Dolandırıcılık Yönetimi ve Siber Suç, Fidye Yazılımı
Federal Hükümet, Şubat Ayında Başlatılan Fidye Yazılımı Grubunun 200’den Fazla Bilinen ABD Mağdurunu Sayıyor
Mathew J. Schwartz (euroinfosec) •
30 Ağustos 2024
Fidye yazılımı grupları isim olarak gelip geçebilir, ancak gerçek dünyadaki kimliklerini bilmesek bile oyuncuların çoğu aynı kalır.
Ayrıca bakınız: Sıfır Güven Ağı Erişiminin Gücünü Yaşam Döngüsü Yaklaşımıyla Nasıl Açığa Çıkarırsınız?
ABD federal kurumları, RansomHub adlı fidye yazılımı grubuyla bağlantılı saldırılardaki artışa karşı kuruluşları uyardı. Bu grup, çökmüş veya iflas etmiş operasyonlardaki iştirakler tarafından destekleniyor.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, FBI, Çok Eyaletli Bilgi Paylaşımı ve Analiz Merkezi -diğer adıyla MS-ISAC- ve Sağlık ve İnsan Hizmetleri Bakanlığı tarafından Perşembe günü yayınlanan ortak bir uyarıda, RansomHub’ın Şubat ayındaki çıkışından bu yana, operatörlerin kripto kilitleme kötü amaçlı yazılımları sağladığı ve iştiraklerinin de bunu kurbanları şifrelemek için kullanarak ödenen fidye bedelinin aslan payını kendilerine sakladığı fidye yazılımı hizmeti modelinin “etkili ve başarılı” bir uygulayıcısı haline geldiği belirtiliyor.
Eskiden Cyclops ve Knight olarak bilinen – veya en azından bu grupların koduna dayanan kötü amaçlı yazılım kullanan – RansomHub operasyonu, BlackCat, diğer adıyla Alphv, operasyonu ve LockBit’i terk eden iştirakçilerin akınına uğruyor. Güvenlik firması Symantec’in bu yılın başlarında ayrıntılı olarak açıkladığı gibi, bu ve diğer “siber yeraltında deneyim ve bağlantıları olan deneyimli operatörler” RansomHub’ın hızlı yükselişini körüklemeye yardımcı oldu.
RansomHub bilgisayar korsanları, kurbanın kripto kilitli sistemlerine “genellikle ilk fidye talebi veya ödeme talimatları içermeyen” bir fidye notu bırakır. Bunun yerine, kurbana bir “müşteri kimliği” ve benzersiz bir kimlik verir. .onion grupla daha fazla görüşmek için iletişime geçilecek adres. “Fidye notu, kurbanlara fidye ödemeleri için genellikle üç ila 90 gün arasında bir süre verir – iştirake bağlı olarak – fidye yazılımı grubu verilerini RansomHub Tor veri sızıntısı sitesinde yayınlamadan önce.”
Siber güvenlik firması Rapid7’nin baş bilimcisi Raj Samani, RansomHub’ın yükselişinin “kolluk kuvvetlerinin LockBit’i uzak tutmak için şifre çözme anahtarlarını kullanıma sunmasıyla aynı zamana denk geldiğini” söyledi. “Bu, bir suç örgütüyle uğraştığınızda, fidye yazılımı alanında kaçınılmaz olarak bir başkasının patlak vereceğini bir kez daha gösteriyor.”
Grubun bilinen kurbanları zaten yüzlerce. Ortak uyarıda, “RansomHub, sadece yedi ayda su ve atık su, BT, hükümet hizmetleri ve tesisleri, sağlık ve halk sağlığı, acil servisler, gıda ve tarım, finansal hizmetler, ticari tesisler, kritik üretim, ulaşım ve iletişim kritik altyapı sektörlerini temsil eden en az 210 kurbandan veri şifreledi ve sızdırdı” denildi.
Uyarıda, örgütlerin, grubun üyelerinin kurbanların sistemlerine ilk erişimi elde etmek için kullandıkları başlıca taktiklere karşı dikkatli olmaları konusunda uyarılıyor. Bunlar arasında kimlik avı e-postaları kullanmak, Big-IP, Citrix, FortiOS, Java, Confluence ve Microsoft teknolojisindeki bilinen güvenlik açıklarını (bazıları 2017’den kalma) istismar etmek ve “veri ihlalleri yoluyla ele geçirilen hesapları hedef alan” parola püskürtmek yer alıyor. Grup ayrıca ExploitDB ve GitHub gibi depolara gönderilen kavram kanıtı saldırı kodlarından elde edilen istismarlarla da ilişkilendirildi.
Uyarıda, FBI soruşturmalarından elde edilen ve gruba ilişkin tehlikeye işaret eden göstergeler yer alıyor. Bunlar arasında, bazıları 2020’ye kadar uzanan ve QakBot kötü amaçlı yazılımıyla tarihi bağlantıları olan saldırılarda görülen IP adresleri de yer alıyor.
Mağdurların Büyüyen Listesi
RansomHub’ın son dönemdeki kurbanları arasında Florida Sağlık Bakanlığı, eczane perakende devi Rite Aid, müzayede evi Christie’s, Florida merkezli uyuşturucu testi yapan tıbbi laboratuvar American Clinical Solutions ve grubun iddiasına göre Kaliforniya’daki Patelco Credit Union yer alıyor.
Son zamanlardaki bir diğer kurban ise petrol hizmetleri devi Halliburton olabilir. Halliburton, 21 Ağustos’ta “yetkisiz bir üçüncü tarafın belirli sistemlerine erişim sağladığının farkına vardı” dedi. Şirket, 22 Ağustos’ta düzenleyici bir dosyalama yaparak (bkz: Petrol Hizmetleri Devi Halliburton Hack Saldırısıyla Bozuldu).
Halliburton, “Şirketin yanıt çabaları, onları korumaya yardımcı olmak için belirli sistemleri proaktif olarak çevrimdışı bırakmayı ve kolluk kuvvetlerine haber vermeyi içeriyordu,” dedi. “Şirketin devam eden soruşturması ve yanıtı, sistemlerinin geri yüklenmesini ve önemlilik değerlendirmesini içeriyor.”
Halliburton saldırının fidye yazılımı içerip içermediğini doğrulamamış olsa da, Bleeping Computer şirketin tedarikçilere gönderdiği ve saldırıya bağlı IOC’leri içeren bir mektubun kopyasını elde ettiğini bildirdi. Bunlardan birinin “Windows yürütülebilir dosyası”na atıfta bulunduğunu söyledi maintenance.exeBleepingComputer’ın RansomHub fidye yazılımı şifreleyicisi olduğunu doğruladığı.”
İşyerindeki Ortaklar
Uzmanlar, kâr odaklı iştiraklerin BlackCat ve LockBit’ten RansomHub’a geçmesinin olağandışı olmadığını, bunun en önemli nedeninin de yetkililerin her iki gruba da daha fazla ilgi göstermesi olduğunu söylüyor.
Kolluk kuvvetleri geçen Aralık ayında BlackCat’i sekteye uğrattı, ardından toparlandı ve ardından çıkış dolandırıcılığı yaptı, görünüşe göre Notchy’nin Optum iş biriminin Change Healthcare organizasyonunu hacklemesinin ardından UnitedHealth Group tarafından ödenen 22 milyon dolarlık fidye payını bağlı kuruluşu “Notchy” ile paylaşmaktan kaçınmak için. Daha sonra Notchy, çalınan verileri RansomHub’a götürdü, bu da UHG’ye kendi soygununu başlattı ve ödenmediği takdirde çalınan verileri sızdırmakla tehdit etti. Şirketin ikinci bir fidye ödeyip ödemediği belli değil.
Kolluk kuvvetleri Şubat ayında LockBit’i bozdu, ardından tekrar toparlandı. Ancak yetkililer, bağlı kuruluşlarını küçümsemek ve ABD savcılarının Rusya’nın Voronezh kentinde bulunan Dmitry Yuryevich Khoroshev olduğunu söylediği grubun lideri “LockBitSupp”u isimlendirip utandırmak gibi kendi taktiklerini kullanarak grubu hedef almaya devam etti.
LockBit tökezlemeye devam ederken, güvenlik uzmanları şirketin Khoroshev ile bu kadar yakın bağları olması nedeniyle aksadığını ve kötü tanıtım ve sürekli olarak daha fazla kolluk kuvveti eylemi tehdidi nedeniyle giderek son demlerini yaşadığını söylüyor.
Birçok fidye yazılımı saldırısının arkasında iştirakler olsa da, odak noktası genellikle fidye yazılımı gruplarının kendisidir. Bu, iştiraklerin spot ışıklarından uzak durmasını ve fidye yazılımı markasının sokak itibarını artırmasını sağlayan kendini güçlendiren bir modeldir – ve ne kadar büyük ve kötü olursa, korkmuş kurbanların ödeme yapma olasılığı da o kadar artar (bkz: Tersine Dönmüş, Altüst Olmuş Fidye Yazılımı Dünyası).
Gruplar reddettiğinde, iştirakler -aslında, sadece bağımsız yükleniciler- başka biriyle ittifak kurar. İştirakler ayrıca birden fazla grupla aynı anda çalışabilir, kripto-kilitleme kötü amaçlı yazılımı olan veya hastaneler gibi belirli bir kurban türünü dolandırma geçmişi olan bir grup seçebilir.
Hangi fidye yazılımı grupları en başarılıdır? Bu, birçok kurbanın ne zaman saldırıya uğradıklarını, fidye ödeyip ödemediklerini veya ne kadar ödediklerini asla açıklamaması nedeniyle açık bir soru olarak kalmaya devam ediyor. Gruplar veri sızıntısı blogları yürütürken, ödeme yapanların tam bir muhasebesini yapmak yerine yalnızca ödeme yapmayanların bir alt kümesini listelerler (bkz: Fidye Yazılımı Gruplarının Veri Sızıntısı Blogları Yalan Söylüyor: Onlara Güvenmeyi Bırakın).