Matveev'in Fidye Yazılımı İmparatorluğunun Perde Arkası: Taktikler ve Ekip
Siber güvenlik araştırmacıları, bu yılın başlarında ABD hükümeti tarafından dünya çapında binlerce saldırının başlatılmasındaki rolü nedeniyle suçlanan bir Rus vatandaşı olan Mikhail Pavlovich Matveev liderliğindeki fidye yazılımı operasyonunun iç işleyişine ışık tuttu.
Saint Petersburg'da ikamet eden ve Wazawaka, m1x, Boriselcin, Uhodiransomwar, Orange ve waza takma adlarıyla bilinen Matveev'in, en az Haziran 2020'den bu yana LockBit, Babuk ve Hive fidye yazılımı varyantlarının geliştirilmesinde ve konuşlandırılmasında çok önemli bir rol oynadığı iddia ediliyor.
İsviçreli siber güvenlik firması PRODAFT, paylaşılan kapsamlı bir analizde, "Wazawaka ve ekip üyeleri, fidye ödemeleri için doyumsuz bir açgözlülük sergiliyor ve siber operasyonlarında etik değerleri önemli ölçüde göz ardı ediyor" dedi.
"Hassas dosyaları sızdırma tehditleri yoluyla gözdağı vermeyi, dürüst olmayan uygulamalarda bulunmayı ve kurban fidye ödemesine uyduktan sonra bile dosyaları saklamaya devam etmeyi içeren taktikler kullanarak, geleneksel fidye yazılımı gruplarının uygulamalarında yaygın olan etik boşluğu örneklemektedirler."
PRODAFT'ın bulguları, Nisan ve Aralık 2023 arasında, farklı fidye yazılımı varyantlarına bağlı çeşitli tehdit aktörleri arasındaki binlerce iletişim günlüğünün ele geçirilmesiyle derlenen verilerin sonucudur.
Matawveev'in saldırıları gerçekleştirmek için altı penetrasyon test uzmanından oluşan bir ekibe (777, bobr.kurwa, krbtgt, shokoladniy_zayac, WhyNot ve dushnila) liderlik ettiği söyleniyor. Grup, üyeler arasında daha iyi işbirliğini teşvik eden düz bir hiyerarşiye sahiptir.
PRODAFT, "Her birey, yeni senaryolara ve durumlara uyum sağlamada dikkate değer bir esneklik düzeyi sergileyerek, gerektiğinde kaynaklara ve uzmanlığa katkıda bulunuyor" dedi.
Matveev, Conti, LockBit, Hive, Trigona ve NoEscape'in bir iştiraki olarak çalışmanın yanı sıra, 2022'nin başlarına kadar Babuk fidye yazılımı grubunda yönetim düzeyinde bir role sahipti ve muhtemelen Babuk ve Monti'nin arkasındaki geliştirici olan Dudka adlı başka bir aktörle "karmaşık bir ilişki" olarak tanımlanan şeyi paylaştı.
Matveev ve ekibi tarafından gerçekleştirilen saldırılar, kurbanlar hakkında bilgi toplamak için Zoominfo ve Censys, Shodan ve FOFA gibi hizmetlerin kullanılmasını, bilinen güvenlik kusurlarına ve bir dayanak elde etmek için ilk erişim aracılarına güvenmenin yanı sıra, VPN hesaplarını kaba kuvvetle zorlamak, ayrıcalıkları yükseltmek ve kampanyalarını kolaylaştırmak için özel ve kullanıma hazır araçların bir karışımını kullanmayı içerir.
Şirket, "İlk erişimin elde edilmesinin ardından, Wazawaka ve ekibi, tercih ettikleri Uzaktan İzleme ve Yönetim (RMM) aracını yürütmek için öncelikle PowerShell komutlarını kullanıyor" dedi. "Belirgin bir şekilde, MeshCentral, ekibin çeşitli işlemler için tercih ettikleri açık kaynaklı yazılım olarak sıklıkla kullanılan benzersiz araç seti olarak öne çıkıyor."
PRODAFT'ın analizi, Matveev ile 2014 yılında dağıtılan GameOver Zeus botnet'in geliştirilmesiyle bağlantılı bir Rus vatandaşı olan Evgeniy Mikhailovich Bogachev ile Evil Corp arasındaki bağlantıları daha da ortaya çıkardı.
Babuk fidye yazılımı operasyonlarının 2021'de PayloadBIN olarak yeniden markalaştığını ve ikincisinin Aralık 2019'da ABD tarafından kendisine uygulanan yaptırımları aşmak için bariz bir çabayla Evil Corp'a bağlı olduğunu belirtmekte fayda var.
PRODAFT, "Bu teknik ilişki, Wazawaka ve kötü şöhretli siber suçlu Bogachev arasındaki bilinen ilişkiyle birleştiğinde, Wazawaka, Bogachev ve Evil Corp'un operasyonları arasında daha derin bağlantılar olduğunu gösteriyor" dedi.
Benzer Haberler
Dört REvil Ransomware Üyesi Nadir Rus Siber Suç Mahkumiyetlerinde Mahkum Edildi
Yeni Qilin.B Ransomware Varyantı, Geliştirilmiş Şifreleme ve Kaçınma Taktikleriyle Ortaya Çıkıyor
Yeni Grandoreiro Bankacılık Kötü Amaçlı Yazılım Varyantları, Tespit Edilmekten Kaçınmak İçin Gelişmiş Taktiklerle Ortaya Çıkıyor
ABD, iki Sudanlı kardeşi 35.000 DDoS saldırısı için suçladı
Yeni Kötü Amaçlı Yazılım Kampanyası, DarkVision RAT Sunmak için PureCrypter Loader'ı Kullanıyor
FBI, Yaygın Kripto Piyasası Manipülasyonunu Ortaya Çıkarmak İçin Sahte Kripto Para Birimi Oluşturuyor
OpenAI, Siber Suç ve Dezenformasyon için Yapay Zekayı Kullanan 20 Küresel Kötü Amaçlı Kampanyayı Engelliyor
Oyuncular, sahte hile komut dosyası motorları aracılığıyla Lua tabanlı kötü amaçlı yazılımları indirmeleri için kandırıldı