Dolandırıcılık Yönetimi ve Siber Suç, Fidye Yazılımı
Fidye Yazılımı Grubunun Saldırıları Düzenlemek İçin Sızdırılan LockBit Oluşturucu Kodunu Kullandığı Görünüyor
Jayant Chakravarti (@JayJay_Tech) •
5 Temmuz 2024
Sızdırılan LockBit 3.0 fidye yazılımı oluşturucusunu temel alan dolap yazılımını kullanan bir fidye yazılımı grubu, Yeni Zelanda’nın önde gelen spor ekipmanları perakendecisini tehlikeye attı.
Ayrıca bakınız: Hazırlıksız Olmanın İşletmenize Maliyeti
İlk olarak Kasım 2023’te gözlemlenen DragonForce fidye yazılımı grubu, Salı günü sızıntı sitesinde Elite Fitness’tan 5,31 gigabayt veri çaldığını duyurdu.
Dunedin merkezli perakendeci, fidye yazılımı saldırısını ve ardından gelen veri sızıntısını kabul etti. “Elite Fitness, 26 Haziran Çarşamba gecesi sistemlerinden birinde yetkisiz bir üçüncü taraftan gelen alışılmadık bir etkinlik tespit etti,” dedi bir şirket sözcüsü Cyberdaily.au’ya. “Sızdırılan bilgiler ne yazık ki küçük bir müşteri listesini ve bazı personeli etkiliyor.”
Fitness ekipmanları perakendecisi, Information Security Media Group’un yorum talebine yanıt vermedi.
Saldırı olayı, fidye yazılımı grubunun Yakult Australia’yı kurban etmesinden ve şirketin Avustralya ve Yeni Zelanda BT sistemlerinden 95 GB veri çalmasından kısa bir süre sonra gerçekleşti. Grup ayrıca Coca-Cola Singapore’dan 400 GB’tan fazla veri çaldığını iddia etti.
DragonForce’un bildirilen en büyük soygunu, Aralık 2023’te Ohio Piyangosu’na yapılan ve 90 GB veriye denk gelen 1,5 milyondan fazla çalışan ve müşteri kaydını çaldığı başarılı bir saldırıydı. Ohio Piyangosu, saldırının yaklaşık 538.000 kişiyi etkilediğini söyledi.
Siber güvenlik şirketi Cyble’a göre DragonForce, saldırılarında LockBit Black fidye yazılımına dayalı bir fidye yazılımı ikili dosyası kullanıyor, bu yazılım LockBit 3.0 olarak da takip ediliyor. Eylül 2022’de bir LockBit iştiraki, grubun sahipleriyle yaşadığı bir anlaşmazlığın ardından LockBit Black oluşturucu kodunu sızdırdı ve o zamandan beri birkaç siber suç grubu, oluşturucu kodunu fidye yazılımı araçlarını özelleştirmek ve saldırılar düzenlemek için kullandı (bkz: Ücretsiz Fidye Yazılımı: LockBit Taklitleri ve Sahtekarları Yaygınlaşıyor).
Cyble, Nisan ayında DragonForce’un dolap zararlı yazılımının, sızdırılan LockBit fidye yazılımı oluşturucusuyla kod yapısı ve işlevleri bakımından “çarpıcı benzerlikler” paylaştığını belirtmişti.
Bir sistemi enfekte ettikten sonra grup, depolanan dosyaları yeniden adlandırmak için rastgele dizeler kullanır ve .AoVOpni2N Şifrelenmiş dosyalara uzantı. Ayrıca, adında bir fidye notu da bırakır AoVOpni2N.README.txt in each directory it accesses.
DragonForce, kendisine DragonForce Malaysia adını veren Malezyalı bir hacktivist grupla aynı adı paylaşıyor. Filistin yanlısı grup, İsrail’in Hamas’a karşı savaşına karşı çıkışını dile getirmek için sık sık İsrail örgütlerini hedef aldı ve 2022’de iktidar partisinin sözcüsünün Müslüman karşıtı açıklamalar yapmasının ardından birkaç Hint örgütünü hedef aldı (bkz: Hindistan Merkezli Grab, Malezya’nın DragonForce’unun Siber Saldırı İddiasını Reddetti).
DragonForce Malaysia, 2023 yılında bir fidye yazılımı operasyonu oluşturma planlarını duyurdu ancak siber güvenlik araştırmacıları, fidye yazılımı saldırılarını Malezyalı gruba bağlamaya dair çok az kanıt olduğunu söylüyor.
Siber güvenlik şirketi Tripwire, “Benzer isimler elbette bir bağlantının kanıtı olarak değerlendirilmemeli ve DragonForce isminin fidye yazılımı çetesi tarafından araştırmacıları yanlış yönlendirmek veya bir kötülük yapmak için bilerek seçilmiş olması her zaman mümkün” dedi.