BlackSuit olarak bilinen fidye yazılımı türü bugüne kadar 500 milyon dolara kadar fidye talep etti, tek bir fidye talebi ise 60 milyon dolara ulaştı.
Bu açıklama, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ile Federal Soruşturma Bürosu’nun (FBI) güncellenen duyurusuna göre yapıldı.
“BlackSuit aktörleri ödeme miktarları konusunda pazarlık yapmaya istekli olduklarını gösterdiler” diyor ajanslar söz konusu“Fidye miktarları ilk fidye notunun bir parçası değildir, ancak şifreleme sonrasında sağlanan bir .onion URL’si (Tor tarayıcısı üzerinden erişilebilir) aracılığıyla tehdit aktörüyle doğrudan etkileşim gerektirir.”
Fidye yazılımı içeren saldırılar, ticari tesisler, sağlık ve halk sağlığı, hükümet tesisleri ve kritik üretim tesisleri gibi çeşitli kritik altyapı sektörlerini hedef aldı.
Royal fidye yazılımının bir evrimi olan bu yazılım, kimlik avı e-postalarıyla elde edilen ilk erişimi, antivirüs yazılımını etkisiz hale getirmek ve hassas verileri sızdırmak için kullanır ve ardından fidye yazılımını dağıtarak sistemleri şifreler.
Diğer yaygın enfeksiyon yolları arasında Uzak Masaüstü Protokolü’nün (RDP) kullanımı, savunmasız internete bağlı uygulamaların kötüye kullanımı ve ilk erişim aracıları (IAB’ler) aracılığıyla satın alınan erişim yer alır.
BlackSuit saldırganlarının, kurban ağlarında kalıcılığı sağlamak için SystemBC ve GootLoader kötü amaçlı yazılımları gibi meşru uzaktan izleme ve yönetim (RMM) yazılımlarını ve araçlarını kullandıkları bilinmektedir.
“BlackSuit aktörlerinin kurban ağlarını saymak için SharpShares ve SoftPerfect NetWorx kullandıkları gözlemlendi,” diye belirtti kurumlar. “Herkese açık kimlik bilgisi çalma aracı Mimikatz ve Nirsoft’un parola toplama araçları da kurban sistemlerinde bulundu. PowerTool ve GMER gibi araçlar genellikle sistem süreçlerini öldürmek için kullanılır.”
CISA ve FBI, BlackSuit saldırganlarının fidye ve fidye konusunda mağdurlara telefon veya e-posta yoluyla bildirimde bulunduğu vakalarda artış olduğu konusunda uyarıda bulundu. Bu, fidye yazılımı çeteleri tarafından baskıyı artırmak için giderek daha fazla benimsenen bir taktik.
Siber güvenlik firması Sophos, “Son yıllarda tehdit aktörlerinin yalnızca kuruluşları doğrudan tehdit etmekle değil, aynı zamanda ikincil kurbanları da tehdit etmekle giderek daha fazla ilgilendiği görülüyor” dedi. söz konusu bu hafta yayınlanan bir raporda. “Örneğin, Ocak 2024’te bildirildiği üzere, saldırganlar bir kanser hastanesinin hastalarını ‘swat’lamakla tehdit ettiler ve bir CEO’nun eşine tehdit edici kısa mesajlar gönderdiler.”
Hepsi bu kadar değil. Tehdit aktörleri ayrıca çalınan verileri yasadışı faaliyet, düzenleyici uyumsuzluk ve mali tutarsızlıkların kanıtı olarak değerlendirdiklerini iddia ettiler, hatta tehlikeye atılmış bir organizasyondaki bir çalışanın web tarayıcısı geçmişini yayınlayarak çocuk cinsel istismarı materyali aradığını söyleyecek kadar ileri gittiler.
Bu tür saldırgan yöntemler yalnızca hedeflerini ödeme yapmaya zorlamak için daha fazla baskı aracı olarak kullanılamaz, aynı zamanda onları etik dışı veya ihmalkar olarak eleştirerek itibarlarına zarar verebilir.
Bu gelişme, yeni fidye yazılımı ailelerinin ortaya çıkmasıyla birlikte ortaya çıktı. Vaşak, Okyanus Casusu, Radar, Zilla (Crysis/Dharma fidye yazılımının bir çeşidi) ve Zola (Proton fidye yazılımının bir çeşidi) vahşi doğada bulunurken, mevcut fidye yazılımı grupları cephaneliklerine yeni araçlar ekleyerek çalışma biçimlerini sürekli olarak geliştiriyorlar.
Bir örnek vaka, başlangıç enfeksiyon vektörü ve uzaktan erişim trojan’ı (RAT) olarak SharpRhino adlı yeni bir C# tabanlı kötü amaçlı yazılımı kullanan Hunters International’dır. Gök gürültüsü kabuğu Kötü amaçlı yazılım ailesi, popüler ağ yönetim aracı Angry IP Scanner’ı taklit eden bir yazım yanlışı yapan alan adı aracılığıyla dağıtılıyor.
Kötü amaçlı reklam kampanyalarının, benekli eSentire’e göre kötü amaçlı yazılımı en son Ocak 2024’te teslim etti. Açık kaynaklı RAT ayrıca Parsel RAT Ve DUMANLI DAM.
“Uygulama sırasında kalıcılık sağlıyor ve saldırgana cihaza uzaktan erişim sağlıyor, bu da saldırıyı ilerletmek için kullanılıyor,” Quorum Cyber araştırmacısı Michael Forret söz konusu“Daha önce görülmemiş teknikler kullanan kötü amaçlı yazılım, saldırganın minimum kesintiyle hedeflemesini daha da ileriye taşıyabilmesini sağlamak için cihazda yüksek düzeyde izin elde edebiliyor.”
Hunters International’ın artık faaliyette olmayan Hive fidye yazılımı grubunun yeniden markalanmış hali olduğu değerlendiriliyor. İlk olarak Ekim 2023’te tespit edilen bu grup, 2024’ün ilk yedi ayında 134 saldırının sorumluluğunu üstlendi.
