Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Babuk Fidye Yazılımının Sızan Kaynak Kodunun İzlerini Kullanan Son Derece Yapılandırılmış Grup
Bay Mihir (MihirBagwe) •
28 Nisan 2023
RTM Locker hizmet olarak fidye yazılımı operatörleri artık dikkatlerini Linux’a, ağa bağlı depolama aygıtlarına ve ESXi ana bilgisayarlarına çevirdi.
Ayrıca bakınız: Kesin E-posta Siber Güvenlik Stratejisi Rehberi
Siber güvenlik firması Uptycs’teki araştırmacılar, grubun Babuk fidye yazılımının sızdırılmış kaynak kodunun izlerini gösteren yeni bir fidye yazılımı türü kullandığını söyledi.
Eset, suç örgütünün faaliyetlerinin ilk izlerini, 2015 yılında öncelikle kimlik avı ve arabadan indirme kampanyaları yoluyla bankacılık kötü amaçlı yazılımlarını dağıttığında tespit etti. Yıllar geçtikçe grup, güvenliği ihlal edilmiş ana bilgisayarlara bir fidye yazılımı yükü dağıtacak şekilde gelişti ve şimdi ilk kez ağa bağlı depolama ve ESXi ana bilgisayarlarına bulaşmak için bir Linux ikili programı tasarladı.
Linux Varyantı
Kuruluşlar, fiziksel sunuculara göre çeşitli avantajlar sunan sanal makine ESXi sunucularının ve NAS’ın benimsenmesinde bir artış gördü. Fidye yazılımı operatörleri ve RaaS sağlayıcıları bu trendi takip etti.
RTM Locker’ın Linux varyantının, artık feshedilmiş Babuk fidye yazılımının sızdırılmış kaynak kodundan esinlendiği bildiriliyor. Her ikisi de rasgele sayı oluşturmayı kullanır ve asimetrik şifreleme için Curve25519’da ECDH’yi ve simetrik şifreleme için ChaCha’yı uygulamıştır.
Ayrıca, her iki Linux sürümü de .log, .vmdk, .vmem, .vswp Ve .vmsn Dosya uzantıları.
Linux varyantı, özellikle ESXi ana bilgisayarlarını hedeflemek için kullanılır ve şifreleme işlemine başlamadan önce güvenliği ihlal edilmiş bir ana bilgisayarda çalışan tüm VM’leri sonlandırır. Uptycs araştırmacıları ilk erişim vektörünü belirleyemedi.
Şifrelenmiş dosyaların bir .RTM uzantı ve şifreleme işlemini başarıyla çalıştırdıktan sonra grup, diğer operatörler gibi, fidyeyi ödedikten sonra şifre çözme için kişi olarak bir Tox Kimliği içeren bir fidye notu bırakır.
Araştırmacılar, RTM grubu “özel anahtar olmadan şifre çözmeyi imkansız kılan” asimetrik ve simetrik şifrelemenin bir kombinasyonunu kullandığından, virüslü dosyalar için bir şifre çözücü tasarlamanın pek olası olmadığını söyledi.
RTM’nin Katı Kuralları Vardır
Aynı gruptan bir Windows fidye yazılımı varyantı, bu ayın başlarında Trellix tarafından ifşa edildi ve operatörleri, katı “kurallar ve istisnalar” altında bağlı kuruluş tabanlı bir model üzerinde çalışan özel RaaS sağlayıcıları olarak tanımladı. Trellix, grubun işleyişini, “grubun örgütsel olgunluğunu” gösteren “bağlı kuruluşların aktif kalmaları veya çeteye izinlerini bildirmeleri gereken” normal bir günlük iş işiyle karşılaştırdı.
RTM’nin kurallarından biri, eski Sovyetler Birliği içinde yer alan kuruluşları ve hastaneler, aşı ve ilaçla ilgili şirketler ve kolluk kuvvetleri gibi kritik altyapı kuruluşlarını hedeflemekten kaçınmaktır. Trellix, bu özelliklerin haber başlıkları şeklinde dikkat çekmemek için yapıldığını söyledi.
Devam eden herhangi bir müzakere sohbetini herkese açık olarak bağlamak da kesinlikle yasaktır ve bağlı kuruluşun yasaklanmasına yol açabilir. RTM Locker’ın kötü amaçlı yazılım yapıları, harici analizden kaçınmak için sıkı bir şekilde korunur. Trellix, “Örnekler, kurbanın cihazı şifrelendiğinde başlatılan bir kendi kendini silme mekanizması içeriyor” dedi. “Bu, operasyonlarının gizli doğasını daha da güçlendiriyor, [and] Örnekleri sızdıran bağlı kuruluşlar, dolaptaki bağlı kuruluş kimliğine bağlı olarak yasaklanma riski taşır.”
Kurallar, bağlı kuruluşların uygun gördükleri şekilde çalışmasına izin vererek potansiyel hedefleri tanımlamaya yardımcı olur. Araştırmacılar, çetenin birincil amacının siyasi bir saik yerine para kazanmak olduğunu söyledi.