Yeni bir tehdit aktörü, Sony’den çalındığı iddia edilen dosyaları Dark Web’de sunuyor ancak grubun eğlence devinin verilerini nasıl elde ettiği ve bunların gerçekte ne kadar değerli olduğu konusunda tartışmalar sürüyor.
Şu anda bir aydan biraz daha eski olan “Ransomed” veya “RansomedVC” adlı bir operasyon, Pazartesi günü Dark Web sızıntı sitesine “güvenlik ihlali” yaptığını iddia eden bir bildirim yayınladı. [sic] hepsi sony [sic] Grup, Sony’nin ödemeyi reddetmesinin ardından verileri topluluğa sattığını söylüyor.
Ama bir X’te (eski adıyla Twitter) “inekler” için 25 Eylül’de paylaşılan gönderivx-underground, grubun “fidye yazılımı dağıtmadığını, hiçbir kurumsal verinin çalınmadığını ve hizmetlerin etkilenmediğini” açıkladı. Görünüşe göre yaptığı şey, Jenkins, SVN, SonarQube ve Creator Cloud Development dahil olmak üzere şirket tarafından kullanılan çeşitli geliştirici araçlarından ve diğer bazı kritik olmayan kimlik bilgileri ve dosyalardan veri toplamaktı.
Yayınlandığı an itibarıyla Sony, Dark Reading’in yorum talebine yanıt vermemişti. Bir Sony temsilcisi SecurityWeek’e durumu araştırdığını söyledi.
Gerçekte ne oldu
Görünüşe göre Ransomed, başarısını kanıtlamak için tüm sızıntıya ilişkin bir dosya ağacı ekledi Dark Web listesinde. Ancak toplamda 6.000’den az dosya içeriyor; neredeyse “Sony’nin tamamı”.
Çevrimiçi mesaj panolarında bilgisayar korsanları ve ilgili taraflar bu tutarsızlıkla dalga geçti. Ve bir siber suç forumu gönderisinde “Binbaşı Nelson” isimli bir kullanıcı bir adım daha ileri gitti: tüm verileri yayınlamak Ransomed’in çaldığını iddia ediyorlar. (Bu taraflardan herhangi birinin bu verileri nasıl elde ettiği belli değil.) Bu altyapı dosyalarının yanı sıra lisanslar oluşturmak için bir cihaz emülatörü, olay müdahale politikaları, “dahili sistemler için birçok kimlik bilgisi” ve daha fazlasını içeriyordu.
Binbaşı Nelson her şeyin ciddiyetini küçümsemiş görünüyordu. “Siz gazeteciler fidye yazılımı ekibinin yalan söylediğine inanıyorsunuz. Çok safsınız, utanmalısınız. RansomedVC’ler yalnızca sizi dolandırmaya ve etki peşinde koşmaya çalışan dolandırıcılardır. Sızıntının tadını çıkarın” diye yazdılar.
Grubun ilk paylaşımından bu yana mesajlarını değiştirdiği görülüyor. SOCRadar tarafından ele geçirilen daha yeni bir forum gönderisinde, bir Ransomed üyesi, “Sony altyapısına erişim” sattığını iddia etti.
Bu, genç tehdit aktörünün başarılarını abarttığı ilk sefer değil.
Kimler Fidye Alır?
Ransomed.vc, 15 Ağustos’ta yeni bir hacker forumu olarak başlatıldı. Ancak hemen ertesi gün bir DDoS saldırısının kurbanı oldu. Bundan sonra yöneticileri, siteyi fidye yazılımı operasyonu için bir sızıntı sitesi olarak yeniden adlandırdı.
Black Kite araştırma sorumlusu Ferhat Dikbıyık, grubu online kanallardan takip ediyor. “Bu grupla ilgili şu ki, şu ana kadar kaç tane… 41 kurban kaydettik? Ve belki bunların yarısı Bulgaristan’dan. Yani gerçekten küçük ülkelerdeki küçük işletmelere odaklanıyorlar” diyor.
Bunu, Sony ve Transunion hakkındaki “çalışanlarının her şeyini” çaldığını iddia eden büyük iddialarıyla karşılaştırın. [sic] sistemlerine hiç indirilmedi veya kullanılmadı.”
Dikbıyık bunun amatör bir kıyafet olduğunu açıklıyor. “Sanırım iki hafta önce bir şirketi hacklediler ve web sitelerini değiştirdiler. Web sitesi tahrifatı çok eski usul bir senaryodur – daha alıntı-alıntısız ‘profesyonel’ özgeçmiş grupları bunu yapmaz – çünkü ifşa etmek istemezler kurban olur ve gücünü kaybeder.”
Dikbıyık sözlerini şöyle tamamladı: “Sadece itibar kazanmak istiyorlar.”