BlackCat Geri Döndü: Fidye Yazılımı Çetesi Web Sitesini "Ele Geçirdi", Hedeflerde Sınır Yok Sözü Verdi
BlackCat/Alphv fidye yazılımı grubu, web sitesine el konulması ve bir şifre çözme aracıyla sonuçlanan hükümet operasyonuyla uğraşıyor.
Alphv olarak da bilinen BlackCat fidye yazılımı grubu, web sitesine el koymaları ve bir şifre çözme aracının piyasaya sürülmesini içeren yakın zamanda duyurulan kolluk kuvveti operasyonuna yanıt olarak harekete geçmeye başladı.
BlackCat'in Tor tabanlı sızıntı web sitesine 7 Aralık'ta erişilemez hale geldi ve siber suç operasyonunun kolluk kuvvetleri tarafından hedef alınmış olabileceğine dair teorilere yol açtı.
Bilgisayar korsanları başlangıçta kesintiyi bir donanım arızasının sonucu olarak nitelendirirken, ABD hükümeti Salı günü yaptığı açıklamada, BlackCat tarafından kullanılan birkaç web sitesinin ele geçirilmesinden birkaç müttefik tarafından desteklenen bir kolluk kuvveti operasyonunun sorumlu olduğunu doğruladı.
Adalet Bakanlığı, fidye yazılımı grubunun 1.000'den fazla varlığı hedef aldığını, ancak son çabalarıyla 500'den fazla kurbanın fidye ödemeden sistemlerini geri yüklemelerine yardımcı olabilecek bir şifre çözme aracı oluşturmayı başardığını söyledi.
Engelleme çabaları gün ışığına çıktıktan ve BlackCat'in Tor tabanlı ana web sitesinde ele geçirildiğini duyuran bir görüntü yayınlandıktan sonra, bilgisayar korsanları görünüşe göre sitenin kontrolünü yeniden ele geçirdi ve sitenin "ele geçirilmediğini" söyleyen bir mesaj yayınladı.
Siber suçlular, şu anda iddia edilen altı kurbanın isimlerini gösteren yeni bir sızıntı web sitesi kurduklarını duyurdular. Ayrıca, misilleme olarak attıkları adımları açıklayan Rusça bir mesaj yayınladılar.
Grup, yalnızca Rusya ve bazı komşularını içeren BDT ülkelerinin artık yasak olduğunu ve bağlı kuruluşların nükleer santraller ve hastaneler de dahil olmak üzere başka herhangi bir ülkedeki herhangi bir organizasyonu hedef almasına izin verildiğini söyledi. Grup daha önce hastaneleri ve acil servisleri hedef almama sözü vermişti.
Siber suçlular ayrıca, yaklaşık 400 şirket tarafından kullanılabilecek son bir buçuk aya ait şifre çözme anahtarlarının elde edildiğini, ancak 3.000'den fazla kurbanın dosyaları asla kurtaramayacağını söyleyerek kolluk kuvvetlerinin etkisini küçümsemeye çalıştı. Ayrıca, kurbanlara fidye miktarında herhangi bir indirim teklif etmeyi bırakacaklar.
Recorded Future'ın fidye yazılımı uzmanı Allan Liska, bilgisayar korsanlarının aslında web sitelerini "ele geçirmediğini" vurguladı. Bunun yerine, .onion adresini yeni bir sunucuya atamalarını sağlayan bir imzalama anahtarına sahiptirler. Hem siber suçlular hem de FBI anahtara sahip gibi görünüyor ve son 24 saat içinde, daha önce BlackCat tarafından kurbanları adlandırmak ve utandırmak için kullanılan etki alanında görüntülenenleri sırayla kontrol ettiler.
Bilgisayar korsanları, Adalet Bakanlığı tarafından kamuoyuna açıklanan bilgilere dayanarak, yetkililerin ya barındırma sağlayıcısını hackleyerek ya da yardım etmesini sağlayarak veri merkezlerinden yalnızca birine erişim sağladığını iddia etti.
Bir arama emri, müfettişlerin - bir BlackCat bağlı kuruluş pozisyonu için bir reklama başvuran bir muhbirin yardımıyla - bağlı kuruluşlar ve geliştiriciler tarafından saldırıları iletmek ve yönetmek için kullanılan panellere erişim sağlayan kimlik bilgilerini elde ettiğini gösteriyor.
Operasyonun bir parçası olarak, kolluk kuvvetleri, kurban iletişim sitelerine, çalınan kurban verilerini barındıran sitelere ve bağlı kuruluş panellerine erişim sağlayan 946 Tor genel/özel anahtar çifti elde etti.
Kolluk kuvvetlerinin bağlı kuruluş panellerine eriştiği haberi, BlackCat bağlı kuruluşlarının çoğunu uzaklaştırabilir. Siber suçlular, bir göçü önlemek amacıyla, bağlı kuruluşların aldıkları fidye ödemelerinin %90'ını ellerinde tutmalarına izin verileceğini ve 'VIP' bağlı kuruluşlara ayrı, izole veri merkezlerinde özel bir program sunulacağını duyurdu.
Google Cloud Mandiant Consulting CTO'su Charles Carmakal, "Bazı bağlı kuruluşların izinsiz girişlerine normal şekilde devam etmesini bekliyoruz, ancak muhtemelen şifreleme, şantaj ve kurban utandırma desteği için diğer RaaS programlarıyla ilişkiler kurmaya çalışacaklar" dedi.
Güvenlik uzmanı Will Thomas ayrıca bağlı kuruluşların LockBit ve diğer hizmet olarak fidye yazılımı operasyonlarına geçeceğine inanıyor ve BlackCat'in muhtemelen ara vereceğini ve yeniden markalaşacağını tahmin ediyor.
Gerçekten de LockBit, BlackCat fidye yazılımı geliştiricilerini kaynak kodu üzerinde işbirliği yapmaya bile davet etti.
ABD hükümeti, BlackCat operatörleri veya bağlı kuruluşları hakkında bilgi için 10 milyon dolara kadar ödül teklif ediyor.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı