Dalış Kılavuzu:
- Araştırmacılar, meşhur siyah Basta fidye yazılımı çetesinden sızdırılmış sohbet günlüklerini analiz ettiler ve 53’ünün vahşi doğada kullanıldığı bilinen 62 benzersiz CVE’ye referans buldular.
Black Basta, Vulncheck’in bulgularına göre, Microsoft ürünlerini, Citrix NetScaler ve Atlassian Confluence’ı içeren “yaygın olarak benimsenen kurumsal teknolojiler” deki güvenlik açıklarını ve Fortinet, Cisco, F5 Networks ve Palo Alto Networks’ten ağ kenar cihazlarındaki kusurları da destekledi.
Vulncheck’in araştırması, birçok durumda siyah Basta üyelerinin, yaygın olarak kullanılan uygulamalarda ve cihazlarda kritik kusurlar için hızlı yama ve hafifletmenin önemini vurgulayan güvenlik danışmanlarının yayınlanmasından sonraki günler içinde CVV’leri tartışmaya başladığını ortaya koydu.
Dalış içgörü:
Siyah Basta sohbet günlükleri, son yıllarda en kötü şöhretli fidye yazılımı çetelerinden birinin iç işleyişine bir pencere sunar. Bu hafta yayınlanan bir blog yazısında, Vulncheck güvenlik araştırmacısı Patrick Garrity, çetenin bilinen güvenlik açıklarını halka açık istismarlarla hedeflemek için açık bir tercih olduğunu söyledi.
Garrity, “Yeni güvenlik açıkları keşfetme konusunda tartışmalar olmasına rağmen, Black Basta’nın genellikle bilinen zayıflıklara öncelik verdiği, genellikle mevcut araçlardan ve kavram kanıtı istismarlarından yararlandığı ortaya çıktı.”
Microsoft, sohbet günlüklerinde atıfta bulunulan en güvenlik açıklarına sahipti. Proxynotshell güvenlik açıkları Exchange sunucusunda ve CVE-2020-1472Zerologon olarak bilinen bir Windows ayrıcalık artış hatası. Sohbet günlüklerinde en çok referansla olan güvenlik açığı CVE-2024-3400Palo Alto Networks’ün Pan-Os’ında sıfır gün güvenlik açığı Ağır sömürü altına girdi geçen bahar.
Black Basta tarafından tartışılan diğer önemli güvenlik açıkları CVE-2023-4966Citrixbleed olarak bilinen kritik bir Citrix NetScaler ADC ve NetScaler Gateway Güvenlik Açığı; CVE-2024-21762Fortinet’in Fortios yazılımında bir yıl önce saldırıya uğrayan sıfır gün güvenlik açığı; Ve CVE-2024-1708 Ve CVE-2024-1709ConnectWise Screenconnect’te, geçen yıl Black Basta da dahil olmak üzere fidye yazılımı çeteleri tarafından yaygın olarak sömürülen iki kritik güvenlik açığı.
Garrity, sohbet günlükleri referanslarının mutlaka siyah Basta aktörlerinin CVES’i saldırılarda kullandıkları anlamına gelmediğini belirtti.
Sohbet günlükleri ayrıca Black Basta’nın siber saldırı stratejilerine ışık tuttu. “Grup, yüksek gelirli şirketlere çok sayıda rastgele hedefe öncelik verme eğilimindedir.” “Tartışmalar, daha az yüksek profilli hedeflerin kitlesel hedefleyen düşük değerli varlıklardan daha fazla gelir sağladığını gösteriyor.”
Garrity ayrıca fidye yazılımı çetesinin yasal, finansal, sağlık ve sanayi sektörlerindeki kuruluşlara fidye ödeme olasılığının daha yüksek olduğuna inandığını söyledi. Ayrıca, bazı durumlarda Black Basta’nın rakiplere veya yabancı kuruluşlara çalınan veri satmayı tartıştığını belirtti.