Siber Muhbir

Check Point Research, paylaşılan yeni bir raporda, "Grup, kurbanları fidye ödemeye zorlamak için veri hırsızlığını şifrelemeyle birleştirerek çifte gasp taktikleri kullanıyor" dedi. "Özellikle, FunkSec alışılmadık derecede düşük, bazen 10.000 dolar kadar düşük fidyeler talep etti ve çalınan verileri üçüncü taraflara düşük fiyatlarla sattı."

FunkSec, fidye yazılımı operasyonlarını "merkezileştirmek" için Aralık 2024'te veri sızıntısı sitesini (DLS) başlattı, ihlal duyurularını, dağıtılmış hizmet reddi (DDoS) saldırıları yürütmek için özel bir aracı ve hizmet olarak fidye yazılımı (RaaS) modelinin bir parçası olarak ısmarlama bir fidye yazılımını vurguladı.

Kurbanların çoğunluğu ABD, Hindistan, İtalya, Brezilya, İsrail, İspanya ve Moğolistan'da bulunuyor. Check Point'in grubun faaliyetlerine ilişkin analizi, bunun, önceki hacktivistlerle ilgili sızıntılardan sızan bilgileri geri dönüştürerek kötü şöhret çekmek isteyen acemi aktörlerin muhtemel işi olabileceğini ortaya koydu.

Halcyon'a göre FunkSec, hem bir fidye yazılımı grubu hem de veri komisyoncusu olarak işlev görmesi ve çalınan verileri ilgilenen alıcılara 1.000 ila 5.000 dolar arasında satması nedeniyle dikkat çekiyor.

RaaS grubunun bazı üyelerinin hacktivist faaliyetlerde bulunduğu ve tıpkı ulus devlet aktörleri ve organize siber suçluların giderek daha fazla "taktiklerin, tekniklerin ve hatta hedeflerin rahatsız edici bir şekilde yakınlaşması" sergilediği gibi, hacktivizm ile siber suçlar arasındaki sınırların sürekli bulanıklaştığının altını çizdiği tespit edildi.

Ayrıca Hindistan ve ABD'yi hedef aldıklarını, kendilerini "Özgür Filistin" hareketiyle aynı hizaya getirdiklerini ve Ghost Algeria ve Cyb3r Fl00d gibi şu anda feshedilmiş hacktivist varlıklarla ilişki kurmaya çalıştıklarını iddia ediyorlar. FunkSec ile ilişkili önde gelen aktörlerden bazıları aşağıda listelenmiştir -

• Cezayir merkezli Scorpion (diğer adıyla DesertStorm) adlı şüpheli bir aktör, grubu Breached Forum gibi yeraltı forumlarında tanıttı.
• DesertStorm'un Breached Forum'dan yasaklanmasının ardından FunkSec'in reklamını yapan ana figür olarak ortaya çıkan El_farado
• XTN, henüz bilinmeyen bir "veri sıralama" hizmetinde yer alan olası bir ortak
• DesertStorm tarafından El_farado ile birlikte etiketlenen Blako
• DarkForums'ta FunkSec'e atfedilen sızıntıları iddia etmek için takma adı kullanılan bilinen bir Endonezyalı hacktivist olan Bjorka, ya gevşek bir bağlantıya ya da FunkSec'i taklit etme girişimlerine işaret ediyor

Grubun hacktivist faaliyetlerle de uğraşıyor olma olasılığı, DDoS saldırı araçlarının yanı sıra uzak masaüstü yönetimi (JQRAXY_HVNC) ve parola oluşturma (funkgenerate) ile ilgili olanların varlığıyla kanıtlanmıştır.

Check Point, "Şifreleyici de dahil olmak üzere grubun araçlarının geliştirilmesi muhtemelen yapay zeka destekliydi ve bu, yazarın bariz teknik uzmanlık eksikliğine rağmen hızlı yinelemelerine katkıda bulunmuş olabilir" dedi.

Fidye yazılımının FunkSec V1.5 adlı en son sürümü, Rust ile yazılmıştır ve eser Cezayir'den VirusTotal platformuna yüklenmiştir. Kötü amaçlı yazılımın eski sürümlerinin incelenmesi, tehdit aktörünün FunkLocker ve Ghost Algeria gibi referanslar nedeniyle Cezayir'den de olduğunu gösteriyor.

Fidye yazılımı ikili dosyası, tüm dizinler üzerinde yinelemeli olarak yinelenecek ve hedeflenen dosyaları şifreleyecek şekilde yapılandırılmıştır, ancak ayrıcalıkları yükseltmeden ve güvenlik denetimlerini devre dışı bırakmak, gölge kopya yedeklemelerini silmek ve sabit kodlanmış bir işlem ve hizmet listesini sonlandırmak için adımlar atmadan önce değil.

Check Point Research tehdit istihbaratı grup yöneticisi Sergey Shykevich yaptığı açıklamada, "2024, fidye yazılımı grupları için çok başarılı bir yıl olurken, buna paralel olarak küresel çatışmalar da farklı hacktivist grupların faaliyetlerini körükledi" dedi.

"Aralık ayında en aktif fidye yazılımı grubu olarak ortaya çıkan yeni bir grup olan FunkSec, hacktivizm ve siber suçlar arasındaki çizgileri bulanıklaştırıyor. Hem siyasi gündemler hem de finansal teşvikler tarafından yönlendirilen FunkSec, yapay zekadan yararlanıyor ve yeni bir fidye yazılımı markası oluşturmak için eski veri sızıntılarını yeniden kullanıyor, ancak faaliyetlerinin gerçek başarısı oldukça tartışmalı olmaya devam ediyor."

Gelişme, Forescout'un muhtemelen bir China Chopper web kabuğunu bırakmak için ilk giriş noktası olarak Oracle WebLogic Server'dan yararlanan ve daha sonra fidye yazılımının konuşlandırılmasına yol açan bir dizi istismar sonrası etkinliği gerçekleştirmek için kullanılan bir Hunters International saldırısını detaylandırmasıyla geldi.

Forescout, "Erişim sağladıktan sonra, saldırganlar ağın haritasını çıkarmak ve ayrıcalıkları artırmak için keşif ve yanal hareket gerçekleştirdiler" dedi. "Saldırganlar, yanal hareket için çeşitli ortak idari ve kırmızı ekip oluşturma araçları kullandılar."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.