Microsoft, Scattered Spider siber suç çetesinin Qilin fidye yazılımını cephaneliğine eklediğini ve artık saldırılarda kullandığını söylüyor.
Microsoft Pazartesi günü yaptığı açıklamada, “2024’ün ikinci çeyreğinde, en yakından takip ettiğimiz fidye yazılımı tehdit aktörümüz olan finansal olarak motive olmuş tehdit aktörü Octo Tempest, kampanyalarındaki fidye yazılımı yüklerine RansomHub ve Qilin’i ekledi” dedi.
2022’nin başlarında ortaya çıkan bu tehdit grubu (Octo Tempest, UNC3944 ve 0ktapus olarak da biliniyor), Microsoft, Binance, CoinBase, T-Mobile, Verizon Wireless, AT&T, Slack, Twitter, Epic Games, Riot Games ve Best Buy gibi 130’dan fazla yüksek profilli kuruluşu hedef alan 0ktapus kampanyasının ardından kötü bir şöhrete kavuştu.
İngilizce konuşan çete, 2023 yılının ortalarında BlackCat/ALPHV fidye yazılımına iştirak ettikten sonra MGM Resorts’un sistemlerini de şifreledi ve Symantec tarafından RansomHub fidye yazılımı hizmetine bağlandı.
Kasım ayında FBI ve CISA, Scattered Spider’ın taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) vurgulayan bir tavsiye yayınladı. Bunlar arasında, müşteri hizmetleri personelini kandırarak kimlik bilgilerini vermeleri için BT çalışanlarını taklit etmek veya uzaktan erişim araçlarını kullanarak hedeflerin ağlarında kalıcılık kazanmak yer alıyor.
İlk ağ erişimi için kullandıkları bilinen diğer taktikler arasında kimlik avı, MFA bombalaması (diğer adıyla MFA yorgunluğu) ve SIM kart değiştirme yer alıyor.
Scattered Spider’ın da katıldığı Qilin fidye yazılımı operasyonu, Ağustos 2022’de “Agenda” adı altında ortaya çıktı ancak bir ay sonra Qilin olarak yeniden markalandı.
Qilin çetesi, son iki yıldır karanlık web sızıntı sitesinde 130’dan fazla şirketi ele geçirdi; ancak operatörleri, saldırılar 2023’ün sonlarına doğru yoğunlaşana kadar aktif değildi.
Qilin, Aralık 2023’ten bu yana kurumsal kuruluşların hafif kaynak ihtiyaçları için tercih ettiği VMware ESXi sanal makinelerini hedefleyen en gelişmiş ve özelleştirilebilir Linux şifreleyicilerinden birini geliştiriyor.
İşletmeleri hedef alan diğer birçok fidye yazılımı grubunda olduğu gibi Qilin operatörleri de şirketlerin ağlarına sızıyor ve kurbanın sistemlerinde dolaşırken verileri çıkarıyor.
Yönetici kimlik bilgilerini elde edip tüm hassas verileri topladıktan sonra, fidye yazılımı yüklerini tüm ağ aygıtlarını şifrelemek için kullanırlar ve çalınan verileri kullanarak çift gasp saldırıları gerçekleştirirler.
BleepingComputer, şimdiye kadar Qilin’den gelen fidye taleplerinin, kurbanın büyüklüğüne bağlı olarak 25.000 dolardan milyonlarca dolara kadar değiştiğini gördü.
Geçtiğimiz ay, İngiltere Ulusal Siber Güvenlik Merkezi’nin (NCSC) CEO’su, Qilin’i, Haziran ayı başlarında patoloji hizmetleri sağlayıcısı Synnovis’i hedef alan ve Londra’daki birkaç büyük NHS hastanesini etkileyen, yüzlerce operasyonu ve randevuyu iptal etmeye zorlayan bir fidye yazılımı saldırısıyla ilişkilendirmişti.
