Siber Muhbir

Mahkeme belgeleri, ABD Federal Soruşturma Bürosu'nun (FBI), BlackCat grubunun bir üyesi olarak hareket etmek ve çetenin kurbanlarını yönetmek için kullanılan bir web paneline erişim sağlamak için gizli bir insan kaynağının (CHS) yardımına başvurduğunu gösteriyor.

El koyma çabası, ABD, Almanya, Danimarka, Avustralya, Birleşik Krallık, İspanya, İsviçre ve Avusturya'dan çok sayıda kolluk kuvvetinin işbirliğini ve yardımını içeriyordu.

ALPHV, GOLD BLAZER ve Noberus olarak da adlandırılan BlackCat, ilk olarak Aralık 2021'de ortaya çıktı ve o zamandan beri LockBit'ten sonra dünyanın en üretken ikinci hizmet olarak fidye yazılımı çeşidi olmaya devam etti. Aynı zamanda, vahşi doğada tespit edilen ilk Rust dili tabanlı fidye yazılımı türüdür.

Gelişme, dark web sızıntı portalının 7 Aralık'ta çevrimdışı hale gelmesinin ardından söylentilere göre bir kolluk kuvveti eylemine ilişkin spekülasyonlara son veriyor, ancak beş gün sonra tek bir kurbanla yeniden ortaya çıktı.

FBI, şifre çözücüyü uygulamak için ABD'de düzinelerce kurbanla birlikte çalıştığını, onları yaklaşık 68 milyon dolarlık fidye taleplerinden kurtardığını ve ayrıca fidye yazılımının bilgisayar ağı hakkında bilgi edindiğini ve grup tarafından işletilen TOR sitelerini barındırmak ve bunları sökmek için kullanılan 946 genel / özel anahtar çiftini toplamasına izin verdiğini söyledi.

Burada dikkat edilmesi gereken önemli bir nokta, TOR anonimleştirme ağında .onion URL'si ile gizli bir hizmet oluşturmanın, URL'ye erişmek ve kontrol etmek için kullanılabilecek özel ve genel bir anahtardan (diğer adıyla tanımlayıcı) oluşan benzersiz bir anahtar çifti oluşturmasıdır.

Bu nedenle, anahtar çiftine sahip olan bir aktör, .onion sitesi için trafiği kendi kontrolleri altındaki farklı bir sunucuya yönlendiren yeni bir rota yayınlayabilir.

BlackCat, diğer birçok fidye yazılımı çetesi gibi, yükü kiralayan ve yüksek değerli kurban kurumları belirlemekten ve onlara saldırmaktan sorumlu olan çekirdek geliştiricilerin ve bağlı kuruluşların bir karışımını içeren bir hizmet olarak fidye yazılımı modeli kullanır.

Ayrıca, şifrelemeden önce hassas verileri sızdırarak kurbanlara ödeme yapmaları için baskı yapmak için çifte gasp planını kullanır.

Adalet Bakanlığı, "BlackCat iştirakleri, kurban sistemine ilk erişimi elde etmek için güvenliği ihlal edilmiş kullanıcı kimlik bilgilerinden yararlanmak da dahil olmak üzere bir dizi yöntemle kurban ağlarına ilk erişim elde etti" dedi.

Toplamda, finansal olarak motive olmuş aktörün, Eylül 2023 itibariyle yaklaşık 300 milyon dolarlık yasa dışı gelir elde etmek için dünya çapında 1.000'den fazla kurbanın ağlarını tehlikeye attığı tahmin ediliyor.

Bir şey olursa, yayından kaldırmanın, yerinden edilmiş bağlı kuruluşları aktif olarak işe alarak durumdan zaten yararlanan ve kurban müzakerelerine devam etmek için veri sızıntısı sitesini sunan LockBit gibi rakip gruplar için kılık değiştirmiş bir nimet olduğu kanıtlandı.

Kötü amaçlı yazılım araştırma grubu vx-underground'a konuşan bir BlackCat sözcüsü, kolluk kuvvetlerinin eski blog sitesi için yalnızca "aptal eski bir anahtara" erişimi olduğunu iddia ederek "sunucularını ve bloglarını taşıdıklarını" söyledi.

Tehdit aktörünün en yeni sızıntı web sitesi, bu yazının yazıldığı sırada çalışır durumda kalmaya devam ediyor. Secureworks, "13 Aralık'ta grup, yeni sızıntı sitesinin ilk kurbanını yayınladı" dedi. "19 Aralık itibariyle, beş kurban yeni siteye gönderildi ve bu da grubun bir miktar operasyonel kapasiteyi koruduğunu gösterdi."

Bununla birlikte, yayından kaldırıldıktan saatler sonra, BlackCat grubu, gizli hizmeti TOR ağında barındırmak ve kendi el koyma bildirimini yayınlamak için gerekli olan aynı şifreleme anahtarlarını kullanarak ana sızıntı sitesini "ele geçirmek" için adımlar attı.

Ayrıca, bağlı kuruluşlara, misilleme önlemi olarak hastaneler ve nükleer santraller gibi kritik altyapı kuruluşlarının yanı sıra Bağımsız Devletler Topluluğu (BDT) içindekiler hariç diğer hedeflere sızmaları için yeşil ışık yaktı. FBI o zamandan beri web sitesini yeniden ele geçirdi.

Bir LockBit yöneticisi, vx-underground ile yaptığı bir konuşmada durumu "talihsiz" olarak nitelendirdi ve altyapılarındaki güvenlik boşluklarının "işim" için birincil tehdit olduğunu söyledi.