Geçtiğimiz temmuz ayında, yeni fidye yazılım çetesi Blackmatter, çeşitli siber suç forumlarında reklamlara başlayarak, eleman alımı yaptıklarını ve REvil , DarkSide gibi ünlü grupların belli başlı özelliklerini bünyelerinde birleştirdiğini iddia etti.
adlı çete, hedeflerinde özellikle yıllık geliri 100 milyon dolardan fazla olan büyük şirketler olduğunu söylüyor. Grup sağlık, kritik altyapı, petrol ve gaz, savunma, kar amacı gütmeyen kuruluşlar ve devlet kuruluşları gibi bazı sektörlerin yasak bölge olduğunu ve buralara saldırı düzenlemeyeceklerini ifade ediyor.
Gruptan bir temsilci, Recorded Future adlı şirketin tehdit istihbarat analisti Dmitry Smilyanets’e Blackmatter’ın diğer fidye yazılım gruplarının hatalarından nasıl ders çıkardığını, işe aldıkları kişilerde ne aradıklarını ve neden belli sektörlerden uzak durduklarını anlattı.
Dmitry Smilyanets: Yazılımınız henüz çok yeni. Yazılımınızı kullanmak suretiyle gerçekleştirilmiş bir saldırı henüz olmadı. Yazılımı ne zaman geliştirmeye başladınız?
BlackMatter: Henüz herhangi bir saldırı olmadı. Doğrusu, saldırdığımız şirketler halihazırda bizimle iletişim halinde. Müzakereler başarılı olduğu sürece, blogun ana sayfasında bir yazı yayımlamıyoruz.
Ürün son altı aydır geliştirilme aşamasındaydı. Kulağa basit geliyor olabilir ama öyle değil. Kullanıcıların gördüğü şey buzdağının görünen kısmı. Projeye başlamadan önce, şunları ayrıntılı olarak inceledik:
LockBit iyi bir kod tabanına sahip, ancak yetersiz ve işlevsel olmayan bir paneli var. Bir arabayla kıyaslayacak olursak, LockBit’in iyi motorları olan, ancak boş ve işlevsel olmayan bir iç mekana sahip bir Japon otomobil üretim hattı olduğunu söyleyebiliriz. Arabayı kullanırsın ama pek keyif almazsın.
REvil, zamana göre test edilmiş bir yazılım ve oldukça işlevsel bir paneli var ancak belirli hedefli şifrelemenin aksine, genel olarak başarılı “yüklerin” sayısına daha fazla odaklanıyor.
DarkSide, iyi bir kod tabanına ve diğer RAA’lara (Kayıt Akreditasyon Anlaşması) kıyasla ilginç bir web bölümüne sahip nispeten yeni bir yazılım.
REvil ve DarkSide geri mi döndü?: Yeni fidye yazılım çetesi BlackMatter
Yürütülebilir dosya, LockBit, REvil ve kısmen DarkSide fikirlerini içeriyordu. Web Bölümü, yapısal olarak doğru olduğunu en çok düşündüğümüz Darkside’ın teknik yaklaşımını benimsedi.
DS: DarkSide, REvil, Avaddon, BABUK gibi piyasanın en büyükleri ortadan kayboldu. Birçok araştırmacı, bunun ABD ve Rusya gibi ülkelerin fidye yazılımı saldırılarıyla özel olarak ilgilenmeye başlamasından kaynaklandığına inanıyor. Doğru mu bu? Sizin ürününüzü de aynı kaderin beklediğini düşünüyor musunuz?
BM: Evet, bu grupların piyasadan çekilmesinin büyük ölçüde dünya sahnesindeki jeopolitik durumla ilişkili olduğuna inanıyoruz. Her şeyden önce, bu ABD’den ve ABD’nin planladığı ofansif siber operasyonlardan korktuklarının göstergesi. İki ülkenin siber gasp konusunda ortak çalışma yürüteceği düşüncesi de etkili. Siyasi durumu takip ediyor ve diğer kaynaklardan bilgi alıyoruz. Altyapımızı tasarlarken, tüm bu faktörleri göz önünde bulundurduk ve ABD’nin saldırgan siber yeteneklerine karşı durabileceğimizi söyleyebiliriz. Ne kadar süre için? Zaman gösterecek. Şimdilik, uzun vadeli çalışmalara odaklanıyoruz. Ayrıca hedefleri ılımlı hale getiriyoruz ve yazılımımızın istemediğimiz bir şekilde dikkatleri üzerimize çekecek olan “kritik altyapıyı kitlemek” gibi eylemlerde kullanılmasına izin vermeyeceğiz.
DİĞER YAZILIMLARIN EN GÜÇLÜ YÖNLERİNİ BÜNYEMİZDE TOPLADIK
DS: Yazılımınızın DarkSide, REvil ve Lockbit’in en iyi yönlerini bir araya getirdiğinden bahsettiniz. Nedir bu güçlü yönler?
BM: Projemiz, bu programların her birinin güçlü yönlerini birleştirdi:
REvil’in uygulamaları zayıftı ve üzerinde iyi düşünülmemişti, biz bu fikri geliştirdik ve uyguladık. Lockbit’in-kod tabanının uygulanmasına yönelik bazı yaklaşımlarını benimsedik.
Darkside’a gelince, her şeyden önce şifreleyicinin paylaşılan sürücüleri şifrelemek için domain yönetici hesabını kullanma yeteneğini benimsedik. Buradan ayrıca yönetici panelinin yapısını da ödünç aldık.
DS: En son raporlara dayanarak, BlackMatter görsel olarak DarkSide’a çok benziyor. Altyapınızın DarkSide’a dayandığını doğrulayabilir misiniz?
BM: Tasarımda karanlık modun hayranı olduğumuzu net bir şekilde söyleyebiliriz. Geçmişte birlikte çalıştığımızdan dolayı DarkSide ekibine aşinayız, ancak fikirlerine kendimizi yakın hissetsek da biz onlar değiliz.
DS: LockBit 2.0 şu anda en hızlı şifreleyici olarak kabul ediliyor. Sizin ürününüzün şifreleme / şifre çözme hızı nedir?
BM: Bu doğru değil. LockBit’in en son sürümünü (06.21 sonu) indirerek ve testler yaparak kendimizi hazırlamaya karar verdik, bunun sonucunda şunu tespit ettik:
BlackMatter: 2.22
LockBit: 02.59
Tarihin en büyük fidye yazılım saldırısı Kaseya hakkında bilmeniz gereken 5 şey
Testler aynı koşullar altında gerçekleştirildi. Dahası, LockBit dosyanın ilk 256 KB’sini şifreler (kriptografik güç açısından oldukça kötü). Öte yandan, biz 1 MB’yi şifreliyoruz.
DENEYİMLİ VE BU İŞTEN GERÇEKTEN PARA KAZANMAK İSTEYEN KİŞİLERLE ÇALIŞMAK İSTERİZ
DS: StealBit örneğini takip ederek ürüne yeni özellikler eklemeyi planlıyor musunuz?
BM: Evet, yazılım yakın gelecekte ortaya çıkacak yeni işlevler açısından sürekli olarak geliştiriliyor. Ayrıca rakiplerimizi izliyoruz ve müşterilerimizin taleplerini her zaman dikkate alıyoruz.
DS: Ekibinize yeni kişiler dahil etmek için ilan verdiğinizi gördüm. Kaç tane penetration tester (sızma testi uzmanı) almak istiyorsunuz? Küçük ama güçlü bir ekiple mi yoksa “Script kiddie”lerden (hacker olarak anılmasa da internet ortamında zararlı eylem yapan kişiler) oluşan bir orduyla çalışmak mı daha kolay?
BM: İşi denemek isteyen birilerine değil, tecrübeye, kendi teknik çözümlerine ve para kazanmak için gerçek bir arzuya sahip güçlü, kendi kendine yeten ekiplere odaklanıyoruz. “Script kiddie”leri genellikle admin paneline erişim elde etmeden önce elemek istiyoruz.
HERŞEY İYİ BİR YÖNDE İLERLESE GELİŞİM MÜMKÜN OLMAZDI
DS: Açıkçası, ekibinizde birçok yetenekli profesyonel var. Bu yetenek neden yıkıcı faaliyetlere yönelik olmak durumunda? Yasal penetrasyon testini denediniz mi?
BM: Yaptığımız işin yıkıcı olduğunu inkar etmiyoruz, ancak olaya daha derine bakarsak—bu sorunların bir sonucu olarak yeni teknolojiler geliştiriliyor ve yaratılıyor. Her şey yolunda gidiyor olsaydı, yeni gelişmelere gerek kalmazdı.
Tek bir hayat var ve ondan her şeyi alıyoruz, işimiz bireylere zarar vermiyor, sadece şirketlere yönelik. Şirketler ise her zaman para ödemek suretiyle ve kaybettiği tüm verilerini geri yükleme yeteneğine sahip. Yasal penetrasyon testine dahil olmadık ve bunun uygun maddi ödül getiremeyeceğine inanıyoruz.
DS: Colonial Pipeline’ın altyapısına veya JBS’ye yapılan saldırılar hakkında ne düşünüyorsunuz? Bu kadar büyük ağlara saldırmak mantıklı mı?
BM: Bunun REvil ve DarkSide’ın kapatılmasında önemli bir faktör olduğunu düşünüyoruz, bu tür bir saldırıyı yasakladık ve onlara saldırmayı anlamlı bulmuyoruz.
DS: ABD Adalet Bakanlığı, Colonial tarafından ödenen bitcoinlerin bir kısmını kurtarabildiklerini söyledi. Sizce bu nasıl mümkün oldu?
BM: DarkSide ekibinin veya ortaklarının bitcoins’i web cüzdanlarına aktardığını ve bunun da özel anahtarların ele geçirilmesine yol açtığını düşünüyoruz.
DS: Ağlara aktif olarak erişim satın alıyorsunuz. Devlet ve sağlık kurumlarıyla İLGİLENMEDİĞİNİZİ beyan ediyorsunuz. Aynı zamanda, kritik altyapı, savunma, kar amacı gütmeyen kuruluşlar ve petrol dahil olmak üzere daha geniş bir sektör yelpazesini şifrelemeyeceğinizi belirttiniz. Ağı şifreleme konusunda son sözü kim söylüyor?
BM: Son söz bizim. Her hedefi kontrol ediyoruz ve bizim için potansiyel olumsuz sonuçları olup olmadığına karar veriyoruz. Blogdaki ve forumdaki sektörler arasındaki tutarsızlık pazarlama ile ilgilidir. Kişisel yazışmalarımızda, ilgilenmediğimiz kişileri filtreleriz.
DS: Şirketleri ödeme yapmaya en fazla motive eden faktör hangisi? Altyapının kullanılamaması veya veri sızıntısı korkusu?
Siber saldırganlar işi büyüttü: En iyi kripto para saldırısı için yarışma düzenliyorlar
ŞİRKETLER ÖDEME YAPMAKTAN ASLA VAZGEÇMEZ
BM: Şirketten şirkete değişiyor. Bazıları için gizliliği korumak önemlidir ve diğerleri için altyapının geri yüklenmesi. Ağ tamamen şifrelenmişse ve verilerin yayınlanma riski de varsa, şirket büyük olasılıkla ödeme yapacaktır.
DS: Eğer sigorta şirketleri bir gün fidye yazılımı ödemelerini kapsamamaya başlarsa fidye yazılıma olan ilginiz değişir mi?
BM: Değişmez. Şirketler ne olursa olsun ödeme yapmaya devam edecek. Ödenen miktarın azalması mümkündür.
Şu anda sigorta ücretleri arttı, ancak bu durumda yalnız kalacaklarından korkarak herkes sigorta yaptırmaya devam edecek.
DS: Bize bir sır verebilir misiniz?
BM: Sır yok, ama şunu söylemek isteriz ki vatanımıza inanıyoruz, ailelerimizi seviyoruz ve çocuklarımız için para kazanıyoruz.
