Siber suçlara karşı savaşmak için Japonya Ulusal Polis Ajansı (NPA), Phobos kurbanları ve 8base fidye yazılımı varyantları için ücretsiz bir şifre çözme aracı yayınladı. Uluslararası kolluk kuvvetleri ile işbirliği içinde halka açık hale getirilen şifreleme, 2019’dan beri fidye yazılımı saldırılarından muzdarip binlerce kuruluşa yardımcı olmayı amaçlamaktadır.
Japon polisi, İngilizce dili kullanıcı rehberi ile birlikte şifre çözme hizmeti açıkladı ve birçok sektördeki etkilenen kuruluşlara rahatlama sağladı.
Girişim, ABD, Almanya, Güney Kore, Fransa ve Tayland’daki Avrupa Siber Suç Merkezi (Europol), FBI ve kolluk kuvvetlerini içeren kapsamlı uluslararası işbirliğini takip ediyor.
FBI’ın Baltimore saha ofisi, bu yılın başlarında Phobos fidye yazılımı altyapısının kilit unsurlarının ve birkaç iddia edilen bağlı kuruluşa karşı cezai suçlamaların yayından kaldırılmasıyla sonuçlanan soruşturmaya öncülük etti.
Phobos ve 8base fidye yazılımı üzerinde arka plan
Phobos fidye yazılımı ilk olarak 2019’da ortaya çıktı ve küçük ila orta ölçekli kuruluşları hedeflediği ve çoğu 100.000 doların altında nispeten mütevazı fidye ödemeleri talep ettiği biliniyor. ABD savcılarına göre, Phobos operatörleri ve iştirakleri, küresel olarak 1.000’den fazla kurbandan toplu olarak 16 milyon dolardan fazla zorladı.
2013 ortasında bir spinoff olarak ortaya çıkan 8base fidye yazılımı grubu, Phobos’un kendi varyantını geliştirmek için altyapısını kaldırdı. Europol daha önce 8base’nin Phobos’un şifreleme ve teslimat mekanizmalarını kullanarak maksimum etki için uyarlamalarını belirtmişti. Grup, çift gasp taktikleri, kurbanların verilerini şifreleyen ve fidye ödenmedikçe çalınan dosyaları yayınlamakla tehdit eden özellikle agresifti.
8Base’nin dikkate değer hedefleri şunları içerir:
Kurbanlar arasında kritik altyapı
ABD yetkilileri bu yılın başlarında Phobos ve varyantlarının devlet, yerel, aşiret ve bölgesel hükümet kuruluşlarını etkilediği konusunda uyardı. Hedefler arasında halk sağlığı hizmetleri, acil servisler, eğitim sistemleri ve kolluk kuvvetleri vardı. Zararlar, fidye ödemelerinde milyonlarca dolar ve operasyonları bozdu.
Mahkeme belgelerinden kurban örnekleri şunlardır:
- California Devlet Okulu Sistemi – 300.000 $ ödedi (2023 yaz)
- Federal ajanslar için Maryland muhasebe firması – 12.000 dolar ödedi (2021 başı)
- Pennsylvania Sağlık Organizasyonu – 20.000 $ ödedi (Bahar 2022)
- Maryland Sağlık Grupları – 25.000 $ ve 37.000 $ ödedi (2022 yaz)
- Kuzey Carolina Çocuk Hastanesi – 100.000 $ ödedi (Güz 2023)
- Diğer kurbanlar arasında ABD Savunma ve Enerji Bakanlığı yüklenicileri, Connecticut’taki devlet okulu sistemleri, New York Kolluk Birliği ve federal olarak tanınan bir kabile yer alıyor.
Kolluk kuvvetleri geri dönüyor
Küresel soruşturma, birkaç yüksek profilli tutuklama ile sonuçlandı:
- Phobos’un iddia edilen bir yöneticisi olan Evgenii Ptitsyn, Kasım ayında Güney Kore’den iade edildi.
- Fransız makamlar tarafından uluslararası bir tutuklama emri çıkarıldıktan sonra bir başka şüpheli de İtalya’da tutuklandı.
- “Phobos Aetor” olarak adlandırılan bir Tayland polis operasyonu, Phuket’te dört kişinin (iki erkek ve iki kadın) tutuklanmasına yol açtı.
ABD Adalet Bakanlığı daha sonra, Phobos fidye yazılımını yasadışı gelir elde etmek için kullanmakla suçlanan Roman Berezhnoy (33) ve Egor Nikolaevich Glebov’a (39) karşı açık suçlamalar kırdı. İddianameye göre, Duo Phobos kodunu karanlık ağdaki bağlı kuruluşlara dağıtarak kazandı. Mağdurlar şifre çözme için para ödediğinde, bağlı kuruluşlar yöneticilerle bir kısmı – genellikle 300 dolar – paylaştılar. Savcılar, Ptitsyn’in bu ücretleri toplamak için kullanılan ana kripto para cüzdanını kontrol ettiğini doğruladılar.
Tutuklamalarla birlikte, kolluk kuvvetleri fidye yazılımı operasyonlarında kullanılan 100’den fazla sunucuyu söktü ve tehdit altında veya zaten tehlikeye atılan 400’den fazla şirkete uyarılar yayınladı.
Ücretsiz şifre çözme aracı nasıl kullanılır
“PHDEC Decryptor” adlı şifre çözme aracı, No For Ransom Portalı (https://www.nomoreransom.org) aracılığıyla ücretsiz indirilebilir. Yazılım, Phobos veya 8base fidye yazılımı varyantları tarafından şifrelenmiş çok çeşitli dosyaların şifresini çözebilir.
Desteklenen dosya uzantıları:
- .fobos
- .8Base
- .elbie
- .FAUS
- .KERTENKELE
- Adlandırma Sözleşmesi ile eşleşen ek uzantılar {orijinal dosya adı} .id.[{8 random characters}–{4 digit numbers}].[{Mail address}]. {Dosya Uzantıları}
Not: Şifreleme işlemi sırasında dosyalar bozulursa veya şifreleme anahtarları kırılmışsa şifre çözme başarılı olmayabilir.
Kullanım için adım adım kılavuz Şifre çözme aracı
- Aracı indirin ve çalıştırın:
- Daha fazla fidye indirin ve .exe dosyasını çalıştırın.
- Kullanıcıların antivirüs uyarılarını geçersiz kılması gerekebilir.
- Hizmet Şartları’nı kabul edin:
- Devam etmeden önce şartları gözden geçirin ve kabul edin.
- Dosyaları veya klasörü seçin:
- Şifre çözme için tek bir dosya veya tüm klasörler seçin.
- Sürükle ve bırak işlevselliği desteklenir.
- Çıktı dizini ayarlayın:
- Şifre çözülmüş dosyaların nereye kaydedilmesi gerektiğini belirtin.
- Şifre çözme başlat:
- Basmak [Decrypt] Süreci başlatmak için.
- Sonuçları kontrol edin:
- Tamamlandığında, bir mesaj başarıyı doğrular.
- Sonuçlar arasında başarılı bir şekilde şifre çözülmüş, başarısız ve desteklenmeyen dosyaların sayısı yer alır.
Çıktı raporları, şifre çözme işlemi hakkında ayrıntılı geri bildirim sağlamak için .txt, .csv ve .log formatlarında oluşturulur.
Çözüm
Fidye yazılımı gelişmeye devam ettikçe, koordineli kolluk eylemi ve bu araç gibi erişilebilir kaynaklar, bu tür zayıflatıcı saldırıların vurduğu kuruluşlara bir yaşam çizgisi sunar. Mağdurlar fidye ödemekten kaçınmaya, ücretsiz şifresini kullanmaya ve yerel ve uluslararası siber güvenlik yetkililerine olayları bildirmeye teşvik edilir.
Mağdurlar için Dikkat: Düzeltme makinesi umut sunarken, Japon NPA, özellikle orijinal şifreleme kusurlu ise veya dosyalar saldırı sonrası değiştirilmişse, tüm şifre çözülmüş dosyaların bütünlüğünü garanti etmediğine dikkat çekiyor.