Dolandırıcılık Yönetimi ve Siber Suç, Fidye Yazılımı
NoName, Uzun Kuyruklu Saldırılarda Uzmandır
Prajeet Nair (@prajeetskonuşuyor) •
11 Eylül 2024
Yükselen çevrimiçi suç gaspı grubu RansomHub’ın yeni bir iştiraki var gibi görünüyor – NoName, şu ana kadar şöhretinin temel iddiası LockBit fidye yazılımı hizmeti operasyonunu taklit etmek olan orta düzey bir aktör. NoName, yıllardır var olan güvenlik açıklarını istismar etmesiyle biliniyor.
Ayrıca bakınız: Corelight’tan Brian Dye, Fidye Yazılımlarını Yenmede NDR’nin Rolü Hakkında
Eset araştırmacıları Salı günü NoName’in RansomHub ile güçlerini birleştirdiğine dair orta düzeyde bir güvenle değerlendirme yaptıklarını söyledi.
Eset, Haziran ayında ismi açıklanmayan bir Hint üretim şirketinde gerçekleşen bir hack olayına atıfta bulundu. NoName hacker’ları, başlangıçta sistemleri kendi fidye yazılımlarıyla enfekte etmeyi başaramadılar – ScRansom olarak izlenen şifreleyici kötü amaçlı yazılım. Günlerce denedikten sonra, hacker’lar uç nokta korumasını atlatmak ve RansomHub şifreleyicisini dağıtmak için bir RansomHub EDR öldürücü aracı kullanarak başarılı oldular.
Eset, “Bildiğimiz kadarıyla RansomHub kodu veya oluşturucusuna dair kamuoyuna sızdırılmış bir bilgi yok” dedi.
ABD federal hükümetinin Ağustos ayında yayınladığı bir duyuruda, RansomHub’ın bu yılın başlarında piyasaya sürüldüğü ve “etkili ve başarılı” bir fidye yazılımı uygulayıcısı olarak tanındığı belirtildi (bkz: RansomHub Hit’leri LockBit ve BlackCat’in Eski Ortakları Tarafından Destekleniyor).
Eset’in CosmicBeetle olarak takip ettiği NoName, en az 2020’den beri aktif. Eylül 2023’te LockBit sitesini taklit eden ve LockBit kurbanlarını kendisininmiş gibi gösteren bir sızıntı sitesi kurdu. Ağustos ayında, bir saldırıda sızdırılan LockBit 3.0 oluşturucusunu kullanmış gibi görünüyor. NoName operasyonları, küçük ve orta ölçekli işletmelerin yamalamadan bıraktığı yıllardır var olan güvenlik açıklarını istismar etmekle ve bu kusurları dünya çapındaki saldırılarda kullanmakla bilinir.
Grubun en sevdiği güvenlik açıkları arasında, kendilerine Shadow Brokers adını veren bir grubun ABD Ulusal Güvenlik Ajansı tarafından geliştirilen EternalBlue adlı bir açığı sızdırmasının ardından kamuoyunun bilgisine sunulan CVE-2017-0144 adlı bir Windows sunucu ileti bloğu kod yürütme güvenlik açığı yer alıyor (bkz: Tesadüf Değil: Microsoft’un Zamanında Denklem Grubu Düzeltmeleri).
NoName ayrıca CVE-2023-27532 olarak izlenen Veeam Backup’taki bir açığı ve CVE-2022-42475 olarak izlenen FortiOS SSL-VPN’deki 2022 açığını da istismar etmeyi seviyor (bkz: Fortinet Kritik Uzaktan Kod Hatasını Düzeltiyor).
Grubun en son şifreleme kötü amaçlı yazılımı ScRansom, nispeten basittir ve sıklıkla kalıcı veri kaybına yol açar. Bazen dosyaların kilidini açmak için birden fazla şifre çözme anahtarı gerekir ve bazıları şifreleme sürecindeki kusurlar nedeniyle tamamen kaybolur.
CosmicBeetle’ın kötü şöhretli LockBit çetesini taklit etmeye yönelmesinin, itibarını güçlendirmek için kasıtlı bir girişim olduğu düşünülüyor.
Araştırmacılar, grubun LockBit’in sızdırılan oluşturucusunu denediğini ve hatta LockBit’in platformunu taklit eden, fidye notları barındıran ve kurbanları kötü şöhretli grup tarafından hedef alındıklarına ikna etmeye çalışan Noname adlı sahte bir sızıntı sitesi kurduğunu keşfetti.
Delphi’de yazılmış olan ScRansom’un önceki sürümleri manuel etkileşim gerektiriyordu; saldırganların fidye yazılımını manuel olarak başlatmak için kurbanın sistemine erişmesi gerekiyordu. Bu yaklaşım muhtemelen kötü amaçlı yazılımın otomatikleştirilmiş sanal alanlarda tespit edilmekten kaçınmasına izin verdi.