Bu haftanın başlarında KrebsOnSecurity, darknet web sitesinin kapkaç Fidye yazılımı grubu, kullanıcıları ve suç çetesinin iç operasyonları hakkındaki verileri sızdırıyordu. Bugün, kurucusu olduğu iddia edilen Snatch’in geçmişine ve herkesin onları aynı adı taşıyan farklı, daha eski bir fidye yazılımı grubuyla karıştırdığına dair iddialarına daha yakından bakacağız.
20 Eylül 2023 tarihli ortak tavsiyeye göre FBI ve ABD Siber Güvenlik ve Altyapı Güvenliği Yönetimin (CISA), Snatch’in orijinal adı Truniger Takımıgrubun kurucusu ve organizatörü Truniger’in takma adına dayanmaktadır.
FBI/CISA raporu, Truniger’in daha önce hizmet olarak fidye yazılımı sunan ve birkaç yıl sonra dükkanı kapatan ve kurbanlardan zorla 2 milyar dolardan fazla para aldığını iddia eden GandCrab’ın bağlı kuruluşu olarak faaliyet gösterdiğini söylüyor. GandCrab, Temmuz 2019’da dağıldı ve tüm zamanların en acımasız ve açgözlü Rus fidye yazılımı gruplarından biri olan “REvil” haline geldiği düşünülüyor.
Hükümet, Snatch’in yeniden başlatma için dikkate değer özelleştirilmiş bir fidye yazılımı çeşidi kullandığını söylüyor Microsoft Windows fidye yazılımının antivirüs veya uç nokta koruması tarafından tespit edilmesini engelleyerek cihazları Güvenli Mod’a geçirir ve ardından az sayıda hizmet çalışırken dosyaları şifreler.
FBI/CISA uyarısında, “Snatch tehdit aktörlerinin, verilerinin Snatch’in gasp blogunda yayınlanmasını önlemek için kurbanların fidye ödemesini sağlamak amacıyla daha fazla istismar etmek amacıyla diğer fidye yazılımı türlerinden daha önce çalınmış verileri satın aldıkları gözlemlendi” ifadesine yer veriliyor. Devam eder:
“Fidye yazılımını yaymadan önce, Snatch tehdit aktörlerinin kurbanın sisteminde üç aya kadar zaman harcadığı gözlemlendi. Bu zaman dilimi içinde, Snatch tehdit aktörleri, mümkün olan en büyük fidye yazılımı dağıtımı için kurbanın ağı boyunca RDP ile yanal olarak hareket ederek kurbanın ağını istismar etti ve veri sızıntısı ve ardından dosya şifreleme için dosya ve klasörleri aradı.
New York City merkezli siber istihbarat firması Alevlenme noktası Snatch fidye yazılımı grubunun 2018 yılında Truniger’in hem Rusça siber suç forumlarında hem de halka açık Rus programlama kurullarında işe alınmasına dayanarak oluşturulduğunu söyledi. Flashpoint, Truniger’in, o zamanlar ismi açıklanmayan yeni bir siber suç grubu için özel Jabber anlık mesajlaşma iletişim bilgilerini birden fazla Rusça kodlama forumunun yanı sıra Facebook’ta yayınlayarak “kalem testçileri” işe aldığını söyledi.
Truniger’in reklamları “Komut, Windows sistem yöneticilerini gerektirir” diye açıkladı. “Yedekleme, ayrıcalıkları artırma, mikicatz, ağ konularında deneyim. Jabber ile iletişime geçtikten sonra ayrıntılar: truniger@xmpp[.]jp.”
Forumdaki 2018’deki gibi işe alım reklamlarının en azından bazılarında sistem yöneticileri[.]ru – Truniger’in iletişim bilgilerini tanıtan kullanıcı adı şuydu: Semen7907. Nisan 2020’de Truniger, Rusya’nın en büyük siber suç forumlarından ikisine katılmaktan men edildi ve her iki forumun üyeleri de Semen7907’nin Truniger’in bilinen takma adlarından biri olduğunu doğruladı.
[SIDE NOTE: Truniger was banned because he purchased credentials to a company from a network access broker on the dark web, and although he promised to share a certain percentage of whatever ransom amount Truniger’s group extracted from the victim, Truniger paid the access broker just a few hundred dollars off of a six-figure ransom].
Buna göre Constella İstihbaratıVeri ihlali ve tehdit aktörleri araştırma platformu olan Semen7907 adlı bir kullanıcı, 2017 yılında Rusça programlama forumuna kaydoldu. rehinci[.]ru e-posta adresini kullanarak [email protected].
Aynı e-posta adresi artık kullanılmayan oyun web sitesindeki “Semen-7907” kullanıcısına da atandı tungle.net2020 yılında veri ihlaline uğrayan Semen-7907 internet adresinden Tunngle’a kayıtlıdır. 31.192.175[.]63Yekaterinburg, RU’da.
Constella, [email protected] adresinin çevrimiçi oyun takipçisine hesap açmak için de kullanıldığını bildirdi[.]yani takma adla Trojan7907.
Var Skype kullanıcı semen7907 tanıtıcısını kullanıyor ve adı Semyon Tretyakov Yekaterinburg, RU’dan. Constella ayrıca Rus mobil telefon sitesinde ihlal edilmiş bir kayıt buldu tele2[.]ru, Bu, Yekaterinburglu bir kullanıcının 2019 yılında bu isimle kaydolduğunu gösteriyor Semyon Sergeyviç Tretyakov ve e-posta adresi [email protected].
Yukarıdaki hesapların yanı sıra e-posta adresi [email protected], tümü daha önce belirtilen aynı Yekaterinburg İnternet adresinden kaydedilmiştir veya bu adresten erişilmiştir: 31.192.175.63. Bu tele2 ile ilişkili Rus cep telefonu numarası[.]ru hesabı Telegram hesabına bağlı “Perçatka”(Rusça’da “eldiven”).
KÖTÜ VURUŞLAR
Telegram aracılığıyla ulaşılan Perchatka (diğer adıyla Bay Tretyakov), kendisinin bir siber suçlu olmadığını ve şu anda büyük bir şirkette BT alanında tam zamanlı bir işte çalıştığını (hangisini belirtmeyi reddetti) söyledi.
Bu rapor için toplanan bilgilerin (ve burada yayınlanmayan daha fazlasının) sunulduğu Bay Tretyakov, Semen7907’nin sistem yöneticilerine ilişkin hesabı olduğunu kabul etti[.]ru, Truniger’in 2018’de Snatch Ransomware grubu için bilgisayar korsanlarını işe almak için kullandığı hesabın aynısı.
Ancak kendisi bu gönderileri asla kendisinin yapmadığını ve sistem yöneticilerinin kontrolünü başka birinin üstlenmiş olması gerektiğini iddia ediyor[.]ru hesabı ve onun adına gönderildi. Bay Tretyakov, KrebsOnSecurity’nin bu haftaki desteğinin sistem yöneticilerinin bilgi sahibi olduğunu ilk kez öğrendiğini söyledi.[.]ru hesabı onun izni olmadan kullanıldı.
Bay Tretyakov, bir Rus haber kaynağında, sistem yöneticilerinden kullanıcı veri tabanının hacklenmesi ve sızdırılmasıyla ilgili Ağustos 2023’te yayınlanan bir habere işaret ederek, birisinin kendisine komplo kurmuş olabileceğini öne sürdü[.]ru’nun CyberSec adlı Ukrayna yanlısı bir hacker grubunun elinde olduğu iddia ediliyor.
Tretyakov, “Son zamanlarda Ukrayna’daki savaş nedeniyle çok sayıda veri tabanı sızdırıldı ve bir kişi hakkında bilgi bulmak zor değil” dedi. “Bu giriş bilgisini yaklaşık 2013’ten beri kayıt olduğum tüm forumlarda kullanıyorum ve her zaman güçlü bir şifre belirlemiyorum. Yasadışı bir şey yapsaydım çok daha iyi saklanırdım :D.”
[For the record, KrebsOnSecurity does not generally find this to be the case, as the ongoing Breadcrumbs series will attest.]
Semyon Sergeyvich Tretyakov, internette yüksek riskli bir yaşam tarzı arayışını konu alan “Parallels” adlı Rusça rap şarkısının bestecisi olarak listeleniyor. Şarkıdan bir kesit şöyle:
“Birisi ekranda, biri kara listede
Zamanlayıcıyı açıp riskleri hesaplıyorum
Beş parasız kalmak ve para peşinde koşmak istemiyorum
Bu sıfırları alamıyorum Hayat bir zebra gibidir –
herkes ilk olmak ister ya çizgiler beyazdır,
ya da vahşi doğada ilerliyoruz, zaman kaybetmeyeceğim.
Bay Tretyakov, bu özel kafiyenin yazarı olmadığını ancak kendi ritimlerini kaydettiğinin bilindiğini söyledi.
“Bazen kötü vuruşlar yapıyorum” dedi. “Ses bulutu.”
ALAN ADINI UNUTMAYIN
Snatch Fidye Yazılımına ilişkin FBI/CISA uyarısı (PDF) ilginç bir uyarı içeriyor: Snatch’in aslında kurban sistemlerine fidye yazılımı dağıttığını söylüyor ancak aynı zamanda Snatch’in karanlık ve açık web alanlarının mevcut sakinlerinin kendilerine Snatch Ekibi adını verdiklerini ve bu şekilde çalıştıklarını iddia ettiklerini de kabul ediyor. 2018’deki Snatch Ransomware ile aynı kişiler değiller.
İşte FBI/CISA raporundan ilginç kısım:
“Kasım 2021’den bu yana, Snatch adı altında faaliyet gösteren bir gasp sitesi, Clearnet ve kurşun geçirmez bir barındırma hizmeti tarafından barındırılan TOR’daki kurban şirketlerden sızdırılan veya çalınan veriler için bir takas odası olarak hizmet veriyor. Ağustos 2023’te, blogla ilişkili olduğunu iddia eden kişiler, blogun Snatch fidye yazılımıyla ilişkili olmadığını ve sitede birden fazla doğrulanmış Snatch kurbanının verilerinin görünmesine rağmen “hedeflerimizden hiçbirinin Ransomware Snatch tarafından saldırıya uğramadığını” iddia eden bir medya röportajı verdi. Başta Nokoyawa ve Conti olmak üzere diğer fidye yazılımı gruplarıyla ilişkili kurbanların bulunduğu blog.
Hevesli okuyucular, bu hafta başında Snatch Team’in Yekaterinburg, RU merkezli sızdıran darknet web sitesi hakkında, iç operasyonlarını ve ziyaretçilerinin İnternet adreslerini ifşa eden bir hikayeyi hatırlayacaklardır. Sızan veriler, Snatch’in Google.com’da ücretli reklamlar kullanarak insanları popüler ücretsiz yazılım görünümünde görünen kötü amaçlı yazılım yüklemeleri için kandıran birkaç fidye yazılımı grubundan biri olduğunu gösteriyor. Microsoft Ekipleri, Adobe okuyucu, Mozilla ThunderbirdVe Anlaşmazlık.
Snatch Team, sistemleri rehin tutmak için fidye yazılımı kötü amaçlı yazılım dağıtmakla değil, yalnızca çalınan verilerle ilgilendiğini iddia ediyor.
Snatch Team temsilcileri geçtiğimiz günlerde gelen soruları yanıtladı. Databreaches.net FBI/CISA raporunda iddia edilen tutarsızlık hakkında.
“Öncelikle Snatch Ransomware ile hiçbir ilgimizin olmadığını, Güvenlik Bildirim Eki olduğumuzu ve sonuçlanan işlemlerin şartlarını hiçbir zaman ihlal etmediğimizi bir kez daha tekrarlıyoruz çünkü dürüstlüğümüz ve açıklığımız gelirimizin garantisidir.” Snatch Ekibi sorulara yanıt olarak Databreaches.net’e yazdı.
Ancak şu ana kadar Snatch Team açıklayamadı. neden Snatch fidye yazılımı grubunun kullandığı alan adlarının aynısını kullanıyor?
İddiaları daha da inanılmaz çünkü Snatch Team üyeleri Databreaches.net’e, sadece iki yıl önce kurulduğunda bu isimde bir fidye yazılımı grubunun zaten var olduğunu bile bilmediklerini söyledi.
Bunu kabul etmek zordur çünkü ayrı bir grup olsalar bile, Ransomware grubunun etki alanlarının açık ve karanlık ağlara aktarımını bir şekilde koordine etmeleri gerekir. Eğer yeni bir başlangıç veya ayrılık umuyorlarsa neden yeni bir isim ve yeni bir web hedefi seçmiyorlar?
“Yakalama takımı[.]cc aslında bir veri pazarıdır” diye devam ettiler. “Altını çizmemiz gereken tek şey, sızdırılan bilgilerin satılmasına karşı olduğumuz ve ücretsiz erişim fikrine sadık kaldığımızdır. Kesinlikle herhangi bir ekip bize gelebilir ve yayınlanmak üzere bilgi sunabilir. Dahası, bazı fidye yazılımı ekiplerinin, sızdırılmış bilgileri kaynağımızda yayınlayacakları yönünde müşterilerini korkuttuklarına dair söylentiler duyduk. Kendi fidye yazılımımız yok ancak tarihlerin yerleştirilmesi ve paraya dönüştürülmesi konusunda işbirliğine açığız (aynen böyle).”
Belki Snatch Team, Snatch Ransomware ile ilişkilendirilmek istemiyor çünkü şu anda veri çalmanın ve ardından kurban şirketlerden para karşılığında şantaj yapmanın, kurbanın tüm sunucularına ve yedeklerine fidye yazılımı bulaştırmaktan bir şekilde daha az kötü olduğuna inanıyorlar.
Ayrıca Snatch Team’in bazı kurucularının çevrimiçi ortamda izlerini ne kadar zayıf bir şekilde gizlediklerinin farkında olması ve bu cephede bir değişiklik yapmayı umut etmesi muhtemeldir.