Matveev'in Fidye Yazılımı İmparatorluğunun Perde Arkası: Taktikler ve Ekip

Saint Petersburg'da ikamet eden ve Wazawaka, m1x, Boriselcin, Uhodiransomwar, Orange ve waza takma adlarıyla bilinen Matveev'in, en az Haziran 2020'den bu yana LockBit, Babuk ve Hive fidye yazılımı varyantlarının geliştirilmesinde ve konuşlandırılmasında çok önemli bir rol oynadığı iddia ediliyor.

İsviçreli siber güvenlik firması PRODAFT, paylaşılan kapsamlı bir analizde, "Wazawaka ve ekip üyeleri, fidye ödemeleri için doyumsuz bir açgözlülük sergiliyor ve siber operasyonlarında etik değerleri önemli ölçüde göz ardı ediyor" dedi.

"Hassas dosyaları sızdırma tehditleri yoluyla gözdağı vermeyi, dürüst olmayan uygulamalarda bulunmayı ve kurban fidye ödemesine uyduktan sonra bile dosyaları saklamaya devam etmeyi içeren taktikler kullanarak, geleneksel fidye yazılımı gruplarının uygulamalarında yaygın olan etik boşluğu örneklemektedirler."

PRODAFT'ın bulguları, Nisan ve Aralık 2023 arasında, farklı fidye yazılımı varyantlarına bağlı çeşitli tehdit aktörleri arasındaki binlerce iletişim günlüğünün ele geçirilmesiyle derlenen verilerin sonucudur.

Matawveev'in saldırıları gerçekleştirmek için altı penetrasyon test uzmanından oluşan bir ekibe (777, bobr.kurwa, krbtgt, shokoladniy_zayac, WhyNot ve dushnila) liderlik ettiği söyleniyor. Grup, üyeler arasında daha iyi işbirliğini teşvik eden düz bir hiyerarşiye sahiptir.

PRODAFT, "Her birey, yeni senaryolara ve durumlara uyum sağlamada dikkate değer bir esneklik düzeyi sergileyerek, gerektiğinde kaynaklara ve uzmanlığa katkıda bulunuyor" dedi.

Matveev, Conti, LockBit, Hive, Trigona ve NoEscape'in bir iştiraki olarak çalışmanın yanı sıra, 2022'nin başlarına kadar Babuk fidye yazılımı grubunda yönetim düzeyinde bir role sahipti ve muhtemelen Babuk ve Monti'nin arkasındaki geliştirici olan Dudka adlı başka bir aktörle "karmaşık bir ilişki" olarak tanımlanan şeyi paylaştı.

Matveev ve ekibi tarafından gerçekleştirilen saldırılar, kurbanlar hakkında bilgi toplamak için Zoominfo ve Censys, Shodan ve FOFA gibi hizmetlerin kullanılmasını, bilinen güvenlik kusurlarına ve bir dayanak elde etmek için ilk erişim aracılarına güvenmenin yanı sıra, VPN hesaplarını kaba kuvvetle zorlamak, ayrıcalıkları yükseltmek ve kampanyalarını kolaylaştırmak için özel ve kullanıma hazır araçların bir karışımını kullanmayı içerir.

Şirket, "İlk erişimin elde edilmesinin ardından, Wazawaka ve ekibi, tercih ettikleri Uzaktan İzleme ve Yönetim (RMM) aracını yürütmek için öncelikle PowerShell komutlarını kullanıyor" dedi. "Belirgin bir şekilde, MeshCentral, ekibin çeşitli işlemler için tercih ettikleri açık kaynaklı yazılım olarak sıklıkla kullanılan benzersiz araç seti olarak öne çıkıyor."

PRODAFT'ın analizi, Matveev ile 2014 yılında dağıtılan GameOver Zeus botnet'in geliştirilmesiyle bağlantılı bir Rus vatandaşı olan Evgeniy Mikhailovich Bogachev ile Evil Corp arasındaki bağlantıları daha da ortaya çıkardı.

Babuk fidye yazılımı operasyonlarının 2021'de PayloadBIN olarak yeniden markalaştığını ve ikincisinin Aralık 2019'da ABD tarafından kendisine uygulanan yaptırımları aşmak için bariz bir çabayla Evil Corp'a bağlı olduğunu belirtmekte fayda var.

PRODAFT, "Bu teknik ilişki, Wazawaka ve kötü şöhretli siber suçlu Bogachev arasındaki bilinen ilişkiyle birleştiğinde, Wazawaka, Bogachev ve Evil Corp'un operasyonları arasında daha derin bağlantılar olduğunu gösteriyor" dedi.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği