Etiket arşivi: BazarCall

Siber Saldırılar

Conti fidye yazılım çetesi bitti ama operasyonları devam ediyor

Yorum yapın

Conti fidye yazılım çetesi bitti ama operasyonları devam ediyorSon zamanlarda yaptığı fidye yazılımı saldırıları ile adını duyuran Conti fidye yazılımı çetesi, operasyonlarını resmen durdurdu, altyapıyı devre dışı bıraktı ve ekip liderleri artık söz konusu markanın olmadığını açıkladı. Gelişmeler ise çetenin iç altyapısının kapatıldığı yönünde tweet atan Advanced Intel’den Yelisey Boguslavskiy tarafından duyuruldu.

Kamuya açık ‘Conti News’ veri sızıntısı ve fidye pazarlığı siteleri hala çevrimiçiyken, Boguslavskiy Bleeping Computer internet sitesine üyelerin pazarlıkları gerçekleştirmek ve veri sızıntısı sitelerinde “haberler” yayınlamak için kullandıkları Tor yönetici panellerinin çevrimdışı olduğunu söyledi.

Öte yandan sahip oldukları rocket sohbet sunucuları gibi dahili hizmetlerin de devre dışı bırakılmakta olduğu belirtildi.

Conti’nin Kosta Rika ile sürdürdüğü bilgi savaşının tam ortasında faaliyetlerine son vermesi garip gelse de Boguslavskiy Conti’nin bu çok büyük ölçüde kamusal olan saldırıyı canlı bir operasyonun cephesini oluşturmak için gerçekleştirdiğini söylerken, Conti üyeleri yavaş yavaş diğer küçük fidye yazılım operasyonlarına kaydı. 

Advanced Intel tarafından yayınlanan bir raporda ise şu ifadeler yer aldı: “Bununla birlikte, AdvIntel’in düşmanca görünümü ve istihbarat bulguları, aslında tam tersi bir sonuca işaret ediyordu: Conti’nin bu son saldırıyla tek hedefi, kendi yok oluşlarını ve müteakip yeniden doğuşlarını gerçekleştirebilecekleri en makul bir şekilde tasarlamak suretiyle platformu bir tanıtım aracı olarak kullanmaktı” 

Conti grubundan Kosta Rika vatandaşlarına ayaklanma çağrısı

“Kosta Rika’ya fidye yerine tanıtım yoluyla saldırılmasına ilişkin gündem, Conti yönetimi tarafından şirket içi deklare edildi. Grup üyeleri arasındaki iç yazışmalar, talep edilen fidye ödemesinin 1 milyon USD’nin çok altında olduğuna işaret ediyordu (fidyenin 10 milyon USD olduğuna dair doğrulanmamış iddialara ve Conti’nin kendi iddialarına göre meblağın 20 milyon USD olmasına rağmen).”

KÜÇÜK FİDYE YAZILIM  ÇETELERİYLE ORTAKLIK KURACAK

Conti fidye yazılımı markası artık olmasa da, siber suçlar karteli fidye yazılımı sektöründe uzun süre önemli bir rol oynamaya devam edecek.

Boguslavskiy, başka bir büyük fidye yazılımı operasyonu olarak yeniden markalaşmak yerine, Conti yönetiminin saldırıları yürütmek için diğer küçük fidye yazılımı çeteleriyle ortaklık kurduğunu söyledi.

Bu ortaklık kapsamında, daha küçük fidye yazılımı çeteleri deneyimli Conti pentestçiler, müzakereciler ve operatörlerin akınına uğruyor. Conti siber suçlar karteli, tümü merkezi yönetim tarafından idare edilen daha küçük “hücrelere” bölünerek hareketlilik ve böylece kolluk kuvvetlerinden daha fazla kaçınma kabiliyeti kazanıyor.

Advanced Intel raporu, Conti’nin HelloKitty, AvosLocker, Hive, BlackCat, BlackByte ve daha fazlası dahil olmak üzere çok sayıda tanınmış fidye yazılımı grubuyla ortaklık kurduğunu açıklıyor.

Müzakereciler, Intel analistleri, pentestçiler ve yazılım geliştiriciler de dahil olmak üzere mevcut Conti üyeleri diğer fidye yazılımı operasyonlarının tamamına yayılmış durumdalar. Bu kişiler şimdilerde diğer fidye yazılımı operasyonunun şifreleyicilerini ve müzakere sitelerini kullanacak olsa da, hala Conti siber suç kartelinin bir parçası konumundalar.

Advanced Intel ayrıca, veri şifrelemesine değil, tamamen veri sızıntısına odaklanan yeni özerk Conti üyesi gruplarının oluşturulduğunu da belirtiyor. Karakurt, BlackByte ve Bazarcall collective bu gruplardan bazılarını oluşturmaktadır. Bu girişimler, mevcut siber suçlar kartelinin faaliyetlerine devam etmesine izin veriyor, ancak artık Conti adı altında değil.

ZEHİRLİ BİR MARKA

Conti’nin marka kimliğinin yenilenmesi, son dönemde şirketi takip eden araştırmacılar ve gazeteciler için sürpriz olmadı. Conti fidye yazılımı operasyonu, Ryuk fidye yazılımının yerini almasının ardından 2020 yazında başlatıldı. Ryuk gibi, Conti de fidye yazılım çetesine ilk erişimi sağlayan TrickBot ve BazarLoader gibi diğer malware enfeksiyonlarıyla ortaklıklar kurulması suretiyle dağıtıldı.

Zamanla, Conti en büyük fidye yazılımı operasyonuna daha sonra da TrickBot, BazarLoader ve Emotet’in operasyonlarını devraldıklarında yavaş yavaş bir siber suç karteline dönüştü. Conti, Tulsa Belediyesine, Broward County Devlet Okullarına ve Advantech’e karşı olanlar da dahil olmak üzere, sayısız saldırıdan sorumluydu. İrlanda Sağlık Hizmetleri Yönetimi’ne (HSE) ve Sağlık Bakanlığı’na (DoH) saldırarak ülkenin BT sistemlerini haftalarca kapattıktan sonra medyanın dikkatini çektiler. Nihayetinde, fidye yazılımı çetesi İrlanda’nın HSE’sine ücretsiz bir şifre çözücü temin etti ancak halihazırda dünya çapında kolluk kuvvetlerinin hedefine girmiş oldu.

Conti’nin Rusya’nın Ukrayna’yı işgalinde Rusya’dan yana taraf olmasına kadar, Conti markası zaten inanılmaz derecede toksik hale gelmişti bile. Rusya’ya katıldıktan sonra, Ukraynalı bir güvenlik araştırmacısı, Conti fidye yazılımı çetesi üyeleri ile Conti fidye yazılımı şifreleyicisinin kaynak kodu arasında 170 binden fazla iç yazışmayı sızdırmaya başladı.

Bu kaynak kodu kamuya duyurulduktan sonra, diğer tehdit aktörleri bunu kendi saldırılarında kullanmaya başladı ve bir hacker grubu Conti şifreleyicisini Rus kuruluşlarına yönelik saldırılarda kullandı.

ABD hükümeti, Conti’yi binlerce kurban ve 150 milyon doların üzerinde fidye ödemesiyle şimdiye kadarki en pahalı fidye yazılımı türlerinden biri olarak görüyor.

Conti fidye yazılımı çetesinin saldırıları, ABD hükümetinin Conti üyelerinin yöneticilerinin kimliklerini ve yerlerini bildirenlere 15.000.000 dolara kadar ödül koymasına sebep oldu. 

Dijital Güvenlik

Fidye yazılımcılardan sahte çağrı merkezi tuzağı

Yorum yapın

Fidye yazılım çeteleri kurbanlarını tuzağa çekmek için bu kez abonelik iptalini gerekçe göstererek sahte çağrı merkezine yönlendiriyor.

“Ücretsiz deneme aboneliğiniz sona erdiği! Aboneliğinizin otomatik olarak devam etmesini istemiyorsanız şu numarayı arayın” gibi kimlik avı e-postalarına dikkat etmekte fayda var.

Söz konusu yöntem siber saldırganların bilgisayarınıza sızmak için geliştirdiği yeni bir taktik olabilir. Nitekim Microsoft bunu bir saldırı aracı olarak kullanan bir grubun peşinde. 

Microsoft’un siber güvenlik araştırmacıları bilgisayarlara BazarLoader adlı zararlı yazılım yükleyicisi bulaştırmak için sahte “çağrı merkezlerini” kullanan suç grubu BazarCall’ın peşinde. BazarLoader fidye yazılımı dağıtmak için kullanılan bir zararlı yazılım yükleyicisi.   

BazarCall (veya Bazacall) olarak adlandırılan grubun üyeleri Ocak ayından bu yana aktif ve kurbanları Bazarloader’ı bir Windows PC’ye yüklemeye yönlendirmek için çağrı merkezi operatörlerini kullanıyorlar.

Palo Alto Networks’ten Brad Duncan  grubun tekniklerini bir blog yazısında anlattı. Duncan’ın anlattıklarına göre, kötü amaçlı yazılım virüslü bir Windows cihazına arka kapı erişimi sağlıyor. Duncan yazısında şöyle devam ediyor: “Bir kullanıcı virüsle enfekte olduktan sonra, suçlular takip eden kötü amaçlı yazılımlar göndermek, çevreyi taramak ve ağdaki diğer savunmasız ana bilgisayarlardan yararlanmak için bu arka kapı erişimini kullanıyorlar.” 

Ukrayna’da fidye yazılım operasyonu: Clop’la bağlantılı kişiler tutuklandı

Saldırı genellikle şu şekilde başlıyor: Kurbana deneme aboneliğinin sona erdiğini ve aboneliği iptal etmek için bir numarayı araması gerektiği, aramaması durumunda otomatik olarak kendisinden aylık belli bir ücret alınacağını bildiren kimlik avı e-postaları gönderiliyor. 

SÖZDE ABONELİK İPTALİ VAADİ İLE TUZAĞA ÇEKİYORLAR

Microsoft, öncelikle grubun Office 365 kullanıcılarını hedef alan Kimlik Avı e-postalarına odaklandı. Ve insan kaynaklı saldırılara ve fidye yazılımı dağıtımına yol açan aktif bir BazaCall kötü amaçlı yazılım saldırısını takibe aldı. BazaCall saldırıları, alıcıları belirli bir hizmet için yapılmış sözde aboneliklerini iptal etmek için bir telefon numarasına yönlendiren e-postaları kullanıyor. 

Alıcılar numarayı aradığında, saldırganlar tarafından işletilen sahte bir çağrı merkezi, onlardan bir web sitesini ziyaret etmelerini ve hizmeti iptal etmek için bir Excel dosyası indirmelerini istiyor. Excel dosyası, yükü indiren kötü amaçlı bir makro içeriyor. 

Microsoft’un güvenlik ekibi, Active Directory (AD) veritabanı da dahil olmak üzere kimlik bilgilerini çalmak için Cobalt Strike penetrasyon test kiti’ni kullanan grubu da gözlemledi. AD hırsızlığı, bir kuruluşun kimliğini ve kimlik bilgilerini içermesi itibariyle şirketin tekrar sahip olmak için binlerce doları gözden çıkarabileceği bir olay.