İsviçre merkezli Türk Siber Güvenlik girişimi PRODAFT, Conti fidye yazılım grubunun üyelerini deşifre etti.
Çetenin işlettiği clearnet ve dark web ödeme portalları, çetenin iç işleyişiyle ve üyeleriyle ilgili ayrıntılar kamuya açıklandıktan sonra altyapılarını yenileme girişiminde bulundu.
MalwareHunterTeam’e göre, “Bilgileri sızdırılan Conti fidye yazılımı çetesine ait hem clearweb hem de Tor alan adları hala çevrimiçi ve çalışıyor durumda olsa da ödeme sitesine ait clearweb ve Tor alanları (ki bu sızıntıdan daha önemli görünüyor) azaldı.”
Kapatmaya neyin yol açtığı henüz net değil ancak gelişme Türk siber güvenlik firması PRODAFT’ın, grubun “hizmet olarak fidye yazılımı” modeline dikkat çekmesinin ardından yaşandı.
Söz konusu modelde yazılım geliştiriciler, fidye yazılımı teknolojilerini dark net forumlarında bağlı kuruluşlara satıyor veya kiralıyor. Bu şirketler de daha sonra onlar adına saldırılar gerçekleştirirken kurbanlardan zorla alınan her bir fidye ödemesinin yaklaşık %70’ini mahsup ediyorlar.
Sonuç olarak Conti ekibinin şu ana kadar biri admin (“Tokyo”), ikincisi asistan (“[email protected]”) ve üçüncüsü de yeni iştirakleri ağlarına çekmek için görev yapan insan kaynakları görevlisi (“ıt_work”) olmak üzere 3 üyesi tespit edildi.
BİLGİLERİ ŞİFRELEYİP SIZDIRMAKLA TEHDİT EDİYORLAR
Fidye yazılımı saldırıları kurbanların hassas bilgilerini şifrelemeye ve erişilemez hale getirmeye çalışırken, gittikçe daha fazla tehdit aktörü iki yönlü bir strateji uygulama yoluna gidiyor. Söz konusu strateji, belirli bir zaman diliminde fidye ödemesi yapmayan kurbanların hem bilgilerini şifreleme hem de çalınan bilgileri yayınlamakla tehdit edilmesini öngörüyor.
Araştırmacılar, Conti müşterilerinin ve kendileri ile ortak çalışan tehdit aktörlerinin “yeni fidye yazılımı örnekleri” oluşturmak, kurbanları idare etmek ve veri toplamak için dijital bir yönetim paneli kullandıklarını belirtiyor.
SADECE 5 AYDA 25 MİLYON DOLAR KAZANDILAR
Ekim 2019’da siber suçlar piyasasına giren Conti’nin, aynı zamanda kötü bir şöhreti olan bankacılık odaklı kötü amaçlı yazılım TrickBot’un operatörü olan Wizard Spider adlı Rusya merkezli bir tehdit grubunun çalışması olduğuna inanılıyor. O zamandan beri, en az 567 farklı şirketin kritik verilerini açığa çıkaran fidye yazılımı karteli, Temmuz 2021’den bu yana 500’den fazla bitcoin (25.5 milyon $) ödeme aldı.
Dahası, fidye yazılımı örneklerinin ve ödeme almada kullanılan bitcoin cüzdanına dair yapılan bir analiz, Conti ve Ryuk arasındaki bağlantıyı ortaya çıkardı. Her iki grup da saldırılarını gerçekleştirirken TrickBot, Emotet ve BazarLoader gibi zararlı yazılımlara bel bağlıyor.
PRODAFT uzmanları, grubun kurtarma hizmetine ve bir Onion etki alanında gizli bir Tor hizmeti olarak barındırılan bir yönetici yönetim paneline erişebildiklerini ve bağlı kuruluşlardan şifre çözme anahtarlarını satın alma talimatlarını içeren “[contirecovery[.]ws]”adlı bir clearnet web sitesinin kapsamlı ayrıntılarını ortaya çıkardığını açıkladı. İlginç bir şekilde, ayrıntıları geçen ay Team Cymru tarafından yayımlanan Conti’nin fidye yazılımı müzakere sürecine ilişkin bir soruşturma da “contirecovery.info” adlı URL’ye vurgu yapmaktaydı.
Araştırmacılar, “Siber suç örgütlerini çökertmenin zorluğunun üstesinden gelmek için, kamu ve özel kuvvetlerin tehdidin yasal ve ticari etkilerini daha iyi anlamak ve azaltmak için birbirleriyle iş birliği içinde çalışması gerekiyor” diyor.
