“CosmicBeetle” olarak bilinen bir siber suçlu grubu veya birey, Türkiye’deki küçük işletmelerin yanı sıra İspanya, Hindistan ve Güney Afrika’daki küçük işletmeler tarafından kullanılan teknolojilerdeki güvenlik açıklarından yararlanıyor. Amaç, kurbanlar için ne yazık ki bazen aksaklıklar çıkaran fidye yazılımları yüklemek.

Muhtemelen Türkiye’de bulunan fidye yazılımı saldırganı, Slovak siber güvenlik firması ESET’in analizine göre oldukça “düşük düzeyde karmaşıklık” ile çalışıyor ve şu anda “oldukça kaotik bir şifreleme şeması” gösteren fidye yazılımları geliştiriyor. CosmicBeetle, ESET tarafından ScRansom olarak adlandırılan ve sık güncellemeler ve değişikliklerle aktif geliştirme altında gibi görünen özel fidye yazılımlarını sıklıkla dağıtıyor.

CosmicBeetle kötü amaçlı yazılım geliştiricileri olarak olgunlaşmamış beceriler gösterdiğinden, tehdit aktörünün fidye yazılımının kurbanlarını çeşitli sorunlar etkiledi, diyor CosmicBeetle’ı analiz eden ESET’te kıdemli bir kötü amaçlı yazılım araştırmacısı olan Jakub Souček. Bir vakada, ESET bir kurban organizasyonuyla çalıştı ve şifreleme rutinlerinin bazı enfekte olmuş makinelerde birden fazla kez yürütüldüğünü ve bunun sonucunda bazı veri kurtarma işlemlerinin başarısız olduğunu buldu.

Raporda, “Deneyimli çeteler, şifre çözme işleminin mümkün olduğunca kolay olmasını tercih ediyor; böylece doğru şifre çözme şansını artırıyor, bu da itibarlarını yükseltiyor ve kurbanların ödeme yapma olasılığını yükseltiyor” denildi.

Ancak CosmicBeetle için, “şifre çözücünün -en son haliyle- teknik açıdan çalıştığını doğrulayabilsek de, hala çok sayıda faktör devreye giriyor ve ne kadar çok şeye ihtiyacınız varsa, [for decryption] “Tehdit aktöründen ne kadar uzaksa, durum o kadar belirsizdir,” diyor. “ScRansom fidye yazılımının hala oldukça hızlı bir şekilde değişiyor olması da yardımcı olmuyor.”

eset-haritası-kozmik-böcek-kurbanları.jpg

CosmicBeetle tehdit aktörünün nispeten olgunlaşmamış olması, grubun iki ilginç stratejiye girişmesine yol açtı: ESET raporuna göre. İlk olarak, grup ironik bir şekilde kurbanların verilerini kurtarmalarına yardımcı olma yeteneklerine güven aşılamak için kötü şöhretli LockBit siber suçlu grubuyla bağlantıları ima etmeye çalıştı. İkinci olarak, grup ayrıca RansomHub iştirak programıve artık kendi özel kötü amaçlı yazılımını yüklemek yerine genellikle bu fidye yazılımını yüklüyor.

Fırsatçı bir şekilde KOBİ’leri hedeflemek

CosmicBeetle grubu, ihlallerini başlatmak için genellikle küçük ve orta ölçekli işletmeler tarafından kullanılan yazılımlardaki çeşitli eski güvenlik açıklarını tarar ve bunlardan yararlanmaya çalışır; örneğin Veeam Backup & Replication’daki sorunlar (CVE-2023-27532), kimliği doğrulanmamış saldırganların yedekleme altyapısına erişmesine izin verebilecek veya Microsoft Active Directory’deki iki ayrıcalık yükseltme güvenlik açığı (CVE-2021-42278 ve CVE-2021-42287), bunların birlikte bir kullanıcının “etkili bir şekilde bir alan adı yöneticisi olun.”

Souček, grubun özellikle KOBİ’leri hedef almadığını ancak hedef aldığı yazılımlar nedeniyle kurbanlarının çoğunluğunun küçük işletmelerden oluştuğunu söylüyor.

“CosmicBeetle, daha iyi yama yönetimine sahip daha büyük şirketlerde yamalanmasının daha olası olduğunu düşündüğümüz oldukça eski bilinen güvenlik açıklarını kötüye kullanıyor,” diyor ve ekliyor: “AB ve ABD dışındaki kurbanlar, özellikle KOBİ’ler, genellikle kolay hedeflere yönelen olgunlaşmamış, deneyimsiz fidye yazılımı çetelerinin sonucudur.”

Hedefler arasında imalat, ilaç, hukuk, eğitim ve sağlık sektörlerindeki şirketler de yer alıyor. ESET’in 10 Eylül’de yayınlanan raporu.

Raporda, “Dünyanın dört bir yanındaki her türlü dikey sektördeki KOBİ’ler, bu tehdit aktörünün en yaygın kurbanlarıdır; çünkü etkilenen yazılımları kullanma olasılığı en yüksek olan ve sağlam bir yama yönetim sürecine sahip olmayan kesimdir” denildi.

Türk Lokumu? Pek Değil

ESET’in CosmicBeetle sızıntı sitesinden topladığı verilere göre, en çok mağdur olan kuruluşlar Türkiye olsa da İspanya, Hindistan, Güney Afrika ve diğer birkaç ülkeden de önemli sayıda kuruluş bulunuyor.

Bir firma tehdit aktörünü gerçek bir kişiyle, bir Türk yazılım geliştiricisiyle ilişkilendirirken, ESET bu bağlantıya şüpheyle yaklaştı. Yine de, Türkiye enfeksiyonların daha büyük bir payını oluşturduğundan, grup muhtemelen ülkeden veya bölgedendir, Souček kabul ediyor.

“CosmicBeetle’ın Türkiye hakkında daha fazla bilgiye sahip olduğunu ve hedeflerini orada seçme konusunda daha fazla güven duyduğunu tahmin edebiliriz,” diyor. “Geri kalan hedeflere gelince, bu tamamen fırsatçı bir yaklaşımdır – hedefin savunmasızlığı ve bir fidye yazılımı hedefi olarak ‘yeterince ilgi çekici’ olması kombinasyonu.”



siber-1