Siber Muhbir

Danışmanlık, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Federal Soruşturma Bürosu (FBI) ve Çok Eyaletli Bilgi Paylaşımı ve Analiz Merkezi'nin (MS-ISAC) izniyle geliyor.

Ajanslar, "Hizmet olarak fidye yazılımı (RaaS) modeli olarak gözlemlenen Rhysida aktörleri, eğitim, üretim, bilgi teknolojisi ve devlet sektörlerindeki kuruluşları tehlikeye attı ve ödenen herhangi bir fidye, grup ve bağlı kuruluşlar arasında bölündü" dedi.

"Rhysida aktörleri, bir ağ içinde ilk erişim ve kalıcılık elde etmek için sanal özel ağlar (VPN'ler), Zerologon güvenlik açığı (CVE-2020-1472) ve kimlik avı kampanyaları gibi dışarıya dönük uzak hizmetlerden yararlanıyor."

İlk olarak Mayıs 2023'te tespit edilen Rhysida, kurban verilerinin şifresini çözmek için fidye ödemesi talep ederek ve fidye ödenmediği takdirde sızdırılan verileri yayınlamakla tehdit ederek, zaman içinde test edilmiş çifte gasp taktiğini kullanıyor.

Ayrıca, benzer hedefleme kalıpları ve NTDSUtil'in yanı sıra yalnızca ikincisi tarafından kullanılan PortStarter'ın kullanımı nedeniyle Vice Society (diğer adıyla Storm-0832 veya Vanilla Tempest) olarak bilinen başka bir fidye yazılımı ekibiyle örtüşmeleri paylaştığı söyleniyor.

Malwarebytes tarafından derlenen istatistiklere göre Rhysida, Ekim 2023 ayı için beş kurban talep ederek LockBit (64), NoEscape (40), PLAY (36), ALPHV/BlackCat (29) ve 8BASE'in (21) çok gerisinde kaldı.

Ajanslar, grubu hedefleri ihlal etmek için fırsatçı saldırılarda bulunmak ve yanal hareketi kolaylaştırmak ve VPN erişimi sağlamak için karada yaşama (LotL) tekniklerinden yararlanmak olarak nitelendirdi.

Bunu yaparken fikir, meşru Windows sistemleri ve ağ etkinlikleriyle harmanlanarak algılamadan kaçınmaktır.

Vice Society'nin Rhysida'ya dönüşü, Sophos tarafından geçen hafta başlarında yayınlanan ve aynı tehdit aktörünün Rhysida'yı dağıtmaya geçtiği Haziran 2023'e kadar Vice Society'yi kullandığını gözlemlediğini söyleyen yeni araştırmanın ardından desteklendi.

Siber güvenlik şirketi, kümeyi TAC5279 adı altında takip ediyor.

Sophos araştırmacıları Colin Cowie ve Morgan Demboski, "Özellikle, fidye yazılımı grubunun veri sızıntısı sitesine göre, Vice Society, Rhysida'nın sitesinde kurbanları bildirmeye başladığı Temmuz 2023'ten bu yana bir kurban yayınlamadı" dedi.

Gelişme, BlackCat fidye yazılımı Çetesi'nin eSentire'a göre Nitrojen kötü amaçlı yazılımıyla bağlanmış Google reklamlarını kullanarak şirketlere ve kamu kurumlarına saldırmasıyla ortaya çıkıyor.

Kanadalı siber güvenlik şirketi, "Bu bağlı kuruluş, iş profesyonellerini saldırganların kontrolündeki web sitelerine çekmek için Advanced IP Scanner, Slack, WinSCP ve Cisco AnyConnect gibi popüler yazılımları tanıtan Google reklamlarını yayınlıyor" dedi.

Fidye yazılımı da dahil olmak üzere güvenliği ihlal edilmiş bir ortama sonraki aşama yüklerini teslim edebilen bir ilk erişim kötü amaçlı yazılımı olan Nitrogen ile donatılmış olarak gelen sahte yükleyiciler.

eSentire, "Tarayıcı tabanlı saldırılardan yararlanan fidye yazılımıyla ilişkili ilk erişim kötü amaçlı yazılımlarının bilinen örnekleri arasında GootLoader, SocGholish, BATLOADER ve şimdi de Nitrogen yer alıyor" dedi. "İlginç bir şekilde, ALPHV, bu tarayıcı tabanlı ilk erişim kötü amaçlı yazılım parçalarından en az ikisi için bir oyun sonu olarak gözlemlendi: GootLoader ve Nitrogen."

Fidye yazılımı ortamının sürekli gelişen doğası, WithSecure'a göre şu anda aktif olan 60 fidye yazılımı grubundan 29'unun, kısmen Babuk, Conti ve LockBit'in yıllar içindeki kaynak kodu sızıntıları nedeniyle bu yıl faaliyete başlamasıyla daha da kanıtlanıyor.

WithSecure, The Hacker News ile paylaşılan bir raporda, "Veri sızıntıları, yaşlı grupların gençleri çapraz tozlaştırmasına yol açan tek şey değil" dedi.

"Fidye yazılımı çetelerinin tıpkı bir BT şirketi gibi personeli var. Ve bir BT şirketi gibi, insanlar bazen iş değiştirir ve benzersiz becerilerini ve bilgilerini yanlarında getirirler. Bununla birlikte, yasal BT şirketlerinin aksine, bir siber suçlunun bir fidye yazılımı operasyonundan özel kaynakları (kod veya araçlar gibi) alıp başka bir fidye yazılımı operasyonunda kullanmasını engelleyen hiçbir şey yoktur. Hırsızlar arasında onur yoktur."