İsviçre merkezli Türk Siber Güvenlik girişimi PRODAFT, Conti fidye yazılım grubunun üyelerini deşifre etti.
Çetenin işlettiği clearnet ve dark web ödeme portalları, çetenin iç işleyişiyle ve üyeleriyle ilgili ayrıntılar kamuya açıklandıktan sonra altyapılarını yenileme girişiminde bulundu.
MalwareHunterTeam’e göre, “Bilgileri sızdırılan Conti fidye yazılımı çetesine ait hem clearweb hem de Tor alan adları hala çevrimiçi ve çalışıyor durumda olsa da ödeme sitesine ait clearweb ve Tor alanları (ki bu sızıntıdan daha önemli görünüyor) azaldı.”
Kapatmaya neyin yol açtığı henüz net değil ancak gelişme Türk siber güvenlik firması PRODAFT’ın, grubun “hizmet olarak fidye yazılımı” modeline dikkat çekmesinin ardından yaşandı.
Söz konusu modelde yazılım geliştiriciler, fidye yazılımı teknolojilerini dark net forumlarında bağlı kuruluşlara satıyor veya kiralıyor. Bu şirketler de daha sonra onlar adına saldırılar gerçekleştirirken kurbanlardan zorla alınan her bir fidye ödemesinin yaklaşık %70’ini mahsup ediyorlar.
Sonuç olarak Conti ekibinin şu ana kadar biri admin (“Tokyo”), ikincisi asistan (“it_work_support@xmpp.jp”) ve üçüncüsü de yeni iştirakleri ağlarına çekmek için görev yapan insan kaynakları görevlisi (“ıt_work”) olmak üzere 3 üyesi tespit edildi.
BİLGİLERİ ŞİFRELEYİP SIZDIRMAKLA TEHDİT EDİYORLAR
Fidye yazılımı saldırıları kurbanların hassas bilgilerini şifrelemeye ve erişilemez hale getirmeye çalışırken, gittikçe daha fazla tehdit aktörü iki yönlü bir strateji uygulama yoluna gidiyor. Söz konusu strateji, belirli bir zaman diliminde fidye ödemesi yapmayan kurbanların hem bilgilerini şifreleme hem de çalınan bilgileri yayınlamakla tehdit edilmesini öngörüyor.
Araştırmacılar, Conti müşterilerinin ve kendileri ile ortak çalışan tehdit aktörlerinin “yeni fidye yazılımı örnekleri” oluşturmak, kurbanları idare etmek ve veri toplamak için dijital bir yönetim paneli kullandıklarını belirtiyor.
SADECE 5 AYDA 25 MİLYON DOLAR KAZANDILAR
Ekim 2019’da siber suçlar piyasasına giren Conti’nin, aynı zamanda kötü bir şöhreti olan bankacılık odaklı kötü amaçlı yazılım TrickBot’un operatörü olan Wizard Spider adlı Rusya merkezli bir tehdit grubunun çalışması olduğuna inanılıyor. O zamandan beri, en az 567 farklı şirketin kritik verilerini açığa çıkaran fidye yazılımı karteli, Temmuz 2021’den bu yana 500’den fazla bitcoin (25.5 milyon $) ödeme aldı.
Dahası, fidye yazılımı örneklerinin ve ödeme almada kullanılan bitcoin cüzdanına dair yapılan bir analiz, Conti ve Ryuk arasındaki bağlantıyı ortaya çıkardı. Her iki grup da saldırılarını gerçekleştirirken TrickBot, Emotet ve BazarLoader gibi zararlı yazılımlara bel bağlıyor.
PRODAFT uzmanları, grubun kurtarma hizmetine ve bir Onion etki alanında gizli bir Tor hizmeti olarak barındırılan bir yönetici yönetim paneline erişebildiklerini ve bağlı kuruluşlardan şifre çözme anahtarlarını satın alma talimatlarını içeren “[contirecovery[.]ws]”adlı bir clearnet web sitesinin kapsamlı ayrıntılarını ortaya çıkardığını açıkladı. İlginç bir şekilde, ayrıntıları geçen ay Team Cymru tarafından yayımlanan Conti’nin fidye yazılımı müzakere sürecine ilişkin bir soruşturma da “contirecovery.info” adlı URL’ye vurgu yapmaktaydı.
Araştırmacılar, “Siber suç örgütlerini çökertmenin zorluğunun üstesinden gelmek için, kamu ve özel kuvvetlerin tehdidin yasal ve ticari etkilerini daha iyi anlamak ve azaltmak için birbirleriyle iş birliği içinde çalışması gerekiyor” diyor.
Geçen yılın ikinci yarısında siber saldırganlar, uzaktan çalışanları ya da eğitim alanları ve dijital tedarik zincirini hedef aldı. Fidye yazılımının hareketliliğinde ilk yarıya kıyasla yedi kata varan bir artış gözlemlendi. Ayrıca Microsoft platformları en çok başvurulan saldırı hedefi olarak öne çıkıyor.
FortiGuard Labs’ın yılda iki kez yayınladığı FortiGuard Labs Küresel Tehdit Raporu‘nun en yeni bulgularını paylaştı. 2020’nin ikinci yarısında elde edilen tehdit istihbaratı, siber saldırganların dünyanın farklı noktalarında gerçekleştirdiği atakların ölçeğini artırmak için sürekli genişleyen saldırı zemininden kazandıkları avantajı en üst seviyeye çıkardığını gösteriyor. Bu da daha önce görülmemiş bir siber tehdit zemininin oluşmasına neden oluyor.
Kendini geliştirme konusunda son derece başarılı olan saldırganlar, yıkıcı etkiler yaratan gelişmiş saldırı zincirleri oluşturuyor. Geleneksel ağın dışında yer alan uzaktan çalışanları ve uzaktan eğitim alanlarını da hedef alan saldırganlar, bu sırada dijital tedarik zincirlerini ve ağ merkezini hedef alırken daha da çevik olduklarını gösteriyor. 2020’nin ikinci yarısını kapsayan raporun öne çıkan noktaları şöyle:
FİDYE YAZILIMLARININ BASKIN TEHLİKESİ DEVAM EDİYOR
FortiGuard Labs verileri 2020’nin ilk yarısına kıyasla birkaç trendden ötürü fidye yazılımının hareketliliğinde yedi kata varan bir artış gözlemliyor. Hizmet olarak fidye yazılımının (RaaS) gelişmesi, daha fazla ses getirmesi için yüksek fidyelerin istenmesi ve koşullar yerine getirilmezse veriyi erişime açma tehdidi bir araya gelmesi bu önemli artışın sebeplerini oluşturuyor.
Egregor, Ryuk, Conti, Thanos, Ragnar; WastedLocker, Phobos/EKING ve BazarLoader, farklı yaygınlık derecesine sahip olan ancak en aktif fidye yazılımları olarak karşımıza çıkıyor. Fidye yazılımları tarafından sıklıkla hedef alınan sektörler arasında sağlık, profesyonel hizmetler, tüketici hizmetleri, kamu sektörü ve finansal hizmetler yer alıyor. Gelişen fidye yazılımlarına karşı etkili bir şekilde korunabilmek için kurumların sıklıkla eksiksiz yedekleme yapması ve bu yedekleri de şirket dışında güvenli bir yerde bulundurması gerekiyor. Sıfır güven erişimi (ZTNA) ve segmentasyon stratejilerinin de riski en aza indirmek için dikkate alınması gerekiyor.
TEDARİK ZİNCİRİ ÖNE ÇIKIYOR
Tedarik zinciri saldırıları çok uzun zamandır yaşanıyor ancak SolarWinds sızıntısı bunu çok farklı boyutlara taşıdı. Saldırı gerçekleşirken bilgilerin büyük çoğunluğu ilgili şirketlerle paylaşıldı. FortiGuard Labs bu gelişmekte olan istihbaratı yakından takip etti. Daha sonra oluşturduğu bu istihbaratı ilgili aktiviteleri tespit etmek ve IoC’ler oluşturmak için kullandı. Aralık 2020’de SUNBURST ile bağlantılı internet altyapısıyla iletişim tespitleri, kampanyanın küresel olduğunu gösteriyor. “Five Eyes” birliğinin kötü amaçlı IoC’lerle eşleşen yüksek miktarda trafik gözlemlemesi de bu durumu doğruluyor. İkincil hedeflerin olduğunu belirten kanıtlar, modern tedarik zinciri saldırılarının birbiriyle bağlantılı yapısını ve tedarik zinciri risk yönetiminin önemini gözler önüne seriyor.
SALDIRGANLAR ÇEVRİMİÇİ AKTİVİTELERİ HEDEF ALIYOR
En uzun süre varlığını devam ettiren kötü amaçlı yazılım kategorileri incelendiğinde siber saldırganların şirket içinde bir dayanak oluşturmak için en sık tercih ettiği yöntem açığa çıkıyor. Microsoft platformu, birçok kişinin sıradan bir iş gününde kullandığı belgelerden faydalanmak için en çok başvurulan saldırı hedefi olarak öne çıkıyor. Web tarayıcıları da başka bir hedef. Bu HTML kategorisinde, kötü amaçlı yazılım yüklü oltalama siteleri ve kod enjekte eden ya da kullanıcıları kötü amaçlı sitelere yönlendiren komut dizileri yer alıyor. Bu tür tehditler, küresel sorunlar yaşandığında ya da online ortamların büyük ölçüde kullanıldığı dönemlerde artış gösteriyor. Şirket ağından internete genellikle web filtreme hizmeti kullanarak bağlanan çalışanlar, internete bu koruyucu filtre olmadan bağlandığı için kendilerini daha fazla tehlikeye açık hissediyor.
EVDEN ÇALIŞANLAR HALA HEDEF ALINIYOR
2020’de ev ile ofis arasındaki engeller önemli ölçüde ortadan kalktı. Bu da evleri hedef alan saldırganların şirket ağına daha kolay girebilmesini sağlıyor. 2020’nin ikinci yarısında Nesnelerin İnterneti (IoT) cihazlarını hedef alan saldırılar, listenin ilk sıralarında yer aldı. Her IoT cihazı, beraberinde korunması ve her cihazda olması gerektiği gibi güvenlik izlemesi ve uygulaması gerektiren yeni bir uç nokta haline geliyor.
TEHDİT AKTÖRLERİ DÜNYA SAHNESİNE ÇIKIYOR
Gelişmiş Kalıcı Tehdit (Advanced Persistent Threat, APT) grupları birçok yöntem ile COVID-19 pandemisini istismar etmeye devam ediyor. Bu yöntemler arasında en sıklıkla kullanılanı ise sayıca fazla bireyin kişisel bilgilerini toplamaya ve çalmaya odaklanan, APT gruplarının uluslara yönelik ilgili istihbaratları ele geçiren saldırıları yer alıyor. 2020’nin sonuna yaklaşıldığında aşı araştırması ya da yerel veya uluslararası sağlık ilkeleri geliştirmek gibi COVID-19 ile ilgili bir iş yapan kurumları hedef alan APT aktivitelerinde bir artış gözlemlendi. Hedef alınan kurumlar arasında kamu kuruluşları, ilaç firmaları, üniversiteler ve medikal araştırma şirketleri yer alıyor.
Siber saldırganlar zafiyetleri kendi faydalarına göre istismar etmek istediği için şirketlerin öncelikleri arasında zafiyetleri yamayla kapatma ve ortadan kaldırma gibi başlıklar yer alıyor. Son iki yılda bilinen 1.500 zafiyetin durumu incelendiğinde ortaya çıkan veri, zafiyetlerin ne kadar hızlı ortaya çıktığını ve kapsamlı olduğunu ortaya koyuyor. Durum her zaman böyle olmasa da birçok zafiyet çok hızlı yayılıyor gibi görünmüyor.
Son iki yılda gözlemlenen zafiyetlerin sadece yüzde 5’i, şirketlerin yüzde 10’undan fazlasında görüldü. Aksi bir durum olmazsa, bir zafiyet rastgele seçildiğinde veriler, şirketlerin bu zafiyet üzerinden saldırıya uğrama ihtimalinin binde bir olduğunu ortaya koyuyor.
Zafiyetlerin yalnızca yüzde 6’sı, ilk ay içerisinde şirketlerin yüzde 1’ine saldırmak için kullanılıyor ve 1 yıl sonrasında bakıldığında zafiyetlerin yüzde 91’i, yüzde 1 barajını geçemiyor. Yine de bilinen zafiyetleri ortadan kaldıracak çalışmalara odaklanmak çok önemli. Bu zafiyetler arasında da yayılım hızı fazla olanlara öncelik vermek gerekiyor.
ENTEGRE BİR STRATEJİYE İHTİYAÇ VAR
Kurumlar, her alandan gerçekleşen saldırıların bulunduğu bir tehdit zeminiyle karşı karşıya. Tehdit istihbaratı, bu tehditleri anlamak ve gelişen tehdit yöntemlerine karşı savunmak için önemini korumaya devam ediyor. Özellikle çalışanların önemli bir kısmının alışılmış ağ senaryosunun dışında olduğu durumlarda görünürlük kritik öneme sahip. Her cihaz, gözlemlenmesi ve korunması gereken yeni bir ağ bileşeni haline geliyor. Yapay zeka (AI) ve otonom tehdit denetimini kullanarak şirketler saldırılara sonra değil, anında karşılık verebiliyor. Ayrıca uç noktaların tamamında hızından ve ölçeğinden bağımsız olarak tüm saldırıların etkisini azaltmak için de gerekli. Siber hijyen sadece BT’yi ve güvenlik ekiplerini değil, herkesi ilgilendirdiği için kullanıcı farkındalığına yönelik siber güvenlik eğitimlerine de öncelik verilmesi gerekiyor. Çalışanları ve kurumları güvenli tutmak için herkesin düzenli eğitime ve en iyi uygulamalara yönelik açıklamaya ihtiyacı var.
FortiGuard Labs Güvenlik Yaklaşımları ve Global Tehdit Ortaklığı Başkanı Derek Manky, konuyla ilgili şu değerlendirmelerde bulundu:
“2020’nin ilk gününden son gününe kadar her an dikkat çeken bir siber tehdit zemini gördük. Pandeminin de etkisiyle yılın ilerleyen dönemlerinde siber saldırganlar saldırılarını yıkıcı sonuçlar yaratacak şekilde geliştirdi. Dijital saldırı zeminini merkez ağın da ilerisine taşıyarak uzaktan çalışanları ya da eğitim alanlarını ve dijital tedarik zincirini kapsayacak şekilde genişlettiler. Artık her şey daha büyük bir dijital ortamda birbirleriyle bağlantı halinde olduğu için siber güvenlik riski de hiç olmadığı kadar arttı. Aksiyon alınabilen tehdit istihbaratıyla desteklenen entegre ve yapay zekadan güç alan platform yaklaşımı, sınırların tamamında korumayı sağlayabilmek ve günümüz dünyasında kurumların karşılaştığı tehditleri gerçek zamanlı bir şekilde tespit edebilmek ve ortadan kaldırabilmek için kritik öneme sahip.”
Siber Bülten abone listesine kaydolmak için formu doldurunuz
