Paraguay ordusu, Tigo Business’ın geçen hafta şirketin iş bölümündeki bulut ve barındırma hizmetlerini etkileyen bir siber saldırıya uğramasının ardından Black Hunt fidye yazılımı saldırıları konusunda uyardı.
Tigo, siber güvenlik danışmanlığı, bulut ve veri merkezi barındırma ve geniş alan ağı (WAN) çözümleri dahil olmak üzere kuruluşa dijital çözümler sunan Tigo İş bölümüyle Paraguay’ın en büyük mobil operatörüdür.
Hafta sonu yerel basında, şirketlerin Perşembe gününden bu yana Tigo Business’ta barındırılan web sitelerinde kesintilerle uğraştığı bildirildi.
Tigo’nun bir siber saldırıya uğradığından şüphelenilse de şirket, bir açıklama yayınlayan hafta sonuna kadar saldırıyı resmi olarak doğrulamadı.
“4 Ocak’ta, hizmet olarak Tigo Business Paraguay altyapımızda, kurumsal segmentteki (şirketler) sınırlı bir müşteri grubuna bazı belirli hizmetlerin normal tedarikini etkileyen bir güvenlik olayının kurbanı olduk.” Tigo Business’tan bir açıklama okuyor.
Açıklamada, internette aktarılan haberlerin çoğunun hatalı olduğu ve saldırının interneti, telefon hizmetlerini ve Tigo Money elektronik cüzdanlarını etkilemediği belirtildi.
Tigo, siber saldırıya ilişkin herhangi bir ayrıntı vermezken, sosyal medyadaki çok sayıda rapor, Black Hunt fidye yazılımı operasyonu tarafından saldırıya uğradıklarını gösteriyor.
Bu raporlarda, saldırı sırasında 330’dan fazla sunucunun şifrelendiği ve yedeklemelerin ele geçirildiği belirtildi.
Ertesi gün, Paraguay Paraguay Silahlı Kuvvetleri Bilgi ve İletişim Teknolojileri Genel Müdürlüğü (FFAA), ülkedeki şirketleri Black Hunt fidye yazılımı saldırılarına karşı uyaran bir uyarı yayınladı.
“DIGETIC/FFAA’nın DSIRT-MIL’si, ülkedeki ana internet servis sağlayıcılarından birini önemli ölçüde etkileyen ve bağlantılı 300’den fazla şirketi doğrudan etkileyen son siber güvenlik olayıyla ilgili olarak resmi bir uyarı yayınladı. söz konusu operatör, yedeklemelerden, web sayfalarından, e-postalardan ve bulut depolama alanlarından ödün veriyor”, Paraguay DSIRT-MIL’den artık silinmiş olan bir uyarıyı okudu.
“Siber güvenlik uzmanlarının raporlarına göre meydana gelen olay, Black Hunt adı verilen bir grup siber suçluyla bağlantılı bir fidye yazılımı enfeksiyonudur.”
Bülten, DSIRT-MIL’nin herhangi bir siber güvenlik olayıyla bağlantılı olmadığını belirtmesiyle kısa süre sonra silindi.
Black Hunt fidye yazılımı kimdir?
Black Hunt fidye yazılımı operasyonu, siber güvenlik araştırmacılarının başladığı 2022 yılının sonunda başlatıldı. saldırıları bildirme. BleepingComputer’ın tespit ettiği çok sayıda kurbandan, tehdit aktörlerinin genellikle Güney Amerika’daki şirketlere saldırdığı görülüyor.
Diğer fidye yazılımı operasyonlarında olduğu gibi, tehdit aktörleri de kurumsal ağları ihlal ediyor ve şifreleyicileri ağ üzerinde dağıtmak için yeterli erişim elde edene kadar sessizce diğer cihazlara yayılıyor.
Şifreleyiciler başlatıldığında Windows olay günlüklerini temizlemek, Gölge Birim Kopyalarını ve NTFS günlüklerini silmek ve Windows kurtarma seçeneklerini devre dışı bırakmak için aşağıdaki komutları gerçekleştireceklerdir.
cmd.exe /c vssadmin.exe Delete Shadows /all /quiet
cmd.exe /c bcdedit /set {default} recoveryenabled No
cmd.exe /c bcdedit /set {default} bootstatuspolicy IgnoreAllFailures
cmd.exe /c fsutil.exe usn deletejournal /D C:
cmd.exe /c wbadmin.exe delete catalog -quiet
cmd.exe /c schtasks.exe cmd.exe /change /TN "\Microsoft\Windows\SystemRestore\SR" /disable
cmd.exe /c wevtutil.exe cl Setup
cmd.exe /c wevtutil.exe cl System
cmd.exe /c wevtutil.exe cl Application
cmd.exe /c wevtutil.exe cl Security
cmd.exe /c wevtutil.exe cl Security /e:false
Yukarıdakilere ek olarak Black Hunt, Microsoft Defender’ı devre dışı bırakmak, yeni kullanıcılar eklemek, Sistem Geri Yüklemeyi devre dışı bırakmak ve Görev Yöneticisi ile Çalıştır komutunu devre dışı bırakmak da dahil olmak üzere Windows’ta büyük miktarda değişiklik gerçekleştirecektir.
Kötü amaçlı yazılım bulaşmasının ardından tüm Windows cihazlarının geri yüklenmesi gerekirken, Black Hunt’ın bulaştığı cihazlar, Windows yeniden yüklenene kadar neredeyse kullanılamaz durumda olacaktır.
Fidye yazılımı şifreleyici, dosyaları şifrelerken şu formatta bir uzantı ekleyecektir: [unique_id].[contact_email]Av2 (yeni sürümler) veya [unique_id].[contact_email].Siyah (Eski versiyonlar).
Kaynak: BleepingComputer
Şifreleyici, her klasörde, saldırı hakkında bilgiler ve tehdit aktörleriyle iletişim kurmak için kullanılabilecek e-posta adreslerini içeren #BlackHunt_ReadMe.hta ve #BlackHunt_ReadMe.txt adlı fidye notları oluşturacaktır.
Kaynak: BleepingComputer
Fidye notları, bilgisayar korsanlarının saldırılar sırasında veri çaldığını iddia etse de, fidye yazılımı operasyonunun çalınan verileri sızdırdığına dair bilinen herhangi bir örnek bulunmuyor.
Ayrıca fidye notunun HTML sürümünde listelenen Tor sitesi çalışmıyor ve sahte görünüyor.
Ancak tehdit aktörlerinin şifrelenmiş cihazlara tam erişimi olduğundan, saldırılar sırasında verilerin açığa çıktığını varsaymak daha güvenlidir.