Son zamanlarda kurumları hedefleyen fidye yazılım saldırılarında önemli bir tehdit haline gelen Quantum fidye yazılım grubu bu kez Dominik Cumhuriyetini hedef aldı.
Dominik Cumhuriyeti’ne bağlı Tarım Enstitüsü (Instituto Agrario) birden fazla hizmet ve iş istasyonunun kilitlenmesine sebep olan bir Kuantum fidye yazılımı saldırısına uğradı.
Tarım Bakanlığı’na bağlı faaliyet gösteren Instituto Agrario Dominicano (IAD) ülkedeki Tarım Reformu programlarının yürütülmesinden sorumlu kuruluş.
Yerel basında yer alan haberlere göre fidye yazılımı saldırısı 18 Ağustos’ta meydana geldi ve kurumun çalışmalarını büyük ölçüde etkiledi.
“600 BİN DOLARDAN FAZLA FİDYE İSTİYORLAR”
IAD Teknoloji Direktörü Walixson Amaury Nunez yerel medyaya yaptığı açıklamada “Dört adet fiziksel sunucu ve sekiz sanal sunucu, yani neredeyse tüm sunucularımız etkilendi.” ifadelerini kullandı.
Kuruluşun saldırıdan kurtulmasına yardımcı olan Ulusal Siber Güvenlik Merkezi (CNCS), saldırganların IP adreslerinin ABD ve Rusya’dan olduğunu söylüyor.
Nunez, “Veritabanları, uygulamalar, e-postalar vb. etkilendiği için verilerin güvenliği tamamen tehlikeye girdi” dedi. IAD yerel medyaya yaptığı açıklamada, sistemlerinde sadece antivirüs gibi temel güvenlik yazılımlarının bulunduğunu ve özel bir güvenlik departmanlarının olmadığını belirtti.
SALDIRININ ARKASINDAKİ QUANTUM FİDYE YAZILIMI VAR
Tehdit aktörleri 1TB’ın üzerinde veri çaldıklarını iddia etmiş ve IAD’nin alenen fidye ödememesi halinde bu verileri yayınlamakla tehdit etmişlerdi.
Quantum, 650’den fazla sağlık kuruluşunu etkileyen PFC saldırısıyla bağlantılı olarak, kurumları hedefleyen fidye yazılımı operasyonları arasında önemli bir oyuncu haline geliyor.
Fidye yazılımı çetesinin, MountLocker fidye yazılımı operasyonunun önceki markasını devralan Conti fidye yazılımı operasyonunun bir kolu haline geldiğine inanılıyor.
MountLocker ilk olarak Eylül 2020’de başlayan saldırılarda kullanılmış ancak AstroLocker, XingLocker ve son olarak Quantum da dahil olmak üzere çeşitli isimler altında birçok kez yeniden ortaya çıkmışlardı. Quantum adı altında yeniden ortaya çıkmaları, Ağustos 2021’de fidye yazılımı şifreleyicilerinin şifrelenmiş dosyaların adlarına .quantum dosya uzantısını eklemeye geçmesiyle gerçekleşti. Ancak bundan sonra, hiçbir zaman aktif hale gelmedi ve operasyon çoğunlukla askıda kaldı. Ta ki Conti fidye yazılımı grubu kapanmaya başlayana ve üyeleri sızmak için başka gruplar aramaya başlayana kadar.
Advanced Intel’den Yelisey Boguslavskiy’e göre, Conti siber suç örgütünün bir kısmı, saldırılarda hemen bir artış görülen Quantum operasyonunun saflarına katıldı.
Fidye yazılımı çeteleri, yalan haberler yayarak gazetecileri ve güvenlik araştırmacılarını zor durumda bırakıyor.
Bir fidye yazılımı çetesi olan LockBit, geçtiğimiz Haziran ayında en büyük siber şirketlerden biri olan Mandiant’ı hacklediğini ve elde ettiği verileri yaymakla tehdit ettiğini iddia etti. Mandiant’tan gelen açıklamada ise olağan dışı bir gelişme olmadığı ifade edilerek çetenin iddiası yalanlandı. Günün ilerleyen saatlerinde, hack grubunun “geri sayım saati” sona erdiğinde, LockBit’in hilesi ortaya çıktı. Bilgisayar korsanları, çaldıklarını iddia ettikleri veriler yerine, şirketin çetenin kökenleri hakkında yayınladığı bir araştırmayı eleştirdikleri bir yazı yayınladı. Bu durum, olayı başından beri haberleştiren siber güvenlik muhabirlerini müşkil bir durumda bıraktı.
Gazetecilerin LockBit vakası özelinde karşı karşıya kaldıkları durum istisna değil. Fidye yazılımı çeteleri, amaçlarına ulaşmak için sıklıkla gazetecileri ve bir dereceye kadar güvenlik araştırmacılarını kullanmaya çalışıyor.
Siber güvenlik firması Recorded Future’ın tehdit istihbarat direktörü Allan Liska, konu hakkında Washington Post’a verdiği görüşte, siber güvenlik konusunda yaşanan bir gelişmeyi haberleştirmek isteyen gazetecilerin yaşadığı ikilemi ifade etti. Liska, “Birçok muhabir fidye yazılımı grupları PR’ını yapmadan bu gelişmeyi nasıl haberleştiririm sorusuyla özel olarak boğuşuyor.” dedi.
HACKERLER DEZENFORMASYON AKTÖRÜ OLDU
Gazetecileri ‘trolleyen’ fidye yazılımı çeteleri, haklarında çıkmış olan haberleri, saldırı düzenledikleri kurbanları fidye ödemeye zorlamak için kullanıyor.
Medyanın manipüle edilmesi, fidye yazılımı geliştiricilerinin kâr payı karşılığında kötü amaçlı yazılımlarını paylaştığı ve fidye yazılımının bir ‘hizmet’ olarak sağlandığı iş modeli kapsamında siber suçluların işine yarayabiliyor.
Liska, “Hizmet olarak fidye yazılımı, çok düzeyli pazarlamaya çok benziyor. En başarılı model çok düzeyli pazarlama kampanyaları, liderleri yatlarında gösterişli partiler verdiklerini ve güzel arabalara sahip olduklarını gösteriyor.” dedi.
Gazetecilerin fidye yazılımı gruplarının iddialarını haberleştirme konusunda ikilem yaşaması, dezenformasyonu yayma ve siber suçluların amaçlarına hizmet etme konusunda duydukları endişelere dayanıyor.
HABER YAPARKEN MAĞDURLARLA DA İLETİŞİME GEÇMELİ
Fidye yazılımı korsanlarıyla başarılarını anlatan röportajlar yayınladığı için endüstri tarafından eleştirilere maruz kalan Liska, uygulamayı savundu ve röportajları okuyan herkesin “onlar korkunç şeyler yapan berbat insanlar” şeklinde düşünmeye devam ettiğini söyledi.
Güvenlik ve gazeteciliğin kesişimine odaklanan Columbia Üniversitesi’nden Susan McGregor ise hackerlara şöhret kazandırma konusunda uyarıyor. Gazetecilere, bireysel bir fidye yazılımı saldırısı hakkında haber yapmanın haber değerini göz önünde bulundurmalarını tavsiye eden McGregor, çok sayıda insanın mağdur olduğu bir olayı haberleştirilmeye değer gördüğünü belirtirken, tekil vakaların haber değeri taşımadığını ifade ediyor.
Siber saldırı haberlerinde mağdurla da iletişime geçilmesi gerektiğini ifade eden uzmanlar, diğer taraftan saldırıya uğrama konusunda da yalan söylenmiş olabileceğinin hesaba katılması gerektiğine dikkat çekiyor. Bu durumda gazetecilerin fidye yazılım vakalarını incelerken tüm potansiyel kaynaklara başvurmaları gerekiyor.
ABD, Rusya yanlısı Conti fidye yazılım grubuyla ilgili bilgi sağlayanlara 10 milyon dolar ödül verecek.
Dışişleri Bakanlığından yapılan açıklamada, söz konusu fidye çetesine üye 5 kişi hakkında bilgi verenlere 10 milyon dolar ödeme yapılacağını duyurdu.
Açıklamada ilk kez “Target” kod adlı bir Conti çete üyesinin fotoğrafı yayımlandı. Aranan diğer 4 üyenin isimleri ise “Tramp,” “Dandis,” “Professor” ve “Reshaev” olarak sıralandı.
Adalet Ödülleri programı kapsamında ödemeler, Rusya destekli Sandworm , REvil fidye yazılım grubu ve Evil Corp çetesini de kapsayacak şekilde genişletildi.
Conti grubu dünya çapında düzenlediği binden fazla fidye yazılım saldırılarıyla tanınıyor. Çete şu ana kadar 150 milyon dolardan fazla fidye ödemesi aldı.
Rusya-Ukrayna savaşında Moskova yanlısı tutum izleyen grubun çete üyeleri arasındaki iç yazışmaları ve fidye yazılımın şifre çözücüsünün kaynak kodu sızdırılmıştı.
Conti fidye yazılım grubu faaliyetlerine son verdiğini duyursa da üyeleri hâla aktif ve başka tehdit aktörleriyle iş birliği yapmaya devam ediyor.
Tehdit aktörleri birçok saldırı hizmetini bir arada sunarak siber suç dünyasına yeni bir iş modeli getirdi
Tehdit istihbaratı şirketi Cyberint firmasının araştırmasına göre kendilerini Atlas Intelligence Group (AIG) olarak adlandıran yeni tehdit aktörü, diğer suç örgütlerinden farklı bir şekilde oluşturduğu yeni iş modeliyle hem operasyon güvenliğini sağlama alıyor hem de çok çeşitli suç hizmetleri sunuyor.
GİDEREK TEHLİKELİ BİR HÂL ALIYOR
Cyberint, mayıs ayında keşfettikleri Atlas Intelligence Group veya diğer adıyla Atlantis Cyber-Army olarak bilinen tehdit aktörünün siber suç dünyasında ortaya koyduğu yeni iş modelini ortaya çıkardı.
Diğer siber suç örgütlerinden çok daha farklı bir işleyişe sahip olan AIG, ortaya koyduğu hizmetlerle giderek popülerleşirken aynı zamanda da operasyon güvenliğini üst seviyede tutarak tehlikeli bir hâl alıyor.
AIG’İN DİĞER SİBER SUÇ ÖRGÜTLERİNDEN FARKI
Paylaştığı analiz raporunda Cyberint, mayıs ayından itibaren giderek büyüyen grubu en başta sıradan bir veri sızıntısı grubu olarak gördüklerini ancak sundukları hizmet çeşitliliğini yakından incelediklerinde çok daha geniş bir pencereye baktıklarını belirtti.
Pek çok siber suç örgütü bir veya iki hizmet sunmaya odaklanırken AIG, DDoS, sızdırılmış veri tabanı hizmeti, paneller ve ilk erişim ve Avrupa’daki çeşitli kolluk kuvvetlerinde bulunan üstelik yalnızca belirli kişiler hakkındaS hassas bilgiler sağlayabilen kişilerle bağlantıları olup VIP hizmetler sağlıyor.
Tehdit aktörünün diğer aktörlerden farkı sadece bu değil. Aktör, diğer suç örgütlerinden farklı olarak kalıcı işe alım yapmıyor. Farklı kampanyalar için alanlarında uzmanlaşmış grupları veya kişileri kiralıyorlar. Örneğin oltalama saldırıları için farklı bir grubu kiralayan aktör, web korsanlığı içinse farklı bir grubu işe alıyor. Sürekli olarak farklı grup veya kişileri sundukları hizmetler için kiralayan AIG, böylelikle operasyon güvenliğini de üst seviyeye çıkarmış oluyor.
Paylaştığı raporda Cyberint, söz konusu tehdit aktörünün çalışma prensibini “kartellere” benzetiyor.
TEHDİT AKTÖRÜNÜN YAPISI
Cyberint, söz konusu aktörün başrolünde Mr. Eagle olarak bilinen bir lider ve şimdiye kadar keşfedilen El Rojo, Mr. Shawji, S41T4M4 ve Coffee olarak bilinen dört alt yönetici tarafından organize edildiğini ortaya koydu.
Cyberint araştırmacıları, aktörün lideri Mr. Eagle’ın iş sözleşmeleri yayınlayıp işe alım yaptığını, oldukça profesyonel bir biçimde davrandığını, hata yapmadığını ve oldukça katı kurallara sahip olduğunu belirtti. Aynı zamanda Mr. Eagle, aktörün takipçileri arasında da oldukça yüksek güvenilirliğe sahip olduğunu belirten araştırmacılar, aktörün diğer alt yöneticilerininse reklam ve iletişim kanallarının işleyişinde aktif rol aldığı çok net bir hiyerarşiye sahip olduğunu belirtti.
GRUP BİRÇOK İLETİŞİM KANALI İŞLETİYOR
Atlas Intelligence Group, birden fazla platformda çeşitli iletişim kanalları işletiyor.
Aktör, binlerce abonesi olan üç farklı Telegram kanalı işletiyor. Bunlardan birincisi, bir veritabanı pazarı kanalı olarak görünüyor.
İkinci ve en ilginç kanalsa liderin iş ilanları yayımladığı ve kanal abonelerinin kendi hizmetlerini sunma fırsatı yakaladığı bir kanal olarak biliniyor. Bu kanalda lider ve yöneticiler, sosyal mühendisleri, zararlı yazılım geliştiricileri ve belirli vatandaşları bulmak adına paylaşımlar yapıyor.
Üçüncü kanal ise bir kullanıcı hakkında kişisel bilgilerin ifşa edilmesi gibi, aktörün karşılaştığı dolandırıcılar, sonraki hedefleri ve takipçilerinin ilgisini çekebilecek diğer güncellemeler gibi ekipten duyuruları da yayınlayan başka bir ticari kanal olarak göze çarpıyor.
Bunların yanındaysa aktörün bir de Sellix.io platformunda bir e-ticaret mağazası bulunuyor. Kişiler buradan aktörün hizmetlerini satın alabiliyor.
DİĞER TEHDİT GRUPLARIYLA İLİŞKİLERİ
Aktörün örgütlenmesi ve çalışma yöntemleri, bu kişiler hakkında kesin bir kanıt bulunmamış olsa da sektörde yeni olmadıklarını gösteriyor.
Bu kişilerin geçmişte başka tehdit gruplarında faaliyet göstermiş olmaları veya en azından bir tehdit grubu olarak nasıl hareket edeceklerini bildikleri düşünülüyor.
AIG KİMLERİ HEDEF ALIYOR?
Grup, dünyadaki belirli bir sektörü veya belirli bir bölgeyi hedef almıyor. Aktör dünya çapında faaliyet gösteriyor. Ülkelerin gizli belgelerinden, veritabanlarına, kuruluşlara ilk erişimden başka birçok hizmete kadar çok çeşitli ülkelerden çok çeşitli kurumları hedef alıyor.
Bunun yanı sıra aktörün e-ticaret sitesine bakıldığında satılık veritabanlarının çoğunun devlet kurumları, finans kuruluşları, eğitim ve imalat sektörüne yönelik olduğu görülüyor.
PEDOFİLLERİ BULUP HAPSE GÖNDERİYORLAR
Aktörün en şaşırtıcı faaliyetlerinden birisi de gönüllü olarak dünya çapındaki pedofilleri bulup hapse göndermek.
Aktör, hâlihazırda iki pedofilin ev adresine, telefonlarına ve resimlerine ve daha birçok kişisel verisine ulaşarak mahkûm ettirmeyi başardı.
SOFİSTİKE ANONİM VE HIRSLILAR
Geçtiğimiz aylarda, bazıları fidye yazılımı sektöründen, bazıları veri sızdıranlardan ve bazıları kötü amaçlı yazılım geliştirme sektöründen birçok yeni tehdit grubunun ortaya çıktığını görsek de hepsi hemen hemen aynı reklam ve ekip oluşturma tekniklerini kullanıyor.
Atlas ise, hedeflerine ulaşmak için paralı “kuklalar” kullanarak hepsinden ayrılıyor. Şu ana kadar siber suç endüstrisinde sofistike, son derece anonim, hırslı bir aktör olarak görünen Atlas, gelecekte iz bırakmak ve baskın bir tehdit grubu oluşturmak istiyor.
Atlas’ın doğası göz önüne alındığındaysa, aktörün fidye yazılımı sektörüne de geçmesinin an meselesi olduğu düşünülüyor.
Operasyonlarını durdurmadan önce Kosta Rika hükûmetini hedef alan Conti fidye yazılımı çetesinin gerçekleştirdiği son saldırının arkasındaki sır perdesi aralandı.
Siber istihbarat şirket AdvIntel, Kosta Rika’daki 27 devlet kurumu ve hükûmete bağlı birçok sistemin kontrolünü ele geçiren Conti’nin, ilk erişimden cihazları şifreledikleri son etaba kadar saldırının nasıl gerçekleştiğini ortaya koydu.
ADVINTEL’İN RAPORU SALDIRIYI AYDINLATTI
Conti fidye yazılımı çetesi, 2020 yılında bayrağı Ryuk çetesinden devraldıktan sonra çeşitli sektörlerdeki şirketlere, hükûmet kurumlarına, okullara ve sağlık kurumlarına saldırarak dünyaca tanınan siber suç örgütü hâline gelmişti.
Çete, bu yılın mayıs ayında dağıldıklarını açıklamadan önce 11 Nisan’da Kosta Rika hükûmetine saldırı gerçekleştirmiş ve hükûmet acil durum çağrısı yapmak zorunda kalmıştı.
Advanced Intelligence’ın (AdvIntel) yayımladığı rapor ise söz konusu saldırının nasıl gerçekleştiği hakkında kritik bilgiler barındırıyor.
HÜKÛMET AĞLARINA NASIL SIZDILAR?
Rapor, Rus siber tehdit aktörlerinin ilk erişim noktasından 15 Nisan’da 672 GB veriyi sızdırmaya ve fidye yazılımını yürütmeye kadar olan adımları aydınlatıldı.
Tehdit aktörlerinin giriş noktasının, Kosta Rika Maliye Bakanlığı’na ait bir sistem olduğu, ‘MemberX’ olarak anılan bir üyenin, güvenliği ihlal edilmiş kimlik bilgilerini kullanarak bir VPN bağlantısı üzerinden burada erişim elde ettiği ortaya çıktı.
Advanced Intelligence CEO’su Vitali Kremez, güvenliği ihlal edilen kimlik bilgilerinin, kurban ağında güvenliği ihlal edilen ilk cihaza yüklenen zararlı yazılımlardan elde edildiğini söyledi.
Raporda, saldırının erken aşamalarında 10’dan fazla Cobalt Strike beacon’unun kurulmuş olduğu belirtildi.
SALDIRININ AYRINTILARI
Yerel ağ etki alanı yöneticisi erişimi kazandıktan sonra çete, etki alanı güven ilişkilerini sıralamak için Nltest komut aracını kullandı. Ardından çete, ShareFinder ve AdFind yardımcı programlarını kullanarak ağı, dosya paylaşımı için taradı.
AdvIntel’in raporunda Conti çetesinin Kosta Rika hükûmeti ağındaki aktivitesinin her adımında spesifik komutlar kullandığını ortaya koydu.
1) Conti, hükûmet ağında tarama yapıyor
Araştırmacılar, MemberX’in daha sonra yerel bir makineye dosya paylaşım çıktısını indirmek için Cobalt Strike arka kapı kanalını kullandığını ortaya çıkardı.
Daha sonra tehdit aktörü, bir Cobalt Strike DLL beacon yüklediği ve ardından uzaktan dosya yürütmek için PsExec aracını kullanarak çalıştırdığı yönetimsel paylaşımlara erişim elde etti.
2) Conti, hükûmet ağına Cobalt Strike yüklemek için PsExec aracı kullanıyor
Ardından tehdit aktörleri, kimlik bilgilerini sızdırmak için Mimikatz sömürü aracını kullanarak yerel kullanıcıların oturum açma parolalarını ve NTDS hashlerini topladı.
Araştırmacılar, Conti operatörlerinin Kosta Rika’nın birbirine bağlı ağlarındaki her ana bilgisayara erişim sağlayan bir DCSync ve Zerologon saldırısı yürütmek için Mimikatz’dan yararlandığını belirtti.
Conti, savunucuların Cobalt Strike beaconlarını algılayıp erişimlerini kaybetmemeleri adına Atera uzaktan erişim aracını, yönetici ayrıcalıklarına sahip oldukları daha az kullanıcı etkinliği olan ana bilgisayarlara yerleştirdi.
Conti’nin verileri çalması, birden çok bulut depolama hizmetindeki dosyaları yönetebilen Rclone komut satırı programı kullanılarak mümkün oldu. Conti bunu MEGA dosya barındırma hizmetine veri yüklemek için kullandı.
3) Saldırının diyagramı
Conti fidye yazılımı çetesinin, Kosta Rika hükûmetini bir süre oldukça zor durumda bıraktığı bu saldırının ardından 10 milyon dolar fidye talep ettiği söylenmiş, devlet başkanı Rodrigo Chavez fidyeyi ödemeyi reddedince fidye talebinin 20 milyon dolara yükseltildiği iddia edilmişti.
Söz konusu iddiayı da araştıran AdvIntel araştırmacıları, Conti üyeleri arasındaki iletişimleri inceleyip fidye talebinin 1 milyon ABD dolarının çok altında olduğunu da ortaya çıkardı.
AdvIntel, Conti’nin Kosta Rika hükûmetine yönelik saldırısının “göreceli olarak karmaşık olmadığını” belirterek yanlış yapılandırılmış yönetimsel paylaşımların bu olaya fırsat verdiğini raporunda sundu.
SALDIRININ ARDINDAN ACİL DURUM İLAN EDİLMİŞTİ
Conti’nin gerçekleştirdiği son saldırı olarak bilinen Kosta Rika saldırısının ardından hükûmet ulusal bir acil durum çağrısı yapmıştı. Bu saldırının ardından ABD, Conti üyelerinin kimliklerini açık edecek bilgiler paylaşanlara 10 milyon dolar ödül verileceğini duyurmuştu.
Conti ise bu saldırının ertesinde kısa bir süre sonra operasyonlarını durdurduklarını açıklamış, daha sonra da sızıntı sitelerini kapatmışlardı.
Ancak tüm bu gelişmelerin ardından Conti üyelerinin farklı fidye yazılımı gruplarında faaliyet gösterdiği ve Black Basta fidye yazılımı çetesinin arkasında da Conti operatörlerinin olduğu iddiaları gündemde kalmaya devam ediyor.
