Federal Soruşturma Bürosu (FBI) ve Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), kuruluşları BlackSuit fidye yazılımı hakkında uyarmak için ortak bir bildiri yayınladı.
Bu FBI ve CISA duyurusu, en son Temmuz 2024’te FBI’ın tehdit yanıt faaliyetleri ve üçüncü taraf bildirimleri aracılığıyla belirlenen BlackSuit fidye yazılımıyla ilişkili tehlike göstergeleri (IOC’ler) ve taktikler, teknikler ve prosedürler (TTP’ler) hakkında ayrıntılar içeriyor.
BlackSuit fidye yazılımı, Eylül 2022’den Haziran 2023’e kadar aktif olan, daha önce bilinen Royal fidye yazılımının bir evrimidir. BlackSuit, Royal fidye yazılımıyla çok sayıda kodlama benzerliğini paylaşır ancak gelişmiş yetenekler göstermiştir. Bu evrim, BlackSuit’in karmaşık saldırı vektörleri aracılığıyla kuruluşları hedef almaya devam etmesiyle önemli bir tehdit anlamına gelir.
BlackSuit Ransomware Nasıl Çalışır
FBI ve CISA tarafından yayınlanan duyuruda, BlackSuit fidye yazılımının kullandığı teknik mekanizmalara ilişkin ayrıntılı bilgiler yer alıyor.
Bu fidye yazılımı şifreleme öncesinde veri sızdırma ve gaspı gerçekleştirir ve fidye talepleri karşılanmazsa kurban verilerini bir sızıntı sitesinde yayınlar. Fidye yazılımı öncelikle kimlik avı e-postaları aracılığıyla ilk erişimi elde eder ve burada şüphesiz kurbanlar kötü amaçlı ekleri indirmeye kandırılır. Bir ağın içine girdikten sonra, BlackSuit aktörleri antivirüs yazılımını devre dışı bırakır, önemli miktarda veri sızdırır ve nihayetinde sistemleri şifrelemek için fidye yazılımını dağıtır.
Bu yöntem tespit edilmekten kaçınmaya yardımcı olur ve şifreleme hızını önemli ölçüde artırır. BlackSuit aktörleri, fidye ödenmezse sızdırılan verileri kamuoyuna ifşa etmekle tehdit ederek çift gasp taktikleri uygular.
İşte detaylı açıklama:
Veri Sızdırma ve Gaspı: BlackSuit fidye yazılımı, verileri şifrelemeden önce sızdırdığı çift gasp modelini takip eder. Fidye ödenmezse, tehdit aktörleri çalınan verileri bir sızıntı sitesinde yayınlamakla tehdit eder. Bu taktik, kurbanların fidye taleplerine uymaları için baskıyı artırır.
İlk Erişim: Kimlik avı e-postaları, BlackSuit aktörlerinin kurban ağlarına ilk erişimi elde etmek için kullandıkları birincil yöntemdir. Bu e-postalar genellikle kötü amaçlı PDF belgeleri veya kötü amaçlı reklam sitelerine bağlantılar içerir. Diğer erişim yöntemleri arasında Uzak Masaüstü Protokolü (RDP) ihlali, kamuya açık uygulamalardaki güvenlik açıklarından yararlanma ve VPN kimlik bilgilerini çalma kayıtlarından elde etmek için ilk erişim aracılarından yararlanma yer alır.
Komuta ve kontrol: Erişim sağladıktan sonra, BlackSuit aktörleri kötü amaçlı faaliyetler için yeniden amaçlandırılmış meşru Windows yazılımlarını kullanarak komuta ve kontrol (C2) altyapılarıyla iletişim kurarlar. Tarihsel olarak kullanılan araçlar arasında Chisel, Secure Shell (SSH) istemcileri, PuTTY, OpenSSH ve MobaXterm bulunur.
Yanal Hareket ve Kalıcılık: BlackSuit aktörleri, RDP, PsExec ve Sunucu İleti Bloğu (SMB) kullanarak bir ağ içinde yatay olarak hareket eder. Meşru uzaktan izleme ve yönetim (RMM) yazılımı ve SystemBC ve Gootloader gibi kötü amaçlı yazılımların kullanımıyla kalıcılığı korurlar.
Keşif ve Kimlik Bilgilerine Erişim: Aktörler ağları numaralandırmak için SharpShares ve SoftPerfect NetWorx gibi araçlar kullanır. Mimikatz ve Nirsoft’un yardımcı programları gibi kimlik bilgisi çalma araçları tehlikeye atılmış sistemlerde bulunmuştur. Ayrıca sistem süreçlerini öldürmek için PowerTool ve GMER kullanırlar.
Sızdırma ve Şifreleme: Şifrelemeden önce, BlackSuit aktörleri verileri toplamak ve dışarı sızdırmak için Cobalt Strike gibi araçlar ve Ursnif/Gozi gibi kötü amaçlı yazılımlar kullanır. Dışarı sızdırma için RClone ve Brute Ratel kullanırlar. Etkiyi en üst düzeye çıkarmak için, dosya kullanımını kontrol etmek, vssadmin.exe kullanarak birim gölge kopyalarını silmek ve şifreleme sürecini yönetmek için toplu dosyaları yürütmek üzere Windows Yeniden Başlatma Yöneticisi’ni kullanırlar.
BlackSuit Fidye Talepleri ve İletişim
BlackSuit aktörlerinin fidye talepleri genellikle 1 milyon ila 10 milyon ABD doları arasında değişiyor ve ödemelerin Bitcoin ile yapılması gerekiyor. Aktörler bugüne kadar toplamda 500 milyon ABD dolarından fazla talepte bulundular ve en yüksek bireysel fidye talebi 60 milyon ABD doları oldu.
Özellikle, BlackSuit aktörleri fidye miktarlarını müzakere etmeye isteklidir. Fidye miktarı ilk fidye notunda yer almasa da, kurbanlar daha fazla iletişim ve müzakere için bir .onion URL’sine (Tor tarayıcısı üzerinden erişilebilir) yönlendirilir.
Son zamanlarda, BlackSuit aktörlerinin kurbanlara telefon veya e-posta yoluyla, ifşa ve fidye talepleriyle ilgili doğrudan iletişimler göndermesi vakalarında artış yaşandı.
FBI ve CISA Önerileri
FBI ve CISA, kuruluşları fidye yazılımı olaylarının riskini ve etkisini azaltmak için aşağıdaki önerileri uygulamaya şiddetle teşvik ediyor:
- Kullanıcı Eğitimi ve Farkındalığı: Çalışanlarınızı kimlik avı taktikleri konusunda eğitin ve şüpheli e-postaları bildirmeleri konusunda onları teşvik edin.
- Çok Faktörlü Kimlik Doğrulama (MFA): Tüm kullanıcı hesaplarında, özellikle de yönetici ayrıcalıklarına sahip olanlarda MFA’yı uygulayın.
- Düzenli Yedeklemeler: Kritik verilerinizin düzenli yedeklerini alın ve fidye yazılımı saldırılarına karşı korumak için bunları çevrimdışı olarak saklayın.
- Ağ Segmentasyonu: Tehdit aktörlerinin yanal hareketini sınırlamak için ağları segmentlere ayırın.
- Yama Yönetimi: Bilinen güvenlik açıklarını gidermek için sistemleri, yazılımları ve uygulamaları düzenli olarak güncelleyin ve yamalayın.
- Olay Müdahale Planı: Fidye yazılımı saldırılarına yanıt verme prosedürlerini içeren bir olay yanıt planı geliştirin ve düzenli olarak güncelleyin.
FBI ve CISA’nın BlackSuit fidye yazılımına ilişkin tavsiyesi, fidye yazılımı tehditlerinin değişen doğasını ve proaktif siber güvenlik önlemlerinin önemini vurgulamaktadır. Kuruluşların ayrıntılı önerileri gözden geçirmeleri ve bu tür saldırılara karşı savunmak için sağlam güvenlik uygulamaları uygulamaları teşvik edilmektedir.