Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Yeni Grubun Hizmet Olarak Markalı Fidye Yazılımı Gruplarıyla Bağlantıları Var
Sayın Mihir (MihirBagwe) •
27 Eylül 2023
Görünüşe göre yeni bir bilgisayar korsanlığı grubunun, Conti’nin yan ürünleri ve muhtemelen Clop dahil olmak üzere bir dizi isim markalı hizmet olarak fidye yazılımı grubuyla bağlantıları var ve bu da onu suç yeraltına çok yönlü bir katkı haline getiriyor.
Ayrıca bakınız: 2022 Ünite 42 Olay Müdahale Raporu
Group-IB araştırmacıları Salı günkü bir blog yazısında gruba ShadowSyndicate adını verdiler. Yapılan bir araştırma, grubun Temmuz 2022’den bu yana 85 sunucuya dağıtılan tek SSH parmak izini ortaya çıkardı; bunların çoğunluğu, bilgisayar korsanlarının favorisi olan Cobalt Strike pen-test aracı için komuta ve kontrol olarak etiketlendi. ShadowSyndicate’in (araştırmacının güveni farklı olsa da) şu ana kadar yedi farklı fidye yazılımı sağlayıcısıyla çalıştığı görülüyor.
Bir hizmet olarak fidye yazılımı, geçtiğimiz yarım on yılda siber gaspın baskın modeli olarak ortaya çıktı ve çoğunlukla Rusça konuşan suç grupları uzmanlaşmayı ve karları paylaşmayı öğrendi. RaaS operatörleri, kötü amaçlı şifreleyiciler ve bir istemci portalı geliştirir ve kurbanlarla görüşmeleri yönetir. Bağlı kuruluşlar, kötü amaçlı yazılımı kendi bilgisayar korsanlığı yoluyla veya bir ilk erişim aracısından satın alınan güvenliği ihlal edilmiş makinelere erişim yoluyla dağıtıyor. Operatörler genellikle mağdur ödemesinin %20 ila %40’ını elinde tutar.
ShadowSyndicate’in bir ilk erişim komisyoncusu olma ihtimali var ancak Group-IB, analizlerinin onun bir bağlı kuruluş olduğunu işaret ettiğini söyledi.
Group-IB, ShadowSyndicate sunucu altyapısının Eylül 2022’de Quantum fidye yazılımı kullanılarak yapılan bir saldırıda, 2022’nin son üç ayında ve Nisan 2023’te yapılan üç Nokoyawa saldırısında ve Şubat 2023’teki bir Alphv saldırısında kullanıldığını tespit etti (bkz: Conti Ransomware Markası Kullanımdan Kaldırıldıktan Sonra Yan Ürünler Devam Ediyor).
Group-IB ayrıca ShadowSyndicate’i TrickBot, Ryuk, FIN7 ve TrueBot kötü amaçlı yazılım operasyonlarına bağlayan altyapı çakışmalarını düşük bir güven derecesi ile tespit etti.
Araştırmacılar, özellikle, Ağustos 2022’den bu yana Clop fidye yazılımı bağlı kuruluşlarıyla ilişkili dört farklı kümeden bir düzine IP adresinin mülkiyetini ShadowSyndicate olarak değiştirdiğini, bunun da “bu gruplar arasında potansiyel bir altyapı paylaşımı olduğunu gösterdiğini” söyledi. IP adreslerinin tümü artık Cobalt Strike veya Metasploit için komuta ve kontrol altyapısına yönlendiriyor. Group-IB, Clop’un IP adreslerini hangi amaçla kullandığını bilmediğini söyledi.
Açıklama, güvenlik analistlerinin haziran ve temmuz aylarındaki rekor aylardan sonra ağustos ayında fidye yazılımı saldırılarında bir düşüş kaydettiği dönemde geldi; NCC Grubu, Clop’un Progress Software’in MOVEit dosya aktarım yazılımındaki sıfır gün kusurunu kullanmasına atfedilen bir artıştı (bkz.: Veri İhlali Ücreti Clop Grubunun MOVEit Saldırı Artışına Bağlı).
NCC Grubu küresel tehdit istihbaratı başkanı Matt Hull, “Bununla birlikte, ağustos ayında kaydedilen kurbanların sayısı geçen yılın bu zamanlarına göre hala önemli ölçüde yüksekti” dedi.