Dolandırıcılık Yönetimi ve Siber Suç, Fidye Yazılımı
1.000 kuruluşa karşı Phobos fidye yazılımı saldırılarıyla suçlanan gözaltına alınan Ruslar
Mathew J. Schwartz (Euroinfosec) •
11 Şubat 2025
Tayland polisi, yetkililerin çoğunlukla küçük-orta ölçekli kuruluşlara karşı üretken saldırılarla fidye ödemelerinde 16 milyon dolarlık fidye ödemelerini zorladığını söylediği 8base fidye yazılım kullanan çetenin dört şüpheli üyesini tutukladı.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Dört adam, koordineli, uluslararası kolluk operasyonunun PHOBOS AETOR Operasyonu’nun bir parçası olarak Tayland’ın güney ucunda tanınmış bir tatil yeri olan Phuket adasında gözaltına alındı.
AB’nin kolluk istihbarat ajansı Europol, “Bu bireylerin, tüm Rus vatandaşları, Avrupa ve ötesindeki kurbanlardan yüksek değerli ödemeleri zorlamak için bir Phobos fidye yazılımının bir çeşidi kullandığından şüpheleniliyor.” Dedi.
Ajans, 14 ülkeden yetkilileri içeren operasyonun bir parçası olarak 8Base operasyonuna bağlı 27 sunucunun da kaldırıldığını söyledi.
Tayland medya raporlarına göre, 27 ila 29 yaş arası dört erkek şüpheli Interpol varantlarına dayanarak tutuklandı ve polis tarafından adlandırılmadı. Tayland polisi, dizüstü bilgisayarlar, cep telefonları ve dijital cüzdanlar da dahil olmak üzere 40’tan fazla kanıt ele geçirdiklerini söyledi.
Şüpheliler, Nisan 2023’ten Ekim 2024’e kadar 17 İsviçre organizasyonuna, ağlarında Phobos fidye yazılımı açığa çıkarmanın, zorla şifreleme ve bir şifreleme anahtarı için fidye talep etmek ve çalınan fidye talep etmek de dahil olmak üzere 17 İsviçre organizasyonuna saldırmakla suçlanıyorlar. Verilerin, Taylandlı polisin.
Şüphelilerin, mağdurlar tarafından ödenen kripto para birimi fidye ile bağlantılı kara para aklama iddiaları da dahil olmak üzere hem İsviçre hem de Amerika Birleşik Devletleri’nde suçlamalarla karşılaştığı bildiriliyor. Hem İsviçre ve ABD’nin iadelerini arayabilecekleri henüz açık değil.
8base’nin sızıntı sitesi ele geçirildi
Şüpheliler, Rus fidye yazılım grubu 8base üyesi olmak ve dünya çapında 1.000’den fazla kuruluşu hedefleyen saldırılarda Phobos fidye yazılımlarını kullanmakla suçlanıyor ve tahmini hasarlar 16 milyon doları aşıyor.
Görünüşe göre Alman yetkilileri tarafından kapatıldı, anonimleştirme TOR ağında barındırılan 8Base fidye yazılımı için veri sızıntı sitesi Pazartesi günü bir nöbet bildirimi çözmeye başladı.
Nöbet bildirimi, “Bu gizli alan ve ceza içeriği, Bamberg Genel Savcılığı adına Bavyera Devleti Ceza Polis Ofisi tarafından ele geçirildi.” Bildirimde, sadece Alman federal polisi değil, aynı zamanda FBI, Europol, Çek polisi, İngiltere Ulusal Suç Ajansı, Japonya Ulusal Polis Ajansı ve daha fazlası dahil olmak üzere çok sayıda kolluk örgütü için logolar bulunmaktadır.
Europol, operasyon sırasında istihbaratın topladığı istihbaratın polisin küresel olarak 400’den fazla kuruluşu gruptan yakın risk altında olduklarını uyarmasına yardımcı olduğunu söyledi.
NCA Ulusal Siber Suç Birimi başkanı Paul Foster, “Phobos ve 8base fidye yazılımı suşlarının İngiltere üzerinde önemli bir etkisi oldu, kolluk kuvvetleri 200’den fazla kurbana destek sağladı.” Dedi.
“Soruşturma sırasında elde edilen istihbarat sonucunda, NCA ve polis ortaklarımız, bu fidye yazılımı suşları tarafından hedeflenen bir dizi işletmenin yenilmesinden şifreleme ve kurban olmaya, bu nedenle bir saldırının sahip olacağı yıkıcı etkiyi azaltabildiler. Şirketlerinde, “dedi Foster.
Phobos fidye yazılımı
Tayland’daki tutuklamalar ilk Phobos ile bağlantılı değil. 2023 yılında İtalyan polisi, sanık bir iştirakçiyi Fransız tutuklama emriyle tutukladı. Kasım 2024’te, Phobos’u kullanmakla suçlanan bir Rus ulusal, Güney Kore’den iade edildikten sonra ilk kez ABD federal mahkemesinde ortaya çıktı. 42 yaşındaki Evgenii Ptitsyn, hayatının geri kalanında onu hapsetme potansiyeli olan 13 sayım suçlu iddianameyle karşı karşıya. ABD’nin gözaltında kalıyor.
Phobos fidye yazılımı ilk olarak 2018’de, görünüşe göre daha önceki Dharma ve Crysis fidye yazılımı varyantlarına dayanarak ve genellikle hastaneler de dahil olmak üzere küçük-orta ölçekli kuruluşlara karşı başlatılan ve hasta bakımında ciddi kesintilere yol açan saldırılarda yer aldı.
Phobos kullanan bilgisayar korsanları, tıbbi klinikler de dahil olmak üzere çeşitli endüstrilerde küçük-orta büyüklükteki kuruluşları hedeflemekle ün kazandı. Europol, “Büyük şirketleri hedefleyen yüksek profilli fidye yazılımı gruplarının aksine, Phobos, genellikle kendilerini korumak için siber güvenlik savunmalarından yoksun olan küçük-orta ölçekli işletmelere karşı yüksek hacimli saldırılara güveniyor.” Dedi.
2024’ün başlarında yayınlanan bir ABD federal siber güvenlik danışmanlığı, Phobos fidye yazılımının muhtemelen Elking, Sekiz, DeVos, BackmyData ve Faust fidye yazılımları gibi çok sayıda varyantla bağlantılı olduğu sonucuna varmıştır. Phobos bilgisayar korsanları, kimlik avı kampanyaları ve savunmasız uzak masaüstü protokol örnekleri aracılığıyla sistemlere erişir. Smokeloader arka kapısını genellikle Phobos Cryptolocker’ı indirmenin öncüsü olarak kullanırlar.
8base’nin yükselişi
Araştırmacılar 2022’den beri 8base saldırılarını izlerken, grup ilk olarak 2023’te bir sızıntı alanı başlattı ve saldırıları o yılın ortasında arttı.
2013’teki VMware, 8Base’nin Ransomhouse adlı başka bir grubun taklitçi veya dalı olduğunu bildirdi. VMware araştırmacıları, “Ransomhouse’un gerçek bir fidye yazılımı grubu olup olmadığı konusunda tartışmaya hazır. Grup zaten sızdırılmış veri satın alıyor, veri sızıntı siteleriyle ortaklık yapıyor ve daha sonra şirketleri para için zorluyor.” Dedi.
8Base’ye bağlı kripto dolu kötü amaçlı yazılım saldırıları, Phobos Ransomware’in özelleştirilmiş bir sürümünü içeriyordu. .8base veya .eight zorla şifrelenmiş dosyalara ekleniyor. “Phobos fidye yazılımı bir hizmet olarak fidye yazılımı olarak mevcut olması nedeniyle, bu bir sürpriz değil,” dedi VMware, kötü amaçlı yazılımların suçlu kullanıcılarının bu tür değişiklikler yapmalarını sağlamak için tasarlandığını belirtti.
Daha sonra 2023’te 8Base, gazetecilerle paylaşmaya vaat ederek saldırılarını pazarlamaya çalışıyor gibi görünüyordu – ve kamuya açık bir “halk Sızıntı alanına bakan (bakınız: Fidye Yazılım Gruplarının En Son Taktiği: Silahlı Pazarlama).
2024’ün ortalarına gelindiğinde, 8base, sitesini çift gasplı çalkalanma için kullanarak – bir şifreleme için ayrı bir fidye talep ederek ve çalınan verileri sızdırmamak için daha da gelişti – ve ayrıca bir “hizmet olarak veri sızıntısı” sağlamak için. diğer suçlulara sunulur.
“8Base operasyonlarını çevreleyen istihbarat toplanan istihbarat, sitelerinin kendi fidye yazılımı dağıtımlarının yanında, diğer grupların çifte gasp amaçlı çalınan verilerini barındırmak için kuruluşla ‘ortak’ olabileceği bir ‘kiralama sitesi’ gibi göründüğünü ortaya koyuyor. “Dedi Küresel Siber Güvenlik Danışmanlığı S-RM.
8Base’nin birçok kurbanı, Gruba A fidye ödeyen hükümet diş programlarını yöneten Kanadalı bir kar amacı gütmeyen kuruluş ve Alman otomotiv devi Volkswagen Grubu’nu içeriyordu. VW, saldırının BT altyapısını bozmadığını ve görünüşe göre fidye ödemediğini söyledi.