Siber Muhbir

Bu amaçla, kötü şöhretli grup, veri sızıntısı portalını TOR ağındaki yeni bir .onion adresine taşıdı ve bu yazının yazıldığı sırada 12 yeni kurban listeledi.

LockBit'in arkasındaki yönetici, uzun bir takip mesajında, bazı web sitelerine büyük olasılıkla CVE-2023-3824 olarak izlenen kritik bir PHP kusurundan yararlanılarak el konulduğunu söyledi ve PHP'yi "kişisel ihmal ve sorumsuzluk" nedeniyle güncellemediklerini kabul etti.

"Bu CVE değil, PHP için 0 gün gibi başka bir şey olabileceğinin farkındayım, ancak %100 emin olamıyorum, çünkü sunucularımda yüklü olan sürümün zaten bilinen bir güvenlik açığına sahip olduğu biliniyordu, bu yüzden büyük olasılıkla kurbanların yönetici ve sohbet paneli sunucularına ve blog sunucusuna bu şekilde erişildi, " dediler.

Ayrıca, ABD Federal Soruşturma Bürosu'nun (FBI) Ocak ayında Fulton County'ye yapılan bir fidye yazılımı saldırısı nedeniyle altyapılarını "hacklediğini" ve "çalınan belgelerin birçok ilginç şey ve Donald Trump'ın yaklaşan ABD seçimlerini etkileyebilecek davalar içerdiğini" iddia ettiler.

".gov sektörüne" daha sık saldırma çağrısında bulunmanın yanı sıra, yetkililerin 1.000'den fazla şifre çözme anahtarı elde ettiği sunucunun, çoğu korunan ve 2019'dan bu yana üretilen toplam şifre çözücü sayısının yaklaşık yarısını oluşturan yaklaşık 20.000 şifre çözücü tuttuğunu belirttiler.

Grup ayrıca, 194 bağlı kuruluşun adlarının "forumlardaki gerçek takma adlarıyla ve hatta habercilerdeki takma adlarıyla hiçbir ilgisi olmadığını" da sözlerine ekledi.

Hepsi bu değil. Gönderi ayrıca, gerçek "Bassterlord"un tanımlanmadığını ve FBI eylemlerinin "bağlı kuruluş programımın itibarını yok etmeyi amaçladığını" iddia ederek kolluk kuvvetlerini itibarsızlaştırmaya çalıştı.

"İyileşmek neden 4 gün sürdü? Çünkü uyumsuzluk olduğu için PHP'nin en son sürümü için kaynak kodunu düzenlemek zorunda kaldım" dediler.

"Tembel olmayı bırakacağım ve kesinlikle her yapı lokerinin maksimum korumaya sahip olmasını sağlayacağım, şimdi otomatik deneme şifresi çözülmeyecek, tüm deneme şifreleri çözülecek ve şifre çözücülerin verilmesi yalnızca manuel modda yapılacak. Böylece olası bir sonraki saldırıda FBI, tek bir şifre çözücüyü ücretsiz olarak alamayacak."

Rusya Üç SugarLocker Üyesini Tutukladı

Gelişme, Rus kolluk kuvvetlerinin SugarLocker fidye yazılımı grubuyla bağlantılı olarak Aleksandr Nenadkevichite Ermakov (diğer adıyla blade_runner, GustaveDore veya JimJones) dahil olmak üzere üç kişiyi tutuklamasıyla geldi.

Rus siber güvenlik firması F.A.C.C.T., "Saldırganlar, açılış sayfalarının, mobil uygulamaların, komut dosyalarının, ayrıştırıcıların ve çevrimiçi mağazaların geliştirilmesi için hizmetler sunan meşru bir BT firması Shtazi-IT kisvesi altında çalıştı" dedi. "Şirket, yeni çalışanları işe almak için açıkça ilanlar yayınladı."

Operatörler ayrıca özel kötü amaçlı yazılımlar geliştirmek, çevrimiçi mağazalar için kimlik avı siteleri oluşturmak ve kullanıcı trafiğini Rusya ve Bağımsız Devletler Topluluğu (BDT) ülkelerinde popüler olan dolandırıcılık planlarına yönlendirmekle suçlanıyor.

SugarLocker ilk olarak 2021'in başlarında ortaya çıktı ve daha sonra hizmet olarak fidye yazılımı (RaaS) modeli altında sunulmaya başlandı ve kötü amaçlı yazılımlarını hedefleri ihlal etmek ve fidye yazılımı yükünü dağıtmak için bir ortaklık programı kapsamında diğer ortaklara kiraladı.

Fidye gelirlerinin yaklaşık dörtte üçü bağlı kuruluşlara gidiyor ve ödeme 90 milyon doları aşarsa bu rakam %5'a çıkıyor. Siber suç çetesinin Shtazi-IT ile bağlantıları daha önce geçen ay Intel 471 tarafından açıklanmıştı.

Ermakov'un tutuklanması, Avustralya, Birleşik Krallık ve ABD'nin sağlık sigortası sağlayıcısı Medibank'a yönelik 2022 fidye yazılımı saldırısındaki rolü nedeniyle kendisine mali yaptırımlar uygulamasının ardından geldiği için dikkate değer.

Ekim 2022'nin sonlarında gerçekleşen ve şu anda feshedilmiş olan REvil fidye yazılımı ekibine atfedilen fidye yazılımı saldırısı, mevcut ve eski müşterilerinin yaklaşık 9,7 milyonunun yetkisiz erişimine yol açtı.

Çalınan bilgiler arasında isimler, doğum tarihleri, Medicare numaraları ve akıl sağlığı, cinsel sağlık ve uyuşturucu kullanımına ilişkin kayıtlar dahil olmak üzere hassas tıbbi bilgiler yer aldı. Bu kayıtlardan bazıları karanlık ağa da ulaştı.

Ayrıca, haber ajansı TASS'ın 49 yaşındaki bir Rus vatandaşının, Vologda bölgesindeki 38 yerleşim yerini elektriksiz bırakan teknolojik kontrol sistemlerine siber saldırı gerçekleştirme suçlamasıyla yargılanacağını ortaya koyan bir raporunun ardından geldi.

Son Durum

LockBit, 29 Şubat 2024 itibariyle EquiLend ve Ernest Healthcare'i veri sızıntısı sitesinden kaldırdı ve siber suç grubunun siber suç topluluğu içindeki konumunu korumaya çalışıyor olabileceği olasılığını artırdı.

Güvenlik firması RedSense, sosyal medya platformu X'te paylaşılan bir gönderide, "'Yeni kurbanlarının' geri kalanının da sahte iddialar (yeni ihlaller için eski veriler) olduğundan %99 eminiz" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.