandığını bildirdi. Talos tarafından sağlanmıştır. Hollandalı yetkililer yorum talebine hemen yanıt vermedi.
Cisco’nun Talos tehdit istihbarat grubu şunları yazdı: “Amsterdam polis operasyonu sırasında Talos şifre çözücüyü elde edip analiz etti, şifre çözme anahtarını kurtardı ve anahtarı diğer birçok Babuk varyantı için şifre çözücünün geliştirilmesinden ve bakımından sorumlu Avast Threat Labs mühendisleriyle paylaştı.” bir blog yazısında.
Babuk fidye yazılımının kaynak kodu, Eylül 2021’de Rusça dilindeki bir bilgisayar korsanlığı forumuna sızdırıldı. Şans eseri dosyalarının şifresini çözmek isteyen kurbanlar için Tortilla’nın Babuk’a yaklaşımı şifreleme şemasını değiştirmedi. Cisco Talos ayrıca Tortilla’nın, bazı grupların yaptığı gibi her kurban için yeni bir anahtar oluşturmak yerine, kurbanlarının her birini şifrelemek için yalnızca tek bir genel/özel anahtar çifti kullandığını söyledi.
Avast, bunun Tortilla kilitli dosyaların şifresini çözme sürecini büyük ölçüde basitleştirdiğini ve Tortilla şifreli dosyaları işlemek için No More Ransom portalı aracılığıyla da kullanılabilen ücretsiz Babuk şifre çözücüsünü güncellediğini söyledi. Bu dosyalar kısmen tanımlanabilir çünkü .babyk uzantısı dosya adlarına eklenir.
Mevcut Hit Hard by Akira
Akira hizmet olarak fidye yazılımı operasyonunun fırsatçı bağlı kuruluşları, son aylarda bir dizi Fin firmasını tuzağa düşürdü ve Aralık 2023’te Fin yetkililerine bildirilen yedi saldırının altısından sorumlu oldu.
Bu nedenle, bu Akira saldırılarının çoğunun Cisco Adaptive Security Appliance ve Firepower Threat Defense cihazlarından yararlandığını söyleyen Finlandiya Ulusal Siber Güvenlik Merkezi, kullanıcıların henüz Eylül 2023’te yayınlanan bir yamayı yüklemek için güncellenmediğini belirtiyor.
CVE-2023-20269 olarak takip edilen güvenlik açığı, “kimliği doğrulanmamış uzak bir saldırganın, geçerli kullanıcı adı ve şifre kombinasyonlarını belirlemek amacıyla kaba kuvvet saldırısı gerçekleştirmesine veya kimliği doğrulanmış, uzak bir saldırganın, istemcisiz bir SSL VPN oturumu kurmak için Yetkisiz kullanıcı”, ABD Ulusal Güvenlik Açığı Veritabanına göre.
NCSC-FI bilgi güvenliği uzmanı Olli Hönö, güvenlik açığının Cisco ASA ve FTD cihazlarında çok faktörlü kimlik doğrulamayı atlamak için kullanılamayacağını ve MFA kullanımının öneminin altını çizdiğini söyledi.
Güvenlik açığıyla ilgili uyarılar, güvenlik açığının yamasının ardından geçen Eylül ayında başladı. Güvenlik firmaları daha sonra Mart 2023’ten itibaren, yani Akira’nın çıkış yaptığı zamana denk gelen, Cisco ASA ve FTD cihazlarını hedef alan saldırılarda bir artış gördüklerini bildirdi (bkz.: Federaller Sağlık Sektörünü Akira Fidye Yazılımı Tehditleri Konusunda Uyardı).
Fidye yazılımı kullanan diğer saldırganlar gibi Akira’nın bağlı kuruluşları da verileri çalıyor ve kendilerine ödeme yapılmadığı takdirde verileri sızdırmakla tehdit ediyor. Ağa bağlı depolama sunucularını ve teyp yedeklemelerini hedeflemek de dahil olmak üzere, kurbanların sistemlerini kolayca geri yüklemelerini önlemek için yedekleri arıyor ve yok ediyorlar. Bir makine çevirisine göre NCSC-FI, “Bildiğimiz hemen hemen her durumda, tüm yedeklemeler kaybedildi” dedi.
Finlandiya’nın siber güvenlik merkezi, tüm kuruluşların şu 3-2-1 kuralına uymasını tavsiye ediyor: En az biri ağa bağlı olmayan iki farklı yerde üç yedek bulundurun.