ShadowSyndicate: 7 Fidye Yazılımı Ailesiyle Bağlantılı Yeni Bir Siber Suç Grubu
Siber güvenlik uzmanları, ShadowSyndicate (eski adıyla Infra Storm) olarak bilinen ve geçtiğimiz yıl yedi farklı fidye yazılımı ailesinden yararlanmış olabilecek yeni bir siber suç grubuna ışık tuttu.
Siber güvenlik uzmanları, ShadowSyndicate (eski adıyla Infra Storm) olarak bilinen ve geçen yıl yedi farklı fidye yazılımı ailesinden yararlanmış olabilecek yeni bir siber suç grubuna ışık tuttu.
Group-IB ve Bridewell ortak bir teknik raporda, "ShadowSyndicate, çeşitli fidye yazılımı grupları ve fidye yazılımı programlarının bağlı kuruluşlarıyla çalışan bir tehdit aktörüdür" dedi.
16 Temmuz 2022'den beri aktif olan aktör, Quantum, Nokoyawa, BlackCat, Royal, Cl0p, Cactus ve Play türleriyle ilgili fidye yazılımı etkinlikleriyle bağlantı kurarken, aynı zamanda Cobalt Strike ve Sliver gibi kullanıma hazır sömürü sonrası araçların yanı sıra IcedID ve Matanbuchus gibi yükleyicileri de kullanıyor.
Bulgular, 52'si Cobalt Strike için komuta ve kontrol (C2) olarak kullanılan 85 sunucuda keşfedilen farklı bir SSH parmak izine (1ca4cbac895fc3bd12417b77fc6ed31d) dayanmaktadır. Bu sunucular arasında sekiz farklı Cobalt Strike lisans anahtarı (veya filigranı) vardır.
Sunucuların çoğunluğu (23) Panama'da bulunurken, onu Kıbrıs (11), Rusya (9), Seyşeller (8), Kosta Rika (7), Çekya (7), Belize (6), Bulgaristan (3), Honduras (3) ve Hollanda (3) izliyor.
Group-IB, ShadowSyndicate'i TrickBot, Ryuk/Conti, FIN7 ve TrueBot kötü amaçlı yazılım işlemlerine bağlayan ek altyapı çakışmaları da bulduğunu söyledi.
Şirketler, "Cl0p fidye yazılımı bağlı kuruluşlarına bağladığımız 149 IP adresinden, Ağustos 2022'den bu yana 4 farklı kümeden 12 IP adresinin sahipliğini ShadowSyndicate'e değiştirdiğini gördük, bu da bu gruplar arasında bir miktar potansiyel altyapı paylaşımı olduğunu gösteriyor" dedi.
Açıklama, Alman kolluk kuvvetlerinin, bazıları bu Mart ayının başlarında hedef alınan ve Almanya ve Ukrayna'da iki şüpheliye karşı arama emri çıkaran DoppelPaymer fidye yazılımı grubuyla ilişkili aktörlere yönelik ikinci bir hedefli saldırıyı duyurmasının ardından geldi.
44 yaşındaki Ukraynalı ve 45 yaşındaki Alman vatandaşı olan kişilerin, ağ içinde kilit sorumluluklara sahip oldukları ve fidye yazılımı saldırılarından yasa dışı gelirler elde ettikleri iddia ediliyor. İsimleri açıklanmadı.
Gelişme aynı zamanda ABD Federal Soruşturma Bürosu (FBI) ve Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından 2021'in ortalarından bu yana çok çeşitli kritik altyapı sektörlerini hedef alan Snatch (eski adıyla Team Truniger) adlı çifte gasp aktörü hakkında yayınlanan ortak bir tavsiyeyi takip ediyor.
Ajanslar, "Snatch tehdit aktörleri, bir kurbanın ağına erişmek ve kalıcılığı sürdürmek için birkaç farklı yöntem kullanıyor" dedi ve tutarlı taktik evrimlerini ve kötü amaçlı yazılımın Windows sistemlerini Güvenli Mod'da yeniden başlatarak tespit edilmekten kaçınma yeteneğini dile getirdi.
"Snatch bağlı kuruluşları, öncelikle kaba kuvvet uygulamak ve kurbanların ağlarına yönetici kimlik bilgileri elde etmek için Uzak Masaüstü Protokolü'ndeki (RDP) zayıflıklardan yararlanmaya güveniyor. Bazı durumlarda, Snatch bağlı kuruluşları, suç forumlarından/pazar yerlerinden güvenliği ihlal edilmiş kimlik bilgilerini aradı."
ABD İç Güvenlik Bakanlığı (DHS), en son İç Tehdit Değerlendirmesi raporunda, fidye yazılımı gruplarının kurbanları finansal olarak şantaj yapma yeteneklerini geliştirmek için sürekli olarak yeni yöntemler geliştirdiğini ve 2023'ü 2021'den sonra en karlı ikinci yıl haline getirdiğini kaydetti.
DHS raporunda, "Bu gruplar, hedeflerinin verilerini şifreledikleri ve sızdırdıkları ve genellikle çalınan verileri kamuya açıklamak, DDoS saldırıları kullanmak veya kurbanı ödemeye zorlamak için kurbanın müşterilerini taciz etmekle tehdit ettikleri çok düzeyli gasp kullanımlarını artırdı" dedi.
Akira buna bir örnektir. Fidye yazılımı, Mart 2023'te Windows tabanlı bir tehdit olarak ortaya çıktığından beri erişimini Linux sunucularını ve VMWare ESXi sanal makinelerini içerecek şekilde genişletti ve trendlere hızla uyum sağlama yeteneğinin altını çizdi. Eylül ortası itibariyle, grup ABD ve İngiltere'de 110 kurbanı başarıyla vurdu.
Fidye yazılımı saldırılarının yeniden canlanmasına, ABD'de yılın ilk yarısında genel talep sıklığının %12 artması ve mağdurların 2022'nin ikinci yarısına göre %61'lik bir artışla ortalama 365.000 dolardan fazla kayıp miktarı bildirmesiyle siber sigorta taleplerinde de bir artış eşlik etti.
Siber sigorta şirketi Coalition, "100 milyon dolardan fazla geliri olan işletmeler, sıklıkta en büyük artışı gördü ve diğer gelir bantları daha istikrarlı olsa da, taleplerde de artışlarla karşı karşıya kaldılar" dedi.
Tehdit ortamındaki sürekli akış, son aylarda en üretken ve evrimsel fidye yazılımı ailelerinden bazıları olmaya devam eden ve öncelikle bankacılık, perakende ve ulaşım sektörlerini kapsayan küçük ve büyük işletmeleri hedef alan BlackCat, Cl0p ve LockBit tarafından en iyi şekilde örneklenmiştir. Aktif RaaS ve RaaS ile ilgili grupların sayısı 2023'te %11,3 artarak 39'dan 45'e yükseldi.
Geçen hafta eSentire tarafından yayınlanan bir raporda, e-suç grubunun, fidye yazılımını BT ortamına yaymak veya alt müşterilerine göndermek için kurban şirketlerin internete maruz kalan uzaktan izleme ve yönetim (RMM) araçlarından (veya kendilerinden) yararlandığının gözlemlendiği iki LockBit saldırısı ayrıntılı olarak açıklandı.
Kanadalı şirket, bu tür arazi dışı yaşama (LotL) tekniklerine güvenmenin, BT yönetim araçlarının kötü niyetli ve meşru kullanımını harmanlayarak ilişkilendirme çabalarını tespit etmekten kaçınma ve kafa karıştırma girişimi olduğunu söyledi.
Bu ay Sophos tarafından vurgulanan bir başka BlackCat saldırısı örneğinde, saldırganların isimsiz bir müşterinin Azure portalına erişim sağladıktan sonra Microsoft Azure Depolama hesaplarını şifrelediği görüldü.
Şirket, "İzinsiz giriş sırasında, tehdit aktörlerinin çeşitli RMM araçlarından (AnyDesk, Splashtop ve Atera) yararlandığı ve tarayıcı uzantısı aracılığıyla hedefin yüklü LastPass kasasına erişmek için Chrome'u kullandıkları gözlemlendi ve burada müşteriler tarafından Sophos ürünlerini yönetmek için kullanılan hedefin Sophos Central hesabına erişmek için OTP'yi elde ettiler" dedi.
"Saldırgan daha sonra güvenlik ilkelerini değiştirdi ve müşterinin sistemlerini ve uzak Azure Depolama hesaplarını .zk09cvt uzantılı fidye yazılımı aracılığıyla şifrelemeden önce Central'da Kurcalama Korumasını devre dışı bıraktı."
Tehdit ortamı, ortaya çıkan, geçici, gelişmekte olan ve yerleşik aktörlerden kaynaklanan bir karmaşaya tanık olmaya devam ederken, GuidePoint Security ve NCC Group'tan gelen yeni istatistikler, Ağustos 2023'te fidye yazılımı saldırılarında %>20'lik bir düşüş olduğunu ortaya koydu ve bunun başlıca nedeni, Cl0p'nin MOVEit Transfer uygulamasını toplu olarak istismar etmesinin sona yaklaşıyor olabilir.
Emsisoft'a göre, 26 Eylül 2023 itibarıyla MOVEit saldırısından etkilendiği bilinen kuruluşların sayısı 2.120'ye yükselirken, etkilenen kişi sayısı 62 milyonu aştı.
Fidye yazılımı devi Lockbit, Ağustos ayındaki 380 saldırının 124'ünden sorumlu oldu ve bir önceki ay 41 kurbandan aylık bazda önemli bir artışa işaret ediyor. BlackCat, Akira ve 8Base sırasıyla 39, 36 ve 34 saldırı ile ikinci, üçüncü ve dördüncü sırayı aldı. Buna karşılık Cl0p, Haziran'da 90 ve Temmuz'da 170 olan dört kurbanın verilerini yayınladı.
Benzer Haberler
Dört REvil Ransomware Üyesi Nadir Rus Siber Suç Mahkumiyetlerinde Mahkum Edildi
Yeni Qilin.B Ransomware Varyantı, Geliştirilmiş Şifreleme ve Kaçınma Taktikleriyle Ortaya Çıkıyor
Yeni Grandoreiro Bankacılık Kötü Amaçlı Yazılım Varyantları, Tespit Edilmekten Kaçınmak İçin Gelişmiş Taktiklerle Ortaya Çıkıyor
ABD, iki Sudanlı kardeşi 35.000 DDoS saldırısı için suçladı
Yeni Kötü Amaçlı Yazılım Kampanyası, DarkVision RAT Sunmak için PureCrypter Loader'ı Kullanıyor
FBI, Yaygın Kripto Piyasası Manipülasyonunu Ortaya Çıkarmak İçin Sahte Kripto Para Birimi Oluşturuyor
OpenAI, Siber Suç ve Dezenformasyon için Yapay Zekayı Kullanan 20 Küresel Kötü Amaçlı Kampanyayı Engelliyor
Oyuncular, sahte hile komut dosyası motorları aracılığıyla Lua tabanlı kötü amaçlı yazılımları indirmeleri için kandırıldı