Bu yılın başlarında “ortaya çıkan” bir fidye yazılımı hizmeti (RaaS) kuruluşu olan RansomHub, bildiğimiz kadarıyla en az 210 kurban topladı.
Bağlı kuruluşları hükümet hizmetleri, BT ve iletişim şirketleri, sağlık kuruluşları, finans kuruluşları, acil servisler, üretim ve ulaştırma kuruluşları ve ticari tesisleri vurdu.
FBI, CISA, Sağlık ve İnsan Hizmetleri Bakanlığı ve Çok Eyaletli Bilgi Paylaşımı ve Analiz Merkezi tarafından derlenen bir danışma raporuna göre, bu örgütlerin taktikleri ve teknikleri, kurbanları kadar çeşitli.
RansomHub’ın iştirakleri tarafından kullanılan taktikler, teknikler ve araçlar
İlk erişim, kimlik avı e-postaları, parola püskürtme ve internete bağlı sistemlerdeki bilinen güvenlik açıklarının (Citrix NetScaler, Fortigate, Atlassian Confluence, vb.) istismar edilmesi yoluyla elde edilir.
Bağlı kuruluşlar şunlardır:
- Keşif için çeşitli ağ tarama araçlarının kullanılması
- Zararsız görünmesi için yeniden adlandırılan fidye yazılımı yürütülebilir dosyalarının dağıtımı
- Günlükleri silme ve AV ve EDR ürünlerini devre dışı bırakma
- Kullanıcı hesaplarının oluşturulması veya yeniden etkinleştirilmesi, kimlik bilgilerinin toplanması için Mimikatz’ın kullanılması
- RDP, PsExec, Cobalt Strike ve bir dizi meşru uzaktan erişim aracından (AnyDesk, Connectwise) yararlanarak yatay olarak hareket etme
- PuTTY, Amazon AWS S3 kovaları/araçları, HTTP POST istekleri, WinSCP, Rclone, Cobalt Strike, Metasploit ve diğer yöntemler aracılığıyla veri sızdırma
“Fidye yazılımı yürütülebilir dosyası genellikle yürütülebilir dosyaları şifrelemez. Dosya adlarına rastgele bir dosya uzantısı eklenir ve genellikle How To Restore Your Files.txt başlıklı bir fidye notu tehlikeye atılan sistemde bırakılır,” diyor tavsiye.
“Not, mağdurlara bir istemci kimliği sağlıyor ve onlara fidye yazılımı grubuyla benzersiz bir e-posta adresi aracılığıyla iletişime geçmeleri talimatını veriyor. .soğan URL (Tor tarayıcısı üzerinden erişilebilir). Fidye notu, kurbanlara fidye yazılımı grubunun verilerini RansomHub Tor veri sızıntısı sitesinde yayınlamasından önce fidyeyi ödemeleri için genellikle üç ila 90 gün arasında bir süre verir (bağlı kuruluşa bağlı olarak).
RansomHub’ın başarısı yetenekli iştirakçilere bağlıdır
RansomHub iştiraklerinin kullandığı taktik ve tekniklerin çeşitliliği, savunmacıların CISA’nın tavsiyelerinde ana hatlarıyla belirtilen çok çeşitli hafifletme yöntemlerini kullanması gerektiği anlamına geliyor.
Kurumlar, “RansomHub, daha önce Cyclops ve Knight olarak bilinen, etkili ve başarılı bir hizmet modeli olarak kendini kanıtlamış bir fidye yazılımı hizmet türüdür” ifadelerini kullandı.
RansomHub operasyonunun başarısı, kolluk kuvvetlerinin gerçekleştirdiği kapatmalar, başarısız geri dönüşler ve bir çıkış dolandırıcılığı sonrasında LockBit ve ALPHV/BlackCat’in yetenekli eski iştiraklerini kendine çekebilme becerisinden kaynaklanmaktadır.
RansomHub operatörleri, potansiyel iştirakçileri, yalnızca kendilerine bağlı olmak zorunda kalmayacakları ve fidye ödemeleri toplamalarına izin vererek (ve yalnızca daha sonra “hizmet ücretini” ödeyerek) operasyonlarına katılmaya ikna ettiler.