ABD hükümeti, RansomHub fidye yazılımı grubuyla bağlantılı tehdit aktörlerinin, Şubat 2024’teki kuruluşundan bu yana en az 210 kurbana ait verileri şifreleyip sızdırdığını söyledi.
Mağdurlar arasında su ve atık su, bilgi teknolojisi, kamu hizmetleri ve tesisleri, sağlık ve halk sağlığı, acil servisler, gıda ve tarım, finansal hizmetler, ticari tesisler, kritik üretim, ulaştırma ve iletişimin kritik altyapısı gibi çeşitli sektörler yer alıyor.
Hükümet kurumları, “RansomHub, daha önce Cyclops ve Knight olarak bilinen, etkili ve başarılı bir hizmet modeli olarak kendini kanıtlamış bir fidye yazılımı hizmet türüdür (son zamanlarda LockBit ve ALPHV gibi diğer önemli türlerden yüksek profilli iştirakler çekmiştir),” dedi.
Cyclops ve Knight’ın soyundan gelen bir fidye yazılımı hizmeti (RaaS) çeşidi olan e-suç operasyonu, son dönemdeki kolluk kuvvetleri eylemleri dalgasının ardından LockBit ve ALPHV (diğer adıyla BlackCat) gibi diğer önemli çeşitlerden de yüksek profilli iştirakçilerin ilgisini çekti.
ZeroFox, geçen ayın sonlarında yayınladığı bir analizde, siber güvenlik sağlayıcısı tarafından gözlemlenen tüm fidye yazılımı faaliyetlerinin RansomHub’a oranının artış eğiliminde olduğunu, 2024’ün ilk çeyreğinde tüm saldırıların yaklaşık %2’sini, ikinci çeyrekte %5,1’ini ve üçüncü çeyrekte şu ana kadar %14,2’sini oluşturduğunu belirtti.
Şirket, “RansomHub saldırılarının yaklaşık %34’ü Avrupa’daki kuruluşları hedef alırken, tehdit alanındaki diğer kuruluşlarda bu oran %25’tir” ifadelerini kullandı.
Grubun, kurbanları operatörlerle benzersiz bir .onion URL’si aracılığıyla iletişime geçmeye teşvik etmek için verileri sızdırmak ve sistemleri şifrelemek için çift gasp modelini kullandığı bilinmektedir. Fidye talebine boyun eğmeyi reddeden hedeflenen şirketlerin bilgileri, üç ila 90 gün arasında herhangi bir yerde veri sızıntısı sitesinde yayınlanır.
Mağdur ortamlara ilk erişim, Apache ActiveMQ (CVE-2023-46604), Atlassian Confluence Data Center and Server (CVE-2023-22515), Citrix ADC (CVE-2023-3519), F5 BIG-IP (CVE-2023-46747), Fortinet FortiOS (CVE-2023-27997) ve Fortinet FortiClientEMS (CVE-2023-48788) aygıtlarındaki bilinen güvenlik açıklarından yararlanılarak kolaylaştırılmaktadır.
Bu adım, AngryIPScanner, Nmap ve diğer living-off-the-land (LotL) yöntemleri gibi programları kullanarak keşif ve ağ taraması yapan bağlı kuruluşlar tarafından takip edilir. RansomHub saldırıları ayrıca radar altında uçmak için özel araçlar kullanarak antivirüs yazılımını etkisiz hale getirmeyi içerir.
“İlk erişimin ardından RansomHub iştirakleri kalıcılık için kullanıcı hesapları oluşturdu, devre dışı bırakılan hesapları yeniden etkinleştirdi ve kimlik bilgilerini toplamak için Windows sistemlerinde Mimikatz’ı kullandı [T1003] ABD hükümetinin duyurusunda, “ve ayrıcalıkları SİSTEM’e yükseltin” ifadeleri yer alıyor.
“Daha sonra bağlı kuruluşlar, Uzak Masaüstü Protokolü (RDP), PsExec, AnyDesk, Connectwise, N-Able, Cobalt Strike, Metasploit veya yaygın olarak kullanılan diğer komuta ve kontrol (C2) yöntemleri dahil olmak üzere yöntemlerle ağ içinde yatay olarak hareket ettiler.”
RansomHub saldırılarının dikkat çeken bir diğer yönü ise süreci hızlandırmak için aralıklı şifreleme kullanılması ve veri sızdırma işlemlerinin PuTTY, Amazon AWS S3 kovaları, HTTP POST istekleri, WinSCP, Rclone, Cobalt Strike, Metasploit ve diğer yöntemler gibi araçlar kullanılarak gerçekleştirilebilmesidir.
Bu gelişme, Palo Alto Networks Unit 42’nin Bling Libra olarak takip ettiği ShinyHunters fidye yazılımıyla ilişkili taktikleri açığa çıkarmasıyla birlikte geldi ve çalınan verileri satma veya yayınlama gibi geleneksel taktiklerinin aksine kurbanları gasp etmeye yöneldiğini vurguladı. Tehdit aktörü ilk olarak 2020’de ortaya çıktı.
Güvenlik araştırmacıları Margaret Zimmermann ve Chandni Vaya, “Grup, bir kuruluşun Amazon Web Services (AWS) ortamına ilk erişimi elde etmek için kamuya açık veri havuzlarından alınan meşru kimlik bilgilerini ele geçiriyor” dedi.
“Tehdit altındaki kimlik bilgileriyle ilişkili izinler ihlalin etkisini sınırlasa da, Bling Libra kuruluşun AWS ortamına sızdı ve keşif operasyonları yürüttü. Tehdit aktörü grubu, S3 kova yapılandırmaları hakkında bilgi toplamak, S3 nesnelerine erişmek ve verileri silmek için Amazon Simple Storage Service (S3) Browser ve WinSCP gibi araçları kullandı.”
SOCRadar’a göre, bu durum fidye yazılımı saldırılarında da önemli bir evrimin izlerini taşıyor; bu saldırılar dosya şifrelemenin ötesine geçerek karmaşık, çok yönlü gasp stratejileri kullanıyor, hatta üçlü ve dörtlü gasp şemaları bile kullanıyor.
Şirket, “Üçlü gasp, şifreleme ve sızdırmanın ötesinde ek kesinti yöntemleri tehdidini artırıyor” dedi.
“Bu, kurbanın sistemlerine karşı bir DDoS saldırısı düzenlemeyi veya kurbanın müşterilerine, tedarikçilerine veya diğer ortaklarına doğrudan tehditler yönelterek, gasp planında hedef alınan kişilere operasyonel ve itibar açısından daha fazla zarar vermeyi içerebilir.”
Dörtlü gasp, mağdurlarla iş ilişkisi olan üçüncü taraflarla iletişime geçip onlardan gasp ederek veya mağdurları üçüncü taraflara ait verileri ifşa etmekle tehdit ederek mağdur üzerinde daha fazla baskı oluşturarak riski artırır.
RaaS modellerinin kazançlı doğası, Allarich, Cronus, CyberVolk, Datablack, DeathGrip, Hawk Eye ve Insom gibi yeni fidye yazılımı varyantlarında bir artışa yol açtı. Ayrıca İran ulus devlet aktörlerinin yasadışı gelirlerden bir pay karşılığında NoEscape, RansomHouse ve BlackCat gibi bilinen gruplarla işbirliği yapmasına yol açtı.