Fidye yazılımı gruplarının altyapısını tahrip etmek onların ileride yeniden aktif hale gelmelerini tam olarak engelleyemiyor. Bu gruplar farklı isimler altında tekrar aktif hale geçerek siber saldırılar düzenleyebiliyor.
Yeni bir araştırma, üyelerinin şu an aktif olmayan BlackMatter ve REvil’den gelmesiyle övünen yeni bir fidye yazılım grubunun fidye yazılımı başlatmak için yeniden aktif hale geldiğini ve şimdiden bir kurumsal kaynak planlaması (ERP) hizmet sağlayıcısına ve bir endüstriyel firmaya saldırı düzenlediğini gösterdi.
Siber güvenlik firması Kaspersky tarafından 7 Nisan’da yayımlanan bir analizde ALPHV olarak bilinen grup ve onun BlackCat kötü amaçlı yazılımının şimdiden “çok sayıda kurumsal kurbanı” ağına düşürdüğü ifade edildi.
Blackmatter ve REvil’in ve altyapılarının uluslararası planda tahrip edilmesinin ardından, ALPHV’nin üyeleri kendilerini bu iki casus yazılım programının yerini alacak en güçlü seçenek şeklinde pazarlıyor. Kaspersky araştırmacıları, üyelerin en azından bazılarının eski gruplardan BlackMatter’da rolleri olduğuna dair işaretler tespit ettiklerini ifade ediyor.
Kaspersky’nin baş güvenlik araştırmacısı Kurt Baumgartner, yeni grup ve bağlı grupların diğer siber suç eylemleri arasındaki ayrımın net olmadığını olduğuna dikkat çekiyor. Baumgartner şunları söylüyor: “Büyük ihtimalle, küresel BlackCat olaylarının düzenlenmesi, hem kodu ve hizmeti sürdüren grubun hem de kendi işlerini yapan bağlı kuruluşların bir karışımı tarafından gerçekleştiriliyor. Bu çalışmaların bir kısmı, bireysel gruplar tarafından gerçekleştirilen erişim aracıları ve penetrasyon çabalarına da ayrılabilir.”
ÇETELERİN ALTYAPISINI YOK ETMEK KÖKLÜ BİR ÇÖZÜM DEĞİL
Yayımlanan analiz ve en azından bazı üyelerin BlackMatter’ın bir parçası olabileceğine dair güçlü ipuçları fidye yazılımı gruplarının altyapısını yok etmenin onları tekrar aktif hale gelmelerini kökten engelleyemediğini gösteriyor.
ALPHV konusunda Kaspersky araştırmacıları, grubun Fendr adlı ve geçmişte yalnızca BlackMatter tarafından kullanılan özel bir araç kullandığını keşfetti. Buna göre ALPHV, fidye yazılımı dağıtmadan önce Aralık 2021 ve Ocak 2022’de kurumsal kurbanlardan veri sızdırmak için bu aracı kullandı.
Firmadan açıklanan tehdit istihbaratı notunda, “Telemetrimiz, yeni BlackCat grubunun bazı üyelerinin BlackMatter grubuyla bağlantılı olduğunu gösteriyor çünkü Fendr adını verdiğimiz ve yalnızca BlackMatter etkinliğinde gözlemlenen özel bir sızma aracını değiştirip yeniden kullandılar. ExMatter olarak da bilinen bu değiştirilmiş Fendr kullanımı, BlackCat’i geçmiş BlackMatter etkinliğine bağlayan yeni bir veri noktasını temsil ediyor.” değerlendirmesine yer verildi.
Baumgartner; REvil ve BlackMatter’in her ikisinin de Rus aktörlerle bağlantılı olmasına rağmen, ALPHV’nin Rus vatandaşlarından oluşup oluşmadığını konusunda net bir şey söylemenin mümkün olmadığını dile getirdi. Daha önce açıklanan araştırmalar, her iki grubun da DarkSide ve LockBit 2.0 gibi gruplarla bağlantılı olduğunu ortaya koymuştu.
ABD, KASPERSKY FİRMASINA YAPTIRIMI TARTIŞIYOR
Kaspersky, geçmişte yazılımının ABD’nin ulusal güvenliği için tehdit oluşturup oluşturmadığı konusunda bazı tartışmaların odağı olmuştu. 2017 yılında Rus siber casusluk ajanları, Kaspersky’nin güvenlik yazılımını kullanarak bir Ulusal Güvenlik Ajansı yüklenicisinin ev bilgisayarından gizli siber saldırı ve savunma araçlarını çalmıştı.
ABD hükümeti o tarihten bu yana söz konusu yazılımı yasakladı, ancak sorun Rusya’nın Ukrayna’yı işgal etmesiyle yeniden gündeme geldi. The Wall Street Journal’da yer alan bir habere göre, Biden yönetimi firmaya yaptırım uygulama konusunu tartışıyor.
Geçtiğimiz günlerde fidye yazılım dünyasına giren BlackMatterçetesinin ilk hedefi ortaya çıktı.
DarkSide ve REvil gibi büyük operasyonlar düzenleyen fidye yazılım çetelerinin bir süredir sessiz kalmasının ardından yakın zamanda ortaya çıkan ve “DarkSide ile REvil’in en iyi özelliklerini taşıdığını” iddia eden BlackMatter çetesinin, özel olarak VMware’in ESXi sunucularını hedefleyen Linux tabanlı şifreleyicisi keşfedildi.
YALNIZCA VMware ESXI SUNUCULARINA ÖZEL TASARLANMIŞ
BlackMatter çetesinin ELF64 biçiminde bulunan şifreleyicisi, özel olarak VMware ESXi sunucularını hedeflemek için tasarlandığı belirtiliyor. Bunun sebebiyse Linux tabanlı şifreleyicinin içerisinde ESXi sunucuları için düzenlenmiş birçok komut barındırması.
Bazı komutlar güvenlik duvarıyla ilgiliyken bazı komutlar sunucuları durdurmak ve kapatmakla ilgili olduğu belirtiliyor.
ESXi sunucularını hedefleyen hemen hemen tüm fidye yazılımları, sürücüleri şifrelemeden önce sanal makineleri kapatmayı hedefliyor. Bunun nedeniyse veriler şifrelenirken herhangi bir bozulma olmasına engel olmak.
NEDEN SANAL MAKİNELER?
Sanal makinelerin giderek popülerleşmesi, kurumsal hedefleri olan siber tehdit aktörlerinin bu alanı kendilerine öncelikli hedef olarak seçmesine neden oluyor.
Bunun yanı sıra birçok sunucunun tek bir komutla şifrelenmeye müsait olması da fidye yazılım çetelerinin iştahını kabartıyor.
REvil, HelloKitty, Babuk, RansomExx/Defray, Mespinoza, GoGoogle gibi diğer fidye yazılım çetelerinin de bu amaç doğrultusunda Linux şifreleyicilerinin olduğu biliniyor.
Geçtiğimiz temmuz ayında, yeni fidye yazılım çetesi Blackmatter, çeşitli siber suç forumlarında reklamlara başlayarak, eleman alımı yaptıklarını ve REvil , DarkSide gibi ünlü grupların belli başlı özelliklerini bünyelerinde birleştirdiğini iddia etti.
adlı çete, hedeflerinde özellikle yıllık geliri 100 milyon dolardan fazla olan büyük şirketler olduğunu söylüyor. Grup sağlık, kritik altyapı, petrol ve gaz, savunma, kar amacı gütmeyen kuruluşlar ve devlet kuruluşları gibi bazı sektörlerin yasak bölge olduğunu ve buralara saldırı düzenlemeyeceklerini ifade ediyor.
Gruptan bir temsilci, Recorded Future adlı şirketin tehdit istihbarat analisti Dmitry Smilyanets’e Blackmatter’ın diğer fidye yazılım gruplarının hatalarından nasıl ders çıkardığını, işe aldıkları kişilerde ne aradıklarını ve neden belli sektörlerden uzak durduklarını anlattı.
Dmitry Smilyanets: Yazılımınız henüz çok yeni. Yazılımınızı kullanmak suretiyle gerçekleştirilmiş bir saldırı henüz olmadı. Yazılımı ne zaman geliştirmeye başladınız?
BlackMatter: Henüz herhangi bir saldırı olmadı. Doğrusu, saldırdığımız şirketler halihazırda bizimle iletişim halinde. Müzakereler başarılı olduğu sürece, blogun ana sayfasında bir yazı yayımlamıyoruz.
Ürün son altı aydır geliştirilme aşamasındaydı. Kulağa basit geliyor olabilir ama öyle değil. Kullanıcıların gördüğü şey buzdağının görünen kısmı. Projeye başlamadan önce, şunları ayrıntılı olarak inceledik:
LockBit iyi bir kod tabanına sahip, ancak yetersiz ve işlevsel olmayan bir paneli var. Bir arabayla kıyaslayacak olursak, LockBit’in iyi motorları olan, ancak boş ve işlevsel olmayan bir iç mekana sahip bir Japon otomobil üretim hattı olduğunu söyleyebiliriz. Arabayı kullanırsın ama pek keyif almazsın.
REvil, zamana göre test edilmiş bir yazılım ve oldukça işlevsel bir paneli var ancak belirli hedefli şifrelemenin aksine, genel olarak başarılı “yüklerin” sayısına daha fazla odaklanıyor.
DarkSide, iyi bir kod tabanına ve diğer RAA’lara (Kayıt Akreditasyon Anlaşması) kıyasla ilginç bir web bölümüne sahip nispeten yeni bir yazılım.
Yürütülebilir dosya, LockBit, REvil ve kısmen DarkSide fikirlerini içeriyordu. Web Bölümü, yapısal olarak doğru olduğunu en çok düşündüğümüz Darkside’ın teknik yaklaşımını benimsedi.
DS: DarkSide, REvil, Avaddon, BABUK gibi piyasanın en büyükleri ortadan kayboldu. Birçok araştırmacı, bunun ABD ve Rusya gibi ülkelerin fidye yazılımı saldırılarıyla özel olarak ilgilenmeye başlamasından kaynaklandığına inanıyor. Doğru mu bu? Sizin ürününüzü de aynı kaderin beklediğini düşünüyor musunuz?
BM: Evet, bu grupların piyasadan çekilmesinin büyük ölçüde dünya sahnesindeki jeopolitik durumla ilişkili olduğuna inanıyoruz. Her şeyden önce, bu ABD’den ve ABD’nin planladığı ofansif siber operasyonlardan korktuklarının göstergesi. İki ülkenin siber gasp konusunda ortak çalışma yürüteceği düşüncesi de etkili. Siyasi durumu takip ediyor ve diğer kaynaklardan bilgi alıyoruz. Altyapımızı tasarlarken, tüm bu faktörleri göz önünde bulundurduk ve ABD’nin saldırgan siber yeteneklerine karşı durabileceğimizi söyleyebiliriz. Ne kadar süre için? Zaman gösterecek. Şimdilik, uzun vadeli çalışmalara odaklanıyoruz. Ayrıca hedefleri ılımlı hale getiriyoruz ve yazılımımızın istemediğimiz bir şekilde dikkatleri üzerimize çekecek olan “kritik altyapıyı kitlemek” gibi eylemlerde kullanılmasına izin vermeyeceğiz.
DİĞER YAZILIMLARIN EN GÜÇLÜ YÖNLERİNİ BÜNYEMİZDE TOPLADIK
DS: Yazılımınızın DarkSide, REvil ve Lockbit’in en iyi yönlerini bir araya getirdiğinden bahsettiniz. Nedir bu güçlü yönler?
BM: Projemiz, bu programların her birinin güçlü yönlerini birleştirdi:
REvil’in uygulamaları zayıftı ve üzerinde iyi düşünülmemişti, biz bu fikri geliştirdik ve uyguladık. Lockbit’in-kod tabanının uygulanmasına yönelik bazı yaklaşımlarını benimsedik.
Darkside’a gelince, her şeyden önce şifreleyicinin paylaşılan sürücüleri şifrelemek için domain yönetici hesabını kullanma yeteneğini benimsedik. Buradan ayrıca yönetici panelinin yapısını da ödünç aldık.
DS: En son raporlara dayanarak, BlackMatter görsel olarak DarkSide’a çok benziyor. Altyapınızın DarkSide’a dayandığını doğrulayabilir misiniz?
BM: Tasarımda karanlık modun hayranı olduğumuzu net bir şekilde söyleyebiliriz. Geçmişte birlikte çalıştığımızdan dolayı DarkSide ekibine aşinayız, ancak fikirlerine kendimizi yakın hissetsek da biz onlar değiliz.
DS: LockBit 2.0 şu anda en hızlı şifreleyici olarak kabul ediliyor. Sizin ürününüzün şifreleme / şifre çözme hızı nedir?
BM: Bu doğru değil. LockBit’in en son sürümünü (06.21 sonu) indirerek ve testler yaparak kendimizi hazırlamaya karar verdik, bunun sonucunda şunu tespit ettik:
Testler aynı koşullar altında gerçekleştirildi. Dahası, LockBit dosyanın ilk 256 KB’sini şifreler (kriptografik güç açısından oldukça kötü). Öte yandan, biz 1 MB’yi şifreliyoruz.
DENEYİMLİ VE BU İŞTEN GERÇEKTEN PARA KAZANMAK İSTEYEN KİŞİLERLE ÇALIŞMAK İSTERİZ
DS: StealBit örneğini takip ederek ürüne yeni özellikler eklemeyi planlıyor musunuz?
BM: Evet, yazılım yakın gelecekte ortaya çıkacak yeni işlevler açısından sürekli olarak geliştiriliyor. Ayrıca rakiplerimizi izliyoruz ve müşterilerimizin taleplerini her zaman dikkate alıyoruz.
DS: Ekibinize yeni kişiler dahil etmek için ilan verdiğinizi gördüm. Kaç tane penetration tester (sızma testi uzmanı) almak istiyorsunuz? Küçük ama güçlü bir ekiple mi yoksa “Script kiddie”lerden (hacker olarak anılmasa da internet ortamında zararlı eylem yapan kişiler) oluşan bir orduyla çalışmak mı daha kolay?
BM: İşi denemek isteyen birilerine değil, tecrübeye, kendi teknik çözümlerine ve para kazanmak için gerçek bir arzuya sahip güçlü, kendi kendine yeten ekiplere odaklanıyoruz. “Script kiddie”leri genellikle admin paneline erişim elde etmeden önce elemek istiyoruz.
HERŞEY İYİ BİR YÖNDE İLERLESE GELİŞİM MÜMKÜN OLMAZDI
DS: Açıkçası, ekibinizde birçok yetenekli profesyonel var. Bu yetenek neden yıkıcı faaliyetlere yönelik olmak durumunda? Yasal penetrasyon testini denediniz mi?
BM: Yaptığımız işin yıkıcı olduğunu inkar etmiyoruz, ancak olaya daha derine bakarsak—bu sorunların bir sonucu olarak yeni teknolojiler geliştiriliyor ve yaratılıyor. Her şey yolunda gidiyor olsaydı, yeni gelişmelere gerek kalmazdı.
Tek bir hayat var ve ondan her şeyi alıyoruz, işimiz bireylere zarar vermiyor, sadece şirketlere yönelik. Şirketler ise her zaman para ödemek suretiyle ve kaybettiği tüm verilerini geri yükleme yeteneğine sahip. Yasal penetrasyon testine dahil olmadık ve bunun uygun maddi ödül getiremeyeceğine inanıyoruz.
DS: Colonial Pipeline’ın altyapısına veya JBS’ye yapılan saldırılar hakkında ne düşünüyorsunuz? Bu kadar büyük ağlara saldırmak mantıklı mı?
BM: Bunun REvil ve DarkSide’ın kapatılmasında önemli bir faktör olduğunu düşünüyoruz, bu tür bir saldırıyı yasakladık ve onlara saldırmayı anlamlı bulmuyoruz.
DS: ABD Adalet Bakanlığı, Colonial tarafından ödenen bitcoinlerin bir kısmını kurtarabildiklerini söyledi. Sizce bu nasıl mümkün oldu?
BM: DarkSide ekibinin veya ortaklarının bitcoins’i web cüzdanlarına aktardığını ve bunun da özel anahtarların ele geçirilmesine yol açtığını düşünüyoruz.
DS: Ağlara aktif olarak erişim satın alıyorsunuz. Devlet ve sağlık kurumlarıyla İLGİLENMEDİĞİNİZİ beyan ediyorsunuz. Aynı zamanda, kritik altyapı, savunma, kar amacı gütmeyen kuruluşlar ve petrol dahil olmak üzere daha geniş bir sektör yelpazesini şifrelemeyeceğinizi belirttiniz. Ağı şifreleme konusunda son sözü kim söylüyor?
BM: Son söz bizim. Her hedefi kontrol ediyoruz ve bizim için potansiyel olumsuz sonuçları olup olmadığına karar veriyoruz. Blogdaki ve forumdaki sektörler arasındaki tutarsızlık pazarlama ile ilgilidir. Kişisel yazışmalarımızda, ilgilenmediğimiz kişileri filtreleriz.
DS: Şirketleri ödeme yapmaya en fazla motive eden faktör hangisi? Altyapının kullanılamaması veya veri sızıntısı korkusu?
BM: Şirketten şirkete değişiyor. Bazıları için gizliliği korumak önemlidir ve diğerleri için altyapının geri yüklenmesi. Ağ tamamen şifrelenmişse ve verilerin yayınlanma riski de varsa, şirket büyük olasılıkla ödeme yapacaktır.
DS: Eğer sigorta şirketleri bir gün fidye yazılımı ödemelerini kapsamamaya başlarsa fidye yazılıma olan ilginiz değişir mi?
BM: Değişmez. Şirketler ne olursa olsun ödeme yapmaya devam edecek. Ödenen miktarın azalması mümkündür.
Şu anda sigorta ücretleri arttı, ancak bu durumda yalnız kalacaklarından korkarak herkes sigorta yaptırmaya devam edecek.
DS: Bize bir sır verebilir misiniz?
BM: Sır yok, ama şunu söylemek isteriz ki vatanımıza inanıyoruz, ailelerimizi seviyoruz ve çocuklarımız için para kazanıyoruz.
Yeni fidye yazılım grubu “BlackMatter”, bir süredir saldırı yapmayan “Revil ve DarkSide grupları geri mi döndü?” sorusunu akıllara getirdi. Çete diğer grupların özelliklerini bir araya getirerek dikkatleri üzerine çekti.
Rus darkweb forumlarında ortaya çıkan yeni fidye yazılım grubu, kendisini “Proje; DarkSide, REvil ve LockBit’in en iyi özelliklerini kendi içinde birleştirdi.” şeklinde tanıttı.
Exploit forumunda yer alan bir paylaşımda BlackMatter, daha önce saldırıya uğramış ABD, Kanada, Avustralya ve Birleşik Krallık’taki kurumsal ağlara erişimi olan siber tehdit aktörlerini işe almak istediğini duyurdu.
GRUBU KİMLER OLUŞTURDU?
BlackMatter’ın sızıntı sitesinde bulunan “Hakkımızda ve Kurallar” kısmındaysa “Sağlık kuruluşlarına, kritik altyapı tesislerine (nükleer santraller, enerji santralleri, su arıtma tesisleri vs.), petrol ve gaz endüstrisine, savunma sanayiiye, kar amacı gütmeyen kuruluşlara ve hükümet kurumlarına” saldırmayacağı aktarıldı.
Halihazırda herhangi bir operasyona imza atmayan BlackMatter, içerisinde soru işaretleri barındırmaya devam ediyor. Bunlardan en önemlisi ise grubun kimler tarafından oluşturulduğu. Bu konu ise bir süredir sessiz kalan iki fidye yazılım grubunu akıllara getiriyor.
Rusya destekli REvil fidye yazılım grubu, teknoloji sağlayıcı şirket Kaseya’nın VSA yazılımındaki bir zafiyetten faydalanarak birden fazla yönetilen hizmet sağlayıcısına (MSP) ve onların müşterilerine yönelik bir tedarik zinciri fidye yazılımı saldırısı gerçekleştirmişti.
KASEYA VE COLONIAL PIPELINE SONRASI İKİ GRUP DA ORTADA YOKTU
Yaşanan hadiseden birçok şirket etkilenirken, süper market zincirlerinde de kapanmalar olmuştu. Et tedarikçisi JBS Foods’a da saldıran REvil, bu saldırıların ardından gizemli bir şekilde ortadan kaybolmuştu.
Diğer bir saldırıysa, ABD’nin en büyük boru hattı olan Colonial Pipeline’a yönelik fidye yazılım saldırısıydı. Söz konusu saldırı DarkSide grubu imzası taşırken, bu saldırının ardından Colonial Pipeline, geçici süreyle hizmet verememişti.
DarkSide da, tıpkı REvil gibi, Colonial Pipeline saldırısının ardından ortadan kaybolmuştu.
Rusya destekli gruplar olduğu bilinen söz konusu grupların, kısa süre önce Rus hacker forumlarından da silindiği ortaya çıkmıştı. Büyük saldırılar ertesinde dikkatleri üzerlerine çeken gruplar, 2021 yılında toplam yaklaşık 16 milyon dolar fidye toplamıştı.
Ortaya çıkan yeni fidye yazılım grubu BlackMatter’ın, bir süredir faaliyet göstermeyen iki fidye yazılım grubuyla bağlantısının olduğu düşünülüyor.
