Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
BianLian, Kripto Kilitleme Kötü Amaçlı Yazılımlarından Uzaklaşarak Karakurt’un İzinden Gidiyor
Mathew J. Schwartz (euroinfosec) •
22 Mart 2023
Tüm fidye yazılımı grupları kripto kilitlemeli kötü amaçlı yazılım kullanmaz. Bazıları, gasp edilmiş kârlar için devam eden arayışlarında, yalnızca bir fidye ödemesi almadıkları takdirde çalıntı verileri sızdırmakla tehdit ederek şifreleme ve baskı kurbanlarından uzaklaştı.
Ayrıca bakınız: 2022 Unit 42 Fidye Yazılımı Tehdit Raporu
Görünüşe göre 2022 yazında ortaya çıkan üretken bir fidye yazılımı grubu olan BianLian için durum böyleydi. Bu noktada tehdit istihbaratı şirketi Cyble, grubun özellikle medya ve eğlence sektörlerine karşı hızlı şifreleme saldırıları gerçekleştirmesiyle tanındığını bildirdi. diğerlerinin yanı sıra sağlık hizmetleri, enerji ve kamu hizmetleri.
Grubun adı, karakterlerin yüzlerinin göz açıp kapayıncaya kadar değiştiği eski bir Çin dramatik sanatı olan “bian lian” anlamına gelir. Görünüşe göre grubun şifreleme hızına bir referans.
Çek siber güvenlik firması Avast, Ocak ayında fidye yazılımı kurbanları için ücretsiz bir şifre çözücü yayınlayarak grubun çalışmalarına bir darbe indirdi.
Bu BianLian’ın gözünden kaçmadı. Suçlular, kurbanların isimlendirilmesi ve çalıntı verilerin sızdırılmasıyla ilgili olarak sitelerinde yayınlanan dil bilgisi açısından yanlış bir mesajda, “Avast’ın şifre çözücüsü hakkında sorularınız varsa, her şirket için benzersiz bir anahtar oluşturduğumuzu bilmeniz gerekir,” dedi. “Avast, derleme için şifre çözme aracını 2022 yazında yayınladı. Başka derlemeler tarafından şifrelenen tüm dosyaları bozacaktır.”
Suçluların iddiaları ne olursa olsun, bu tür şifre çözücüler, özellikle fidye ödememişlerse, geçmiş kurbanlar için iyi haber olabilir.
Ücretsiz bir şifre çözücü piyasaya sürüldükten sonra, bir fidye yazılımı grubu genellikle kripto-kilitleme kötü amaçlı yazılımını ve ilgili altyapısını, güvenlik araştırmacılarının kodlarını kırmak için istismar etmeyi başardıkları tüm güvenlik açıklarını ortadan kaldırmak ve ardından kurbanları terk ederek kripto kilitlemeye devam etmek için günceller.
Ancak tehdit istihbaratı şirketi Redacted, Avast’ın şifre çözücüsünün, BianLian’ı ağına giren bir kurbandan para kazanmanın yeni yollarını aramaya yöneltmiş gibi görünüyor.
“Dosyaları şifrelemek ve veri sızdırmakla tehdit etmek gibi tipik çifte gasp modelini takip etmek yerine, BianLian’ın kurbanların verilerini şifrelemekten vazgeçmeyi seçtiğini ve bunun yerine BianLian’ın sessizliği karşılığında kurbanları yalnızca bir gasp talebini kullanarak ödeme yapmaya ikna etmeye odaklandığını giderek daha fazla gözlemliyoruz. “Düzenlenmiş raporlar.
“Grup, ödeme yapıldıktan sonra çalınan verileri sızdırmayacaklarına veya mağdur örgütün bir ihlale maruz kaldığını başka bir şekilde ifşa etmeyeceklerine söz veriyor.” “BianLian, ‘işlerinin’ itibarlarına bağlı olduğu gerçeğine dayanarak bu güvenceleri sunuyor.”
Savunmacılar Uyum Sağlarken Saldırganlar da Uyum Sağlamak Zorundadır
BianLian’ın yeni bir yüz arayışı, fidye yazılımı gruplarının nasıl para kazandığının önceden belirlenmiş bir kavram olmadığını hatırlatıyor. Savunmalar geliştikçe saldırganlar da gelişmelidir. En başarılı fidye yazılımı işlemleri, en uyarlanabilir olma eğilimindedir.
Bu sadece gasp iş stratejisi yeni değil. Çoğu fidye yazılımı grubu, dosyaları zorla şifreleseler de şifrelemeseler de, çalınan verileri silme sözü karşılığında zaten ayrı bir fidye talep ediyor.
Kötü şöhretli Conti grubu 2022’nin ortalarında kapanmadan önce, dosyaları kripto kilitlemeye değil, veri gaspından para kazanmaya odaklanan Karakurt adlı yeni bir alt grup başlattı. Güvenlik araştırmacıları, Conti’nin sistemlere bulaşmak ve BazarBackdoor’u kurmak için BazarLoader damlatıcısını kullandığını ve ardından bu arka kapıya bu sistemlere Karakurt’a uzaktan erişim izni verdiğini, böylece verileri çalıp kurbanları sarsabileceğini söyledi.
Redacted, Karakurt’un izinden giden BianLian’ın tüm olağan sarsılma numaralarını elinde tuttuğunu söylüyor. Kurbanları ödeme yapmaya zorlamak için telefon görüşmeleri ve e-postaların kullanılmasının yanı sıra, suçluların çalınan verilerini – örneğin kurbanın müşterileriyle ilgili olarak – atması durumunda hangi düzenlemelerin tetikleneceğini denemek ve vurgulamak için kurbanlarla iletişimleri özelleştirmeyi içerir.
Saldırganların çalınan verileri silmekle ilgili vaatleri ne olursa olsun, fidye yazılımı olay müdahale ekipleri uzun süredir kurbanları bu tür güvencelere asla inanmamaya teşvik ediyor: Hırsızlar yalan söyler. Ek olarak, güvenlik uzmanları, siber suç tarihinde, bir fidye yazılımı grubunun çalıntı dosyaları kanıtlanabilir şekilde sildiği bilinen hiçbir vakaya işaret edemez (bkz.: Fidye Realpolitik: Veri Silme Ücretini Ödemek Enayilerin İşidir).
Ne yazık ki, birçok kurban hala saldırganlara sadece çalıntı verileri sızdırmama sözü için ödeme yapıyor gibi görünüyor.
BianLian’ın yeni shakedown raketinde durumun böyle olup olmayacağı henüz belli değil. Grup istenen kâr düzeyine ulaşamıyorsa, onu tekrar kripto-kilitleme kötü amaçlı yazılımlarını terk ederek kucaklamaktan alıkoyacak hiçbir şey yoktur. Bir kez çehresi değişti. Bunu tekrar yapmasını ne engelleyebilir?