Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Fidye Yazılımı
Araştırmacı Jon DiMaggio, Grubun Sahte Veri Çaldığını ve Ragnar Locker ile Bağlantısı Olduğunu Söyledi
Mathew J. Schwartz (euroinfosec) •
30 Ocak 2024
Fidye yazılımı grupları haklı olarak ahlaki ve etik açıdan iflas etmiş bir üne sahip olsa da birçoğu kurbanlarıyla doğrudan oyun oynuyor. Ancak RansomedVC dikkate değer bir istisnadır. Araştırmacı Jon DiMaggio’ya göre yalan söyleme konusundaki uzmanlığı nedeniyle bazı açılardan “daha tehlikeli”.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
RansomedVC’li LockBit veya Clop gibi daha büyük gruplardan farklı olarak, “neyle karşı karşıya olduğunuzu, neyle karşı karşıya olduğunuzu veya onlara güvenip güvenemeyeceğinizi bilmiyorsunuz çünkü onlar sıklıkla yalan söylüyorlar ve öyle Tehdit istihbaratı platformu satıcısı Analyst1’in baş güvenlik stratejisti DiMaggio, bu konuda iyi” dedi. “Sıklıkla saldırı düzenlediklerini ve gerçekte sahip olmadıkları kurban verilerine sahip olduklarını iddia etmek için manipülasyon ve medya taktiklerini kullanma konusunda uzmandırlar.”
DiMaggio’nun yeni bir raporda ayrıntılı olarak açıkladığı gibi, bu yalanlar düzenli olarak kriptoyla kilitlenmiş kurbanların verilerine sahip olduklarını iddia etmeyi de içeriyor, ancak görünüşe bakılırsa bu yalanlara sahip değiller. State Farm Insurance’ı ilgilendiren bir davada RansomedVC, müşterilerin kişisel kimlik bilgilerini çaldığını iddia etti; birden fazla medya kuruluşu bunu usulüne uygun olarak bildirdi ancak bunun tamamen uydurma olduğu ortaya çıktı. Japon iletişim firması NTT Docomo’nun dahil olduğu başka bir vakada, fidye yazılımı grubunun, kurbanı şantaj yapmak için tamamen uydurma bir çalıntı veri seti oluşturduğu görülüyor.
DiMaggio, bu tür davranışların, yeni gelen bir fidye yazılımından kaynaklanması durumunda radikal veya çılgınca görünebileceğini söyledi. Ancak hem grup hem de bağlı kuruluşlarla yaptığı görüşmelere dayanarak, “RansomedSupport” adını kullanan ve şu anda “RaznatovicAdmin” adını kullandığı anlaşılan RansomedVC liderinin, daha önce çalışmış 40 yaşlarında bir Bulgar gibi göründüğünü söyledi. Geçen Ekim ayında dağıtılan Rusça konuşan Ragnar Locker grubuyla. O tarihten bu yana yöneticinin, ölen bir Sırp gangstere ve şüpheli savaş suçu zanlısına atıfta bulunarak, RansomedVC’yi “Raznatoviç” ile aynı altyapıyı kullanarak yeniden başlattığı görülüyor.
Bilgi Güvenliği Medya Grubu ile yapılan bu video röportajında DiMaggio ayrıca şunları da tartıştı:
- RansomedVC operasyonunun işleyişi ve alışılmışın dışındaki yaklaşımlarının ardındaki düşünce;
- Fidye yazılımı oyuncularını doğrudan güvenlik araştırmacılarıyla konuşmaya iten şey;
- RansomedVC veya onun türevlerinden etkilenen kuruluşlar için çıkarımlar.
DiMaggio’nun gelişmiş siber tehditleri avlama, araştırma ve belgeleme konusunda 15 yılı aşkın deneyimi vardır. Kurumsal fidye yazılımı saldırıları ve ulus devlet saldırıları konusunda uzman olarak, büyük fidye yazılımı saldırılarının ardındaki suç kartellerini açığa çıkardı, ulus devlet saldırılarına ilişkin federal iddianamelerde kolluk kuvvetlerine yardımcı oldu ve çalışmalarını RSA ve Black Hat gibi konferanslarda paylaştı. 2022 yılında, yılın siber güvenlik kitabı dalında SANS Fark Yaratanlar Ödülü’nü alan “Siber Savaş Sanatı: Casusluk, Fidye Yazılımı ve Organize Siber Suçlar için Bir Araştırmacının Kılavuzu” kitabını yazdı.