Royal ve BlackSuit Fidye Yazılım Çeteleri
Son dönemde, ABD İç Güvenlik Bakanlığı (DHS), Royal ve BlackSuit fidye yazılımı çetelerinin, birçok ABD şirketini hedef alarak önemli bir siber saldırı gerçekleştirildiğini belirtti. Bu çeteler, geçtiğimiz ay uluslararası yasadışı mücadelenin bir parçası olarak çökertildi. DHS’nin ana araştırma kolu olan İç Güvenlik Soruşturması (HSI), bu suç gruplarının 450’den fazla kurbanı etkilediğini ve bu süreçte 370 milyon dolardan fazla fidye topladıklarını açıkladı.
Bu çetelerin hedef aldığı sektörler arasında sağlık, eğitim, kamu güvenliği, enerji ve hükümet hizmetleri bulunmakta. HSI, fidye yazılımı saldırılarının iki aşamalı bir zorbalık yöntemi kullandığını belirtti. Yani, kurbanların sistemlerini şifreleyip, çalınan verileri sızdırmakla tehdit ederek ödemeyi zorunlu hale getirdiler.
Operasyon Checkmate
ABD Adalet Bakanlığı, 24 Temmuz’da BlackSuit çetesinin karanlık ağ extortion alanlarını ele geçirdiğini açıkladı. Bu operasyon, uluslararası bir iş birliği olarak Operasyon Şah Mat adı altında gerçekleştirildi. Ele geçirilen alanların içeriği, yasa dışı çetelerin sızdırma sitelerine yönelik ele geçirme afişleri ile değiştirildi. Bu durum, yasa dışı siber suçlarla mücadelede önemli bir başarı olarak değerlendirildi.
BlackSuit çetesi, Ocak 2022’de Quantum fidye yazılımı olarak ortaya çıktı ve o zamandan beri Conti siber suç sendikasının haleflerinden biri olarak kabul ediliyordu. Çete, başlarda başka grupların şifreleyicilerini kullanıyordu. Ancak zamanla, kendi Zeon şifreleyicisini geliştirerek, Eylül 2022’de Royal ransomware markasını oluşturdu.
Dallas Saldırısı ve BlackSuit Markasına Geçiş
Haziran 2023’te, Dallas, Texas şehrini hedef alan Royal fidye yazılım çetesi, yeni bir şifreleyici olan BlackSuit ile sahne aldı. Kozmopolitem ve göz alıcı bir saldırı taktiği ile dikkat çekti ve yakın zamanda BlackSuit markasına geçiş yaptı. CISA ve FBI, Kasım 2023’te yayımladıkları ortak bir bildiriyle, Royal ve BlackSuit çetelerinin benzer taktikler kullandığını belirtti. Bu saldırılar, dünya genelinde 350’yi aşkın organizasyonu etkilemiş ve fidye talepleri 275 milyon doları aşmıştır.
2024’teki ortak bir bildiri, Royal ransomware’ın BlackSuit olarak yeniden markalandığını ve çetenin o zamandan itibaren 500 milyon dolardan fazla fidye talep ettiğini doğruladı. Bu değişim, siber suç dünyasında büyük yankı uyandırdı.
Yeni Tehdit: Chaos Ransomware
BlackSuit’ın altyapısının çökertilmesinin ardından Cisco Talos tehdit istihbarat araştırma grubu, BlackSuit fidye yazılım çetesinin Chaos fidye yazılımı olarak yeniden markalaşabileceğine dair kanıtlar buldu. Yeni ransomware-as-a-service (RaaS) operasyonu, iki aşamalı zorbalık saldırılarına yönelmeye başladı. Bu saldırılarda, sesli sosyal mühendislik tekniklerini kullanarak sisteme erişim sağlıyorlar ve hem yerel hem de uzaktan depolama alanlarını hedef alan bir şifreleyici dağıtıyorlar.
Talos araştırmacıları, yeni Chaos fidye yazılımının, daha önceki Chaos üretici varyantlarıyla bağlantılı olmadığını ve çetenin aynı ismi kullanarak kafa karışıklığı yaratmaya çalıştığını belirtti. Araştırmacılar, bu yeni Chaos fidye yazılımı grubunun, BlackSuit (Royal) fidye yazılımının yeniden markalandığı ya da eski üyeleri tarafından işletildiği konusunda orta düzeyde bir güvenle değerlendirme yaptı. Bu değerlendirme, şifreleme komutları, fidye notunun teması ve yapısı gibi benzerliklere dayanmaktadır.
Siber Suçlarda Devam Eden Tehditler
Malware, son dönemde şifre depolarını hedef alan saldırılarda büyük bir artış gösterdi. Bu tür saldırılar, “Perfect Heist” senaryoları olarak adlandırılan gizli ve sinsi bir şekilde gerçekleştirilmektedir. Hedef alınan kritik sistemlerin infilak etmesiyle birlikte, saldırganlar, hedeflerine ulaşmak için yeni yöntemler geliştirmektedir. MITRE ATT&CK teknikleri de bu saldırıların arkasındaki en yaygın yöntemleri tespit etmeye yardımcı olmaktadır.
Sonuç olarak, BlackSuit ve Royal çetelerinin diğer siber suç gruplarıyla işbirliği içinde gerçekleştirdiği saldırılar, siber güvenlik alanında büyük tehlike oluşturmaktadır. 370 milyon dolardan fazla fidye talep eden bu çetelerin yok edilmesi, hukuki otoritelerin etkili bir şekilde hareket edebileceğini göstermektedir. Ancak, siber suçların yeniden markalanarak devam etmesi, siber güvenlik uzmanlarının dikkatini her zaman canlı tutmaları gerektiğini ortaya koymaktadır.
