Uluslararası Kanun Uygulama Operasyonu Altyapıyı Ele Geçirdi, Operasyonu Engelledi
Mathew J. Schwartz (euroinfosec) •
19 Ekim 2023
Ragnar Locker fidye yazılımı grubunun veri sızıntısı ve müzakere siteleri, uluslararası bir kolluk kuvvetleri operasyonunun altyapısını ele geçirmesinin ardından Perşembe günü çevrimdışı oldu.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Baskılara katılan kolluk kuvvetleri arasında FBI’ın yanı sıra Europol’ün Avrupa Siber Suç Merkezi ve AB Ceza Adaleti İşbirliği Ajansı tarafından desteklenen Fransa, Almanya, İtalya, İspanya ve Hollanda’daki yetkililer yer alıyor.
Europol, ilk olarak Ragnar Locker’ın kesintiye uğradığını bildiren Bleeping Computer’ın yayından kaldırıldığını doğruladı ve belirtilmemiş ek çabalar tamamlandıktan sonra kesintiyi resmi olarak Cuma günü duyurmayı planladığını söyledi.
Fidye yazılımı operasyonlarını kesintiye uğratmak açısından yoğun bir haftaydı. Çarşamba günü Ukrayna yanlısı bilgisayar korsanları, yeni kurulan Trigona fidye yazılımı çetesinin sunucularını silme sorumluluğunu üstlendi.
Ragnar Locker kaldırılana kadar aktif kalmış gibi görünüyor. Fidye yazılımının arkasındaki grup, Windows ve Linux sistemlerini kriptoyla kilitlemesinin yanı sıra çifte şantaj uygulamasıyla da tanınıyor; bu da kurbanları ödemeye zorlamak için verileri çalması ve sızdırmakla tehdit etmesi anlamına geliyor. Grup düzenli olarak 10 milyon dolar veya daha fazla fidye talep ediyor, ancak kaç kurbanın fidye ödediği veya saldırganlarla pazarlık yaptıkları nihai miktar belirsizliğini koruyor.
Güvenlik uzmanları, grubun, hizmet olarak fidye yazılımı operasyonu yürütmek ve ödenen her fidyeden bir kesinti karşılığında kötü amaçlı yazılımını bağlı kuruluşlara kiralamak yerine, kendi saldırılarını gerçekleştirdiğini veya bir avuç güvenilir ortakla yakın işbirliği içinde çalıştığını söylüyor.
Uzun Süreli Çalışma
İlk olarak Aralık 2019’da Maze veya MountLocker’ın olası yan ürünü veya ortağı olarak ortaya çıkan Rusça konuşan Ragnar Locker, REvil gibi yüksek hızlı yazılımlarla karşılaştırıldığında genellikle orta düzey katmanda faaliyet gösteren olarak sınıflandırılsa da en uzun süredir devam eden fidye yazılımı operasyonlarından biri haline geldi. /Sodinokibi, DarkSide, Conti, DopplePaymer, Ryuk, Royal, Alphv/BlackCat ve LockBit. Ancak bu operasyonların çoğu artık mevcut değil veya en azından üyeleri başka operasyonlar veya yeniden markalanmış gruplarla çalışıyor.
Ragnar Locker, ilk günlerinde enerji firması Energias de Portekiz, Japon oyun firması Capcom, uçak üreticisi Dassault Falcon ve İtalyan içki üreticisi Campari gibi yüksek profilli kurbanları bir araya getirerek adından söz ettiriyordu. İkincisi ile grup, bağımsız bir üçüncü taraf kuruluşun sosyal medya hesabına girerek, talep ettiği fidyeyi ödememeyi tercih ettiği için Campari’yi azarlayarak provokasyon eğilimini gösterdi.
Saldırganlar, 2021’de kolluk kuvvetleriyle çalışmayı veya fidye yazılımı müdahalesi veya müzakere uzmanlarını işe almayı düşünen herhangi bir kurban için çalınan verileri derhal sızdırmakla tehdit ettikleri unutulmaz bir dönüş de dahil olmak üzere, sarsma stratejilerini geliştirmeye devam etti.
Grup, mağdurlara şunları söyledi: “Müzakereler için herhangi bir kurtarma şirketi tutarsanız veya polise/FBI/müfettişlere talep gönderirseniz, bunu düşmanca bir niyet olarak değerlendireceğiz ve tehlikeye atılan tüm verileri derhal yayınlamaya başlayacağız.” fidye notu. Uzmanlar, mağdurları yardım almaktan uzaklaştırma girişiminin, polis ve uzman yardımının mağdurlar için ne kadar faydalı olmaya devam ettiğini gösterdiğini söyledi (bkz: Ragnar Locker: ‘Polislerle veya Federallerle Konuşursanız Verilerinizi Sızdırırız’).
Ragnar Locker aynı zamanda kötü şöhretli Conti grubuyla işbirliği yapan birkaç gruptan biriydi.
Kritik Altyapı Etkileri
Mart 2022’de FBI, Ragnar Locker’ın aktif olarak kritik altyapı sektörlerini hedef aldığı ve 10 kritik altyapı sektöründe en az 52 ABD kurban kuruluşunu topladığı konusunda uyardı.
Grubun geçen yıl gün yüzüne çıkan diğer kurbanları arasında bir Yunan gaz operatörü, İtalya’daki bir temel sağlık sistemi, Portekiz’in ulusal havayolu şirketi ve Belçika’nın Anvers şehri vardı. Grubun kritik altyapı sektörlerini hedeflemesi devam etti. Geçen ay Ragnar Locker bir İsrail hastanesinden çalınan verileri sızdırdı.
Daha yakın zamanda siber güvenlik araştırmacısı MalwareHunterTeam, Bleeping Computer’a Johnson Controls’e yönelik geçen ay düzenlenen saldırının, Ragnar Locker tarafından 2021’den beri kullanılan Linux şifreleyicisini içerdiğini, ancak saldırının sorumluluğunu kendisine DarkAngels adını veren yeni bir fidye yazılımı operasyonunun üstlendiğini söyledi. DarkAngels’ın Ragnar Locker’ın potansiyel bir ortağı mı, yan kuruluşu mu yoksa yeniden markası mı olduğu henüz belli değil.
Uzun Vadeli Etki: Belirsiz
Bu hafta Ragnar Locker’ın dağılmasının grubun sonu anlamına gelip gelmediği belirsizliğini koruyor. Kolluk kuvvetleri daha önce birden fazla fidye yazılımı grubunu kesintiye uğratmış, ancak grup üyeleri altyapılarını yeniden inşa ettikten sonra bir veya daha fazla kez yeniden ortaya çıktıklarını görmüştü. Örnekler arasında REvil, diğer adıyla Sodinokibi yer alır (bkz: REvil Fidye Yazılımı Operasyonunu Yeniden Başlatma Girişiminin Arkasında Kim Var?).
Bazı durumlarda polisin, operasyonları durdurmadan önce operasyonlara sızdığı veya en azından kritik altyapıyı ele geçirdiği veya kopyaladığı görülüyor. REvil’in karanlık web veri sızıntısı sitesini ve ödeme portalını Ekim 2021’de yeniden başlatmaya çalışan kişi, daha önce kullanılan bir hesabı geri yüklemeye çalışmıştır. .onion
site, özel anahtarı yeniden kullanıyor. Ancak birileri (muhtemelen kolluk kuvvetleri) bu çabaları boşa çıkardı, çünkü görünüşe göre özel anahtara da sahiplerdi (bkz.: REvil’in Siber Suç İtibarı Parçalanıyor – Yeniden Başlayacak mı?).
Batılı kolluk kuvvetleri için tekrarlanan zorluklardan biri, birçok fidye yazılımı operatörünün ve bağlı şirketlerinin Rusya’da yerleşik olması ve Rusya’nın yurt dışına suçlamalarla karşı karşıya kalmak üzere vatandaşlarını asla iade etmemesidir. Bu nedenle, altyapıları bozulabilse de, bu fidye yazılımı uygulayıcıları serbest kaldıkları sürece faaliyetlerini yeniden başlatabilirler.