Sürekli gelişen siber tehdit ortamında, Dark Web’de hızla büyüyen bir üne sahip bir fidye yazılımı sendikası olan Ransomed.vc, bir kez daha manşetlere çıktı. Bu kez hedefleri Japonya’nın telekomünikasyon devi NTT Docomo’dur.
Bu gelişme, Sony’de Ransomed.vc’in faaliyetleriyle bağlantılı olduğu düşünülen son veri ihlalinin hemen ardından ortaya çıktı.
Resecurity raporuna göre grup, Sony’nin taleplerini karşılamayı reddetmesi ve bunun çalınan verilerin kamuya açıklanmasıyla sonuçlanmasının ardından NTT Docomo’dan 1.015.000 dolar tutarında yüklü bir fidye talep ediyor.
Şimdi asıl soru, bunun Japonya’yı hedef alan yeni bir siber saldırı dalgasının başlangıcına işaret edip etmediğidir.
Ağustos 2023’te bir yeraltı forumu olarak başlayan Ransomed.vc, hızla müthiş bir fidye yazılımı örgütüne dönüştü.
Başlangıçta veri sızıntılarına, erişim komisyonculuğuna, güvenlik açıklarına, istismarlara ve diğer siber suç ticaretine odaklanan forum, benzer düşüncelere sahip bireylerden oluşan gelişen bir topluluk oluşturmayı amaçladı.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Üyeleri faaliyetlerine göre ödüllendiren kredi sistemi, daha önce açıklanmayan değerli bilgilerin paylaşılmasını teşvik etti.
Forum öncelikle modern yeraltı ekosisteminde çok aranan mallar olan, güvenliği ihlal edilmiş verilerin, kimlik bilgileri içeren birleşik listelerin ve kişisel olarak tanımlanabilir bilgilerin (PII) paylaşılmasına odaklandı.
Operasyonları geliştikçe Ransomed.vc benzersiz bir gasp yaklaşımını benimsedi ve kendilerini “dijital barış vergisinde lider şirket” olarak adlandırdı.
Bu yöntem, Avrupa Birliği’nde yaşayan mağdurları fidye ödemeye zorlamak için GDPR yasalarından ve veri koruma düzenlemelerinden yararlanmayı içeriyordu.
Buna uyulmaması, çalınan bilgilerin kamuya açıklanmasıyla sonuçlanacak ve bu da GDPR cezalarına yol açacaktır.
Grubun gerekçesi, fidyeyi ödemenin bir masraf olarak görülmesi ve potansiyel olarak önemli para cezalarından ve bunun ardından düzenleyici kurumların yol açtığı mali ve itibar kaybından daha ağır basmasıydı.
Ortaklık Programı Oluşturma
Ransomed.vc ayrıca başkalarını kurumsal ağlara erişimi tehlikeye atılmış erişimden para kazanmaya davet eden bir ortaklık programı oluşturdu.
Kritik altyapılara yönelik saldırılara izin vermemekle birlikte “yöneticiden özel onay” alınarak istisnalar yapılabilir. Bu hareket, sendikanın etrafında bir siber suçlular ağının ve güvenliği ihlal edilmiş erişim tedarikçilerinin oluştuğunu gösteriyor.
Son Sony olayı grubun faaliyetlerine ışık tutuyor. Kaynak kodları, dahili sunumlar ve gizli bilgiler de dahil olmak üzere çalınan dosyalar açığa çıktı.
Özellikle, ihlalin bir mühendisin iş istasyonunu ve SVN depolarına yapılan referansları içerdiği görülüyor.
İhlalin kapsamı başlangıçta iddia edildiği gibi tüm sistemleri kapsamayabilir, ancak açığa çıkan eserlerin gerçekliği ortadadır.
Sızıntıyı Arttırmak
İlginç olan, sızıntının Ransomed.vc üyesi olduğunu iddia eden BorisTulev olarak bilinen bir kişi tarafından daha da büyütülmesi.
23 Eylül 2023’te grup, 2,4 GB veri içeren yeni bir arşiv yayınladı ve bu arşiv, ele geçirilen kimlik bilgileri ve SSH özel anahtarı da dahil olmak üzere olayın ardındaki yeni hassas ayrıntıları ortaya çıkardı.
İlginç bir şekilde sızdırılan veriler, NTT DOCOMO’nun veri merkezlerinden biriyle ilişkili bir IP adresine işaret ediyor.
NTT DOCOMO’ya yapılan saldırının duyurusu 26 Eylül tarihliydi, ancak bir gün önce, 25 Eylül’de BorisTulev, kurbanla ilgili bilgileri zaten Dark Web forumunda yayınlamıştı ve bu da onun platformdan derhal men edilmesine yol açmıştı.
Bu, bunun Ransomed.vc’in kasıtlı bir stratejisi mi yoksa BorisTulev’in erken bir hamlesi mi olduğu konusunda soruları gündeme getiriyor.
Aktörün profili, Güney Slav etnik kökenine, özellikle de Bulgaristan’a işaret ediyor ve bu da kökenleriyle ilgili entrikayı artırıyor.
Security HUNTER (HUMINT) ekibi, Sony ihlali ve NTT DOCOMO ile ilgili olarak TOX (TOR IM) aracılığıyla Ransomed.vc ile iletişime geçti.
Grup, BTC cinsinden 10.000 dolardan başlayan nispeten düşük bir fiyata satmaya hazır oldukları 240 GB çalıntı Sony verisine sahip olduklarını iddia ediyor.
Temel motivasyonları kârdan ziyade kamuoyunda utandırmak gibi görünüyor; mağdurları ödemeleri ayarlamaya zorlamak için “baskı desteği” olarak bilinen bir taktik.
İlginçtir ki Ransomed.vc, kaynak kodlarında belirtildiği gibi @EOMLOL Telegram hesabına bağlantılara sahiptir.
Bu hesabın Blackforums’a referansı[.]Veri ihlallerine odaklanan başka bir yer altı forumu olan net, birbirine bağlı siber suç faaliyetlerinden oluşan bir ağ öneriyor.
Blackforum’lar[.]net’te ayrıca Ransomed.vc ile bağlantısı olan aktörlerin de yer alması, karmaşık bir siber tehdit ekosistemine işaret ediyor.
Ayrıca yakın zamanda yaşanan bir gelişme, daha önce büyük ölçekli siber olaylara karışmış gruplardan oluşan bir “Beş Aile” ittifakının oluşturulmasını içeriyordu.
STORMOUS, GhostSec, SigedSec, ThreatSec ve diğerlerini içeren bu ittifak, operasyonlarını ölçeklendirmek için işbirliği yapmaya ve yeni üyeler almaya odaklanarak hacktivizmden fidye yazılımı operasyonlarına doğru bir geçişe işaret ediyor.
Resecurity ekibi Ransomed.vc’in eylemlerini yakından takip ederken grup, ABD merkezli şirketleri, devlet kurumlarını ve Avrupa hedeflerini etkileyen yayınlanmamış veri ihlallerine sahip olduğunu iddia ediyor.
Devam eden bu tehdit, gelişen siber tehditlere karşı koruma sağlamak için proaktif gözetim ve tehdit istihbaratı toplamanın önemini vurgulamaktadır.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.