Fidye yazılımı gruplarının altyapısını tahrip etmek onların ileride yeniden aktif hale gelmelerini tam olarak engelleyemiyor. Bu gruplar farklı isimler altında tekrar aktif hale geçerek siber saldırılar düzenleyebiliyor. 

Yeni bir araştırma, üyelerinin şu an aktif olmayan BlackMatter ve REvil’den gelmesiyle övünen yeni bir fidye yazılım grubunun fidye yazılımı başlatmak için yeniden aktif hale geldiğini ve şimdiden bir kurumsal kaynak planlaması (ERP) hizmet sağlayıcısına ve bir endüstriyel firmaya saldırı düzenlediğini gösterdi.

Siber güvenlik firması Kaspersky tarafından 7 Nisan’da yayımlanan bir analizde ALPHV olarak bilinen grup ve onun BlackCat kötü amaçlı yazılımının şimdiden “çok sayıda kurumsal kurbanı” ağına düşürdüğü ifade edildi.

Blackmatter ve REvil’in ve altyapılarının uluslararası planda tahrip edilmesinin ardından, ALPHV’nin üyeleri kendilerini bu iki casus yazılım programının yerini alacak en güçlü seçenek şeklinde pazarlıyor. Kaspersky araştırmacıları, üyelerin en azından bazılarının eski gruplardan BlackMatter’da rolleri olduğuna dair işaretler tespit ettiklerini ifade ediyor.

Kaspersky’nin baş güvenlik araştırmacısı Kurt Baumgartner, yeni grup ve bağlı grupların diğer siber suç eylemleri arasındaki ayrımın net olmadığını olduğuna dikkat çekiyor. Baumgartner şunları söylüyor: “Büyük ihtimalle, küresel BlackCat olaylarının düzenlenmesi, hem kodu ve hizmeti sürdüren grubun hem de kendi işlerini yapan bağlı kuruluşların bir karışımı tarafından gerçekleştiriliyor. Bu çalışmaların bir kısmı, bireysel gruplar tarafından gerçekleştirilen erişim aracıları ve penetrasyon çabalarına da ayrılabilir.”

ÇETELERİN ALTYAPISINI YOK ETMEK KÖKLÜ BİR ÇÖZÜM DEĞİL

Yayımlanan analiz ve en azından bazı üyelerin BlackMatter’ın bir parçası olabileceğine dair güçlü ipuçları fidye yazılımı gruplarının altyapısını yok etmenin onları tekrar aktif hale gelmelerini kökten engelleyemediğini gösteriyor.

ALPHV konusunda Kaspersky araştırmacıları, grubun Fendr adlı ve geçmişte yalnızca BlackMatter tarafından kullanılan özel bir araç kullandığını keşfetti. Buna göre ALPHV, fidye yazılımı dağıtmadan önce Aralık 2021 ve Ocak 2022’de kurumsal kurbanlardan veri sızdırmak için bu aracı kullandı.

Firmadan açıklanan tehdit istihbaratı notunda, “Telemetrimiz, yeni BlackCat grubunun bazı üyelerinin BlackMatter grubuyla bağlantılı olduğunu gösteriyor çünkü Fendr adını verdiğimiz ve yalnızca BlackMatter etkinliğinde gözlemlenen özel bir sızma aracını değiştirip yeniden kullandılar. ExMatter olarak da bilinen bu değiştirilmiş Fendr kullanımı, BlackCat’i geçmiş BlackMatter etkinliğine bağlayan yeni bir veri noktasını temsil ediyor.” değerlendirmesine yer verildi.

Baumgartner; REvil ve BlackMatter’in her ikisinin de Rus aktörlerle bağlantılı olmasına rağmen, ALPHV’nin Rus vatandaşlarından oluşup oluşmadığını konusunda net bir şey söylemenin mümkün olmadığını dile getirdi. Daha önce açıklanan araştırmalar, her iki grubun da DarkSide ve LockBit 2.0 gibi gruplarla bağlantılı olduğunu ortaya koymuştu.

ABD, KASPERSKY FİRMASINA YAPTIRIMI TARTIŞIYOR

Kaspersky, geçmişte yazılımının ABD’nin ulusal güvenliği için tehdit oluşturup oluşturmadığı konusunda bazı tartışmaların odağı olmuştu. 2017 yılında Rus siber casusluk ajanları, Kaspersky’nin güvenlik yazılımını kullanarak bir Ulusal Güvenlik Ajansı yüklenicisinin ev bilgisayarından gizli siber saldırı ve savunma araçlarını çalmıştı.

ABD hükümeti o tarihten bu yana söz konusu yazılımı yasakladı, ancak sorun Rusya’nın Ukrayna’yı işgal etmesiyle yeniden gündeme geldi. The Wall Street Journal’da yer alan bir habere göre, Biden yönetimi firmaya yaptırım uygulama konusunu tartışıyor.