Hizmet olarak Black Basta fidye yazılımı (RaaS) operasyonu, Nisan 2022’de ortaya çıkışından bu yana Kuzey Amerika, Avrupa ve Avustralya’daki 500’den fazla özel sektörü ve kritik altyapı kuruluşunu hedef aldı.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Federal Soruşturma Bürosu (FBI), Sağlık ve İnsani Hizmetler Bakanlığı (HHS) ve Çok Eyaletli Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC) tarafından yayınlanan ortak tavsiye niteliğindeki belgede ), kurumlar, tehdit aktörlerinin 16 kritik altyapı sektöründen en az 12’sinden verileri şifrelediğini ve çaldığını söyledi.
Bülten, “Black Basta üyeleri, kimlik avı ve bilinen güvenlik açıklarından yararlanma gibi ortak ilk erişim tekniklerini kullanıyor ve ardından hem sistemleri şifreleyerek hem de verileri sızdırarak ikili bir gasp modeli kullanıyor.” Okumak.
Diğer fidye yazılımı gruplarının aksine, saldırı sonunda düşen fidye notları, ilk fidye talebini veya ödeme talimatlarını içermiyor. Bunun yerine, notlar kurbanlara benzersiz bir kod sağlıyor ve onlara bir .onion URL’si aracılığıyla çeteyle iletişim kurmaları talimatını veriyor.
Black Basta ilk kez Nisan 2022’de QakBot’u başlangıç vektörü olarak kullanarak gözlemlendi ve o zamandan bu yana son derece aktif bir fidye yazılımı aktörü olarak kaldı.
Malwarebytes tarafından toplanan istatistikler göstermek Grubun Nisan 2024’te gerçekleşen 373 doğrulanmış fidye yazılımı saldırısının 28’iyle bağlantısı olduğu belirtildi. Kaspersky’ye göre bu, 12. en aktif aile Black Basta ayrıca 2024’ün ilk çeyreğinde faaliyette bir önceki çeyreğe göre %41 artışla bir artışa tanık oldu.
Black Basta operatörlerinin, 2020’den bu yana fidye yazılımı saldırıları düzenlemeye başlayan FIN7 olarak takip edilen başka bir siber suç grubuyla bağları olduğunu gösteren kanıtlar var.
Fidye yazılımını içeren saldırı zincirleri, ağ taraması için SoftPerfect ağ tarayıcısı, BITSAdmin, Cobalt Strike işaretçileri, ConnectWise ScreenConnect ve yanal hareket için PsExec, ayrıcalık yükseltme için Mimikatz ve şifrelemeden önce veri sızıntısı için RClone gibi araçlara güvendi.
Yükseltilmiş ayrıcalıklar elde etmek için kullanılan diğer yöntemler arasında ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278 ve CVE-2021-42287) ve PrintNightmare (CVE-2021-34527) gibi güvenlik kusurlarının kullanılması yer alır.
Belirli örnekler, uç nokta algılama ve yanıt (EDR) yazılımını devre dışı bırakmak için Backstab adlı bir aracın konuşlandırılmasını da gerektirdi. Backstab’ın geçmişte LockBit üyeleri tarafından da kullanıldığını belirtmekte fayda var.
Son adım, dosyaların RSA-4096 genel anahtarıyla ChaCha20 algoritması kullanılarak şifrelenmesini gerektirir, ancak sistem kurtarmayı engellemek için vssadmin.exe programı aracılığıyla birim gölge kopyalarını silmeden önce değil.
Kurumlar, “Sağlık kuruluşları, büyüklükleri, teknolojik bağımlılıkları, kişisel sağlık bilgilerine erişimleri ve hasta bakımındaki aksaklıkların benzersiz etkileri nedeniyle siber suç aktörleri için cazip hedeflerdir” dedi.
Bu gelişme, CACTUS fidye yazılımı kampanyasının, hedef ortamlara ilk erişimi elde etmek için Qlik Sense adlı bulut analitiği ve iş zekası platformundaki güvenlik açıklarından yararlanmaya devam etmesiyle ortaya çıktı.
NCC Group’un Fox-IT ekibi tarafından yapılan yeni bir analiz, açıklığa kavuşmuş 17 Nisan 2024 itibarıyla çoğunluğu ABD, İtalya, Brezilya, Hollanda ve Almanya’da bulunan 3.143 sunucunun hâlâ CVE-2023-48365 (diğer adıyla DoubleQlik) riski altında olduğu belirtildi.
Fidye yazılımı ortamı bir değişim halindedir ve 2024 yılının ilk çeyreğinde önceki çeyreğe kıyasla faaliyette %18’lik bir düşüş kaydedilmiştir. Bu düşüş öncelikle ALPHV (diğer adıyla BlackCat) ve LockBit’e karşı kolluk kuvvetleri operasyonları tarafından yürütülmektedir.
LockBit’in bağlı kuruluşlar arasında ciddi itibar kaybı yaşadığı göz önüne alındığında, grubun büyük olasılıkla yeniden markalaşmaya çalışacağından şüpheleniliyor. Siber güvenlik firması ReliaQuest, “DarkVault fidye yazılımı grubu, LockBit’in olası halefi grubudur” dedi söz konusuLockBit’in markasıyla benzerliklere değinerek.
Son haftalarda ortaya çıkan diğer yeni fidye yazılımı gruplarından bazıları şunlardır: APT73, DoNex, Ejder Gücü, Avlamak (bir Dharma/Crysis fidye yazılımı çeşidi), KageNoHitobito, Megazord, Qiulong, ŞifrelemeVe Şinra.
Blockchain analiz firması Chainaliz, fidye yazılımı türlerinin “çeşitlendirilmesi” ve “zorluklar karşısında hızlı bir şekilde uyum sağlama ve yeniden markalama yeteneği, fidye yazılımı ekosistemindeki tehdit aktörlerinin dirençli dinamik doğasına işaret ediyor” söz konusu2023’te fidye ödemelerinde %46’lık bir düşüşe dikkat çekiyor.
Bu, Veeam’e ait Coveware’in bulgularıyla da doğrulanıyor. söz konusu Ödemeyi seçen mağdurların oranı 2024’ün ilk çeyreğinde %28 gibi yeni bir rekor düşük seviyeye ulaştı. Dönem için ortalama fidye ödemesi 2023’ün 4. çeyreğine göre %32 düşüşle 381.980 dolar oldu.
Geçtiğimiz ay yayınlanan Sophos Fidye Yazılımı Durumu 2024 raporunun bir parçası olarak 5.000 kuruluşun katıldığı küresel bir ankete göre, kurbanlar talep edilen ilk tutarı ödemeyi giderek daha fazla reddediyor.
Şirket, “Kuruluşu fidyeyi ödeyen 1.097 katılımcı, ödenen gerçek tutarı paylaştı; bu da ortalama (ortalama) ödemenin geçen yıl 5 kat artarak 400.000 dolardan 2 milyon dolara çıktığını ortaya koyuyor.” söz konusu.
“Fidye ödeme oranı artarken, ankete katılanların yalnızca %24’ü ödemelerinin orijinal taleple eşleştiğini söylüyor. %44’ü orijinal talepten daha az öderken, %31’i daha fazla ödedi.”