Ukrayna Siber İttifakı adı altındaki bir grup siber aktivist, Trigona fidye yazılımı çetesinin sunucularını hackledi ve mevcut tüm bilgileri kopyaladıktan sonra onları temizledi.
Ukrayna Siber İttifakı Savaşçılar, kaynak kodu ve veri tabanı kayıtları da dahil olmak üzere, şifre çözme anahtarlarını da içerebilecek tüm verileri tehdit aktörünün sistemlerinden sızdırdıklarını söylüyor.
Trigona fidye yazılımı kullanım dışı
Ukraynalı Siber İttifak bilgisayar korsanları, Confluence Veri Merkezi ve Sunucusunda ayrıcalıkları artırmak için uzaktan kullanılabilen kritik bir güvenlik açığı olan CVE-2023-22515’e yönelik genel bir istismar kullanarak Trigona fidye yazılımının altyapısına erişim elde etti.
Güvenlik açığı, Microsoft’un Storm-0062 (DarkShadow ve Oro0lxy olarak da bilinir) olarak izlediği en az bir tehdit grubu tarafından 14 Eylül’den bu yana sıfır gün saldırılarında kullanıldı.
Ukrayna Siber İttifakı veya kısaca UCA, Trigona fidye yazılımının Confluence sunucusunu ilk kez yaklaşık altı gün önce ihlal etti, kalıcılık sağladı ve siber suçlunun altyapısını tamamen fark edilmeden haritaladı.
Bir UCA aktivistinin kolu kullanmasından sonra herm1t yayınlanan ekran görüntüleri Fidye yazılımı çetesinin dahili destek belgelerinden BleepingComputer’a, Trigona fidye yazılımının başlangıçta paniğe kapıldığı ve şifreyi değiştirerek ve halka açık altyapısını çökerterek yanıt verdiği söylendi.
Ancak önümüzdeki hafta aktivistler, tehdit aktörünün yönetim ve kurban panellerinden, bloglarından, veri sızıntı sitelerinden ve dahili araçlardan (Rocket.Chat, Jira ve Confluence sunucuları) tüm bilgileri almayı başardılar.
Herm1t, BleepingComputer’a geliştirici ortamını, kripto para sıcak cüzdanlarının yanı sıra kaynak kodunu ve veritabanı kayıtlarını da sızdırdıklarını söyledi.
Aktivistler aktardıkları bilgilerin herhangi bir şifre çözme anahtarı içerip içermediğini bilmiyorlar ancak bulunursa bunları yayınlayacaklarını söylediler.
Fidye yazılımı çetesinden elde edilen tüm verileri topladıktan sonra, UCA aktivistleri sitelerini sildi ve tahrif etti, ayrıca yönetim paneli sitesinin anahtarını da paylaştı.
kaynak: herm1t
UCA, yüzlerce gigabaytlık muhtemel çalıntı belgenin bulunduğu üç yedeği geri alabildiklerini iddia ediyor.
kaynak: herm1t
Ukrayna Siber İttifakı
2014’ten itibaren Ukrayna’daki ve dünyanın dört bir yanındaki çok sayıda hacktivist, ülkenin siber uzayını Rus saldırganlığına karşı savunmak için birlikte çalışmaya başladı.
Yaklaşık iki yıl sonra, bireysel bilgisayar korsanları ve birkaç bilgisayar korsanı grubu, artık bir sivil toplum kuruluşu olarak kayıtlı olan Ukrayna Siber İttifakını oluşturmak için birleşti ve Rusya’nın Ukrayna’ya karşı faaliyetlerini destekleyen çeşitli kuruluş ve bireyleri hedef almaya başladı.
Grubu, çalışmaları ülke vatandaşlığı göreviyle yönetilen resmi bir kuruluş olarak kuranlar dışında, grup üyelerinin kimlikleri gizlidir.
Örgütün Wikipedia sayfasına göre üyeleri, Rusya’nın Ukrayna ve diğer ülkelerdeki faaliyetleri ve propaganda çalışmalarının yanı sıra çeşitli kişi ve kuruluşlar üzerindeki kontrolüne ilişkin bilgilerin açığa çıkmasına neden olan çok sayıda başarılı hackleme operasyonu gerçekleştirdi.
UCA’nın iddiaları arasında Rusya Savunma Bakanlığı’nın 2016 yılında iki kez hacklenmesi ve kamu savunma sözleşmelerinin ve 2015-2016 devlet savunma emrinin sağlanmasına ilişkin gizli verilerin sızdırılması yer alıyor.
Bir diğer başarı da, geçmiş yıllardaki Rus propagandası için mekanizmayı tasarladığı düşünülen Vladislav Surkov’un, Kırım’ın ilhakını ve Rus cumhuriyetleri haline geldiklerinde Luhansk ve Donetsk topraklarının nasıl finanse edileceğini tartıştığı e-postalarının hacklenmesiydi.
Trigona fidye yazılımı etkinliği
Trigona fidye yazılımı operasyonu, çetenin saldırılarının kurbanlarıyla Monero kripto para birimi cinsinden fidye ödemeleri konusunda pazarlık yapmak üzere bir Tor sitesi başlatmasıyla geçen yılın Ekim ayı sonlarında bu isimle ortaya çıktı.
Daha önce, kötü amaçlı yazılım örneklerinin belirli bir adı yoktu ve 2022’nin başından beri ortalıkta görülüyordu. Trigona markalaşmasından önce, operatörler fidye ödemeleri konusunda pazarlık yapmak için e-postayı kullanıyordu.
Bir süreliğine siber suçlular, imalat, finans, inşaat, tarım, pazarlama ve yüksek teknoloji sektörlerinde faaliyet gösteren en az 15 şirketin bir ay içinde ele geçirilmesini sağlayacak kadar aktifti.
Bu yılın başlarında Trigona bilgisayar korsanları, erişim kimlik bilgilerini elde etmek için kaba kuvvet veya sözlük saldırıları kullanarak genel internete açık Microsoft SQL sunucularını hedef alıyordu.
Şu anda Ukrayna Siber İttifakının son eylemleri nedeniyle Trigona fidye yazılımının halka açık web sitelerinin ve hizmetlerinin hiçbiri çevrimiçi değil.