Black Basta olarak bilinen bir fidye yazılımı çetesinden bir yıldan fazla dahili sohbet günlükleri Çevrimiçi yayınlandı üyeleri arasındaki taktiklerine ve iç çatışmalarına benzeri görülmemiş bir görünürlük sağlayan bir sızıntıda.
18 Eylül 2023 ve 28 Eylül 2024 tarihleri arasında Matris Mesajlaşma Platformunda Rus dil sohbetleri, başlangıçta 11 Şubat 2025’te tutamaçtan geçen bir kişi tarafından sızdırıldı. Sömürücülergrup Rus bankalarını hedeflediği için verileri yayınladıklarını iddia etti. Sızıntının kimliği bir gizem olmaya devam ediyor.
Black Basta ilk olarak Nisan 2022’de gündeme geldi ve şu anda lambul bir şekilde yok olan Qakbot’u (aka QBOT) bir dağıtım aracı olarak kullanarak. Mayıs 2024’te ABD hükümeti tarafından yayınlanan bir danışmanlığa göre, Double Formroorment ekibinin Kuzey Amerika, Avrupa ve Avustralya’daki 500’den fazla özel endüstri ve kritik altyapı kuruluşunu hedeflediği tahmin ediliyor.
Eliptik ve Corvus sigortası başına, üretken fidye yazılımı grubunun 2023 yılı sonuna kadar 90’dan fazla kurbandan Bitcoin fidye ödemelerinde en az 107 milyon dolarlık bir netleştirdiği tahmin ediliyor.
İsviçre siber güvenlik şirketi ProDaft, intikamcı Mantis olarak da izlenen finansal olarak motive olmuş tehdit aktörünün, bazı operatörlerinin kurbanlarını çalışan bir şifreci sağlamadan fidye ödemeleri toplayarak kurbanları dolandırmasıyla “yılın başından beri çoğunlukla aktif olmayan” olduğunu söyledi.
Dahası, Rusya’ya bağlı siber suç sendikasının kilit üyelerinin gemiyi kaktüs (Mantis Nurtuting) ve Akira fidye yazılımı operasyonlarına atladığı söyleniyor.
“İç çatışma, QBOT dağıtmaktan sorumlu bir spam ağı işleten bilinen bir tehdit aktörü olan ‘Tramp’ (Larva-18) tarafından yönlendirildi.
Bazıları göze çarpan bakış açıları Yaklaşık 200.000 mesaj içeren sızıntı aşağıda listelenmiştir –
- LAPA, Black Basta’nın ana yöneticilerinden biridir ve idari görevlerde yer alır
- Cortes, Black Basta’nın Rus bankalarına yönelik saldırılarının ardından kendisini uzaklaştırmaya çalışan Qakbot Grubu ile ilişkilidir.
- YY, destek görevlerine katılan Black Basta’nın başka bir yöneticisidir
- Trump, GG ve AA isimlerine giren “grubun ana patronu” Oleg Nefedov’un takma adlarından biri
- Trump ve başka bir birey Bio, şimdi Dismanted Conti fidye yazılımı planında birlikte çalıştı
- Siyah Basta iştiraklerinden birinin 17 yaşında küçük olduğuna inanılıyor
- Black Basta, dağınık örümceğin başarısının ardından sosyal mühendisliği aktif olarak saldırılarına dahil etmeye başladı.
Qualys’e göre, Black Basta grubu, hedef ağlara ilk erişimi elde etmek için bilinen güvenlik açıklarından, yanlış yapılandırmalar ve yetersiz güvenlik kontrollerinden yararlanır. Tartışmalar, KOBİ yanlış yapılandırmalarının, maruz kalan RDP sunucularının ve zayıf kimlik doğrulama mekanizmalarının rutin olarak kullanıldığını, genellikle varsayılan VPN kimlik bilgilerine veya kaba çalıştıran çalıntı kimlik bilgilerine dayandığını göstermektedir.
 |
| Black Basta tarafından aktif olarak sömürülen en iyi 20 CVE |
Bir başka önemli saldırı vektörü, kötü amaçlı yükleri teslim etmek için kötü amaçlı yazılım damlalarının dağıtılmasını gerektirir. Tespitten kaçınmaya yönelik daha fazla girişimde, e-suç grubunun, yükleri barındırmak için transfer.sh, temp.sh ve send.vis.ee gibi meşru dosya paylaşım platformlarını kullandığı bulunmuştur.
Qualys Tehdit Araştırma Birimi (TRU) Ürün Yöneticisi Saeed Abbasi, “Fidye yazılımı grupları artık bir kuruluşun ağını ihlal ettikten sonra zamanını almıyor.” söz konusu. “Son zamanlarda Black Basta’dan sızan veriler, ilk erişimden ağ çapında uzlaşmaya geçtiklerini saatler içinde-bazen dakikalar içinde bile gösteriyor.”
Açıklama, Check Point’in Cyberint araştırma ekibinin CL0P fidye yazılım grubunun, CLEO yönetilen dosya aktarım yazılımını etkileyen yakın zamanda açıklanan bir güvenlik kusurunun (CVE-2024-50623) kullanılmasının ardından veri sızıntısı alanında ihlal edilen kuruluşları hedefleme kuruluşlarına devam ettiğini ortaya koymuştur.
“CL0P, bu şirketlere doğrudan iletişime geçiyor ve kurbanların iletişim başlatması için müzakereler ve e -posta adresleri için güvenli sohbet bağlantıları sağlıyor” söz konusu Geçen hafta yayınlanan bir güncellemede. Diyerek şöyle devam etti: “Grup, şirketler onları görmezden gelmeye devam ederse, tam isimlerinin 48 saat içinde açıklanacağı konusunda uyardı.”
Geliştirme ayrıca ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) tarafından, Çin’deler de dahil olmak üzere 70’den fazla ülkede organizasyonları hedefleyen hayalet aktörler tarafından düzenlenen bir veri açığı ve fidye yazılımı saldırıları hakkında yayınlanan bir danışmanlığı izlemektedir.
Grup, fidye yazılımı yürütülebilir yüklerini döndürdüğü, şifreli dosyalar için dosya uzantılarının değiştirilmesi ve fidye not metnini değiştirmesi, Cring, Crypt3R, Phantom, Strike, Hello, Wickrme, HSharada ve Rapture gibi diğer isimlerle çağrılan gruba liderlik etmesi gözlemlenmiştir.
Ajans, “2021’in başından itibaren hayalet aktörler, İnternet’e bakan hizmetleri yazılım ve ürün yazılımının modası geçmiş sürümlerini işleten kurbanlara saldırmaya başladı.” söz konusu. “Çin’de bulunan hayalet aktörler, finansal kazanç için bu yaygın saldırıları yürütüyor. Etkilenen mağdurlar arasında kritik altyapı, okullar ve üniversiteler, hükümet ağları, dini kurumlar, teknoloji ve imalat şirketleri ve çok sayıda küçük ve orta ölçekli işletme yer alıyor.”
Hayalet, Adobe ColdFusion’da çeşitli güvenlik açıklarını kullanarak internete dönük sistemlerden yararlanmak için halka açık kodu kullandığı bilinmektedir (CVE-2009-3960– CVE-2010-2861), Fortinet Fortios cihazları (CVE-2018-13379) ve Microsoft Exchange Server (CVE-2021-34473– CVE-2021-34523Ve CVE-2021-31207aka proxyshell).
Başarılı bir sömürü, daha sonra Cobalt Strike çerçevesini indirmek ve yürütmek için kullanılan bir web kabuğunun konuşlandırılması izler. Tehdit aktörleri, kimlik bilgisi hasat ve ayrıcalık artışı için Mimikatz ve Badpotato gibi çok çeşitli araçlar kullanılarak gözlemlenmiştir.
Cisa, “Hayalet aktörler, kurban ağındaki ek sistemlerde PowerShell komutlarını çalıştırmak için Yüksek Erişim ve Windows Management Enstrümantasyon Komut Satırı (WMIC) kullandı-genellikle ek kobalt grev işaret enfeksiyonları başlatmak amacıyla.” Dedi. Diyerek şöyle devam etti: “Yanal hareket girişimlerinin başarısız olduğu durumlarda, hayalet aktörlerin bir kurbana saldırıyı terk ettiği gözlendi.”
