Dolandırıcılık Yönetimi ve Siber Suç, Fidye Yazılımı
Yükseliş sağlığını bozduktan sonra, Black Basta FBI’dan Moskova, Moskova
Mathew J. Schwartz (Euroinfosec) •
28 Şubat 2025
Sızan fidye yazılımı grubu sohbetleriyle birlikte, Black Basta üyelerinin sağlık kurbanlarını biriktirme de dahil olmak üzere hedeflemelerinin etiğini tartıştıklarını görmeyi beklemiyordum.
Ayrıca bakınız: Uygun bir BYOD politikası için kapsamlı kılavuz
Tabii ki, suçlular arasında kendini yansıtma sadece şimdiye kadar gidiyor: Sızıntılar, hackleme hayatını öngören kimseye ya da çalınan paralarını yetimhanelere bağışladığını göstermiyor.
Hizmet olarak fidye yazılımı üyeleri esas olarak sağlık kurumlarını hedeflemenin optikleri ve Batı kolluk kuvvetlerinden bir yanıt veya hatta Rus yetkilileri tarafından bir baskıyı kışkırtmaktan endişe duyuyordu.
Black Basta’nın sızdırılan sohbet günlükleri, Rusya’nın konuşan suç operasyonunun potansiyel yansımalardan korktuklarını ve Missouri merkezli Katolik hastane zinciri Ascension Healthcare’e Mayıs 2024’te sistemlerini kriptole ettikten sonra “ücretsiz” bir şifreleme sağladığını gösteriyor.
Şunu söylemeye gerek yok: Suç gaspçılarının insan tarafına güvenmeyin. Bir sosyopat olmak bir fidye yazılımı grubuna katılmak için zorunlu olmayabilir, ancak zarar görmez. İyi bir illüstrasyon, kurban ödemeyi reddettikten sonra Lackawanna County merkezli Delta Medix Group’tan çalınan meme kanseri hastalarının fotoğraflarını sızdıran Blackcat, yani Alphv.
19 eyalette 140 hastane ve 40 üst düzey bakım tesisi ve Columbia Bölgesi’ni işleten Black Basta saldırısı, hastane zincirini birkaç hafta boyunca elektronik sağlık kayıtları da dahil olmak üzere birden fazla BT sistemini devre dışı bırakmaya yönlendirdi. Yaygın bozulma başladı.
“Tinker” tutamaçlı siyah bir Basta hacker, 9 Mayıs 2024’te Yükseliş ile müzakereler açtı, meslektaşlarına, 100 milyon dolar veya daha fazla olmasa da, on milyonlarca dolar için onu düşürmeyi beklediğini söyledikten sonra, Change Healthcare’in Blackcat’a 22 milyon dolarlık getirisine dayanarak (bkz: bkz: bkz: Sızan Siyah Basta Sohbet Günlükleri Fidye Yazılımının Banalitesini Gösteriyor).
Suçlular, palyatif bakıma aktarılmakta gecikmelerle karşılaşan ciddi hasta hastalar tarafından katlanan acı çeken acılar da dahil olmak üzere, Reddit’in hasta güvenliği ve bakımında ciddi riskler hakkında detaylandırılan doktorlar da dahil olmak üzere serpinti izleyerek haber sitelerini yakından izlediler.
Dahili sohbetlerde, hastane zincirini hacklediğini söyleyen grup üyesi “GG”, Saldırı hakkında kötü hissetti ve kanser hastalarının acı çektiğinden endişe ediyor gibi görünüyordu, “dedi Dijital Altyapı Şirketi Equinix’in tehdit analiz merkezinde, Perşembe günü bir blog yazısında tehdit avlama programı öncülük etti -” en azından ilk önce ciddi olup olmadıklarını söylemek zor. “
Saldırının yankılarının haberi yoğunlaştıkça, İngilizce haber hikayelerinin GG paylaşılan makine çevirilerini paylaştı ve kalp değişikliği gibi görünüyordu. “Biz katil değil, pentesteriz,” dedi meslektaşlarına. “Çocuklar veya kanser hastaları incinirse, onunla nasıl yaşayabilirim?”
Grubun üyeleri, Ascension’a ücretsiz bir şifreleme vermeyi tartışırken, grubun üç terabayt olduğu iddia ettiği 1.4 terabayt çalıntı verileri silme sözü için fidye talep etti.
Ayağını aşağı indiren GG, ofiste bir toplantı aradığını ve grubun değiştiğini söyledi. “Bir daha asla,” dedi. “Bana böyle bir şey verme,” görünüşe göre hastanelere saldırıyor.
Grup Seçme Olabilirdi. Black Basta, Nisan 2022’de Rus Grubu Conti’den döndükten sonra milyonlarca fidye ödemesi kazandı. Kasım 2023’e kadar, blockchain analitik firması Elliptik ve Corvus Insurance ortaklaşa “Bitcoin fidye ödemelerinde en az 107 milyon dolar” izledi.
Gruplar, Mayıs 2021’de İrlanda’nın devlet tarafından işletilen sağlık hizmetleri sağlayıcısı için Mayıs 2021’de yaptığı gibi, bir kurbana sözde ücretsiz bir şifre verdiğinde bile bir sorun, bunun sihirli bir değnek olmamasıdır. Sistemler zaten bozuldu ve fidye yazılımlarının vurduğu kuruluşlar iyileşme için uzun bir yolla karşı karşıya. Mükemmel yedeklemeler olsa bile, donanımın önce silinmesi gerekir; Ölçekte restorasyon zaman alır.
Yükseliş sağlığı için, Putin Pro Conti grubunun bir spinoffu olan Black Basta’nın kalbinin değişmesi, sadece onarılması aylar süren ciddi miktarda hasar verildikten sonra geldi. Hastane zinciri, yaklaşık 5.6 milyon mevcut ve eski hastaya ve çalışanlara saldırı ve sonuçta elde edilen verilerin ihlalinin potansiyel olarak hassas bilgilerini tehlikeye attığını bildirdi.
Savunmaya odaklanmaya devam et
Yükseliş Sağlık Saldırısı, güçlü bir savunmaya sahip olmanın, saldırganlar veri veya kripto-kilit sistemlerini çalmadan önce, onları açıkça engellemek ya da mümkün olduğunca çabuk durdurmak için fidye yazılımı saldırılarına karşı en iyi strateji olarak kaldığını hatırlatıyor.
Black Basta, 3 Kasım 2023 civarında 14 çalışan için erişim kimlik bilgileri aldıktan sonra Ascension’ın ağında yaklaşık altı ay geçirmiş gibi görünüyor. 8 Mayıs 2024’e kadar, 1.5 terabayt veri, saldırganlar kötü amaçlı sürüm 4.0 sürüm 4.0’ı, geçiş noktası moduna geçtikten sonra 12.000 uç noktaları bulaştı.
Kolluk kuvvetleri ve güvenlik uzmanları uzun zamandır kurbanları en azından cezai vaatler gibi somut olmayan bir şey için asla fidye ödemeye çağırdı. Bunu yapmak, saldırganları teşvik eder, özellikle de sağlık hizmeti gibi sektörlerde büyük bir meblağ ödemenin ardından daha fazla kurbana yol açar.
Black Basta sohbet günlüklerindeki parlak bir nokta, ABD’nin büyük bir sağlık hizmeti sağlayıcısını bozarak yaptıklarının büyüklüğünü fark eden bir grup görmek ve bunun aşıldığını düşünmektedir.
Bu, kısmen karşı-zahmetli yazılım operasyonlarının temposunu artıran ve Rusya merkezli fidye yazılım operatörlerini adlandırma ve şekillendirme ve kripto para dahil olmak üzere varlıklarını dondurmaya çalışma gibi taktikleri kucaklayan Batı kolluk kuvvetleri için teşekkür ederiz (bkz:: bkz:: Europol Detayları Lockbit Fidye Yazılım İştirakleri).
Black Basta, FBI Trickbot’un yayından kaldırılmasına işaret eden misilleme olasılığını tartıştı. Hastalar ölürse, terörist olarak markalı olmaktan endişe ediyorlardı ve bir yaptırım kara listesine eklediler. Sömürge boru hattı saldırısı ve 2021 ABD-Rusya zirvesine nasıl hakim olduğunu ve Rusya Cumhurbaşkanı Vladimir Putin’in Ukrayna’ya odaklanmasını istediği odağı rayından çıkardığını tartıştılar. Kısa bir süre sonra Moskova birden fazla fidye yazılımı uygulayıcısını tutukladı.
Black Basta üyesi “Nickolas”, Ascension’a ücretsiz bir şifreleme vermek ve verilerini silmekten daha ileri gitmenizi önerdi. Operasyona sızma ve bozulma girişimleri de dahil olmak üzere kolluk misillemesi bekleyerek, tüm altyapıyı derhal denetlemelerini ve “bağlantı yolları, sunucular” ve veri sızıntı sitesi dahil olmak üzere “mümkün olan her şeyi değiştirmelerini” önerdi.
“Uygulamanın gösterdiği gibi, yeniden markalama genellikle iyi çalışıyor” dedi.
En önemli şey var. Güvenlik uzmanları, Black Basta’nın yükselişten kısa bir süre sonra, kısmen operatörlerin tükenmişliğine bağlı olarak düşüşte olduğunu bildirse de, fidye yazılımı ekosistemi, Rusya’nın Rus sibercriminallerine ve asla yabancı suçlamalarla yüzleşmeme tarihi olan Rusya’nın yetersizliğine ve isteksizliğine yardım ettiği hiçbir zaman durma belirtisi göstermiyor.
Blockchain Analytics firması Chainalysis’e göre, 2024’te bilinen fidye yazılımı karları 2023’ten düştü, ancak yine de 655 milyon dolar oldu.
Bu karlar ve savunmasız kurbanlar üzerindeki etkisi hakkında gecikmiş etik tartışmalarla, timsah gözyaşları ucuza geliyor.