CONTİ: TARİHİN EN ZARARLI FİDYE YAZILIMI ÇETELERİNDEN BİRİ
Conti çetesi, siber güvenlikte tüm zamanların en zararlı fidye yazılımı operasyonu olarak değerlendiriliyor. Ağırlıklı olarak Rusya merkezli olarak bilinen çetenin ortaya çıkışı 2020 yılında olurken kurban ağlarına sızmak için oltalama kampanyaları, çalınmış RDP bilgileri, yazılım zafiyetleri gibi çeşitli taktikler uyguladıkları biliniyor.
Son iki yılda gerçekleştirdikleri operasyonlar nedeniyle üne kavuşan çete, bu yılın mayıs ayında operasyonlarını durduklarını açıklamıştı. Dikkatleri azaltmak için bu yola başvurdukları düşüncesiyle birlikte çetenin dikkatler azaldığında yeniden bir araya gelip orijinaline benzer yeni bir suç örgütü kuracağı tahmin ediliyor.
Conti fidye yazılım çetesi bitti ama operasyonları devam ediyor
CONTİ YENİDEN BİR ARAYA GELİR Mİ? HALEFLERİ KİM?
Conti operatörleri, mayıs ayında yönetim panellerini, sunucularını, sohbet odalarını kolluk kuvvetlerinden ve medya ilgisinden kaçınmak için kapatmış bununla birlikte birkaç hafta sonra da sızıntı sitesine son vermişti.
O dönemde AdvIntel tarafından yapılan bir analizde araştırmacılar, çetenin ana aktörlerinin, grup resmî olarak dağılmadan birkaç ay önce başka görünüşler altında operasyonlarını sürdürme planlarını uygulamaya koydukları sonucuna varmıştı.
Intel 471’den araştırmacılar, yaptıkları analizler sonucu Conti’nin fidye yazılımı sahnesinden inmesinden yaklaşık bir ay önce faaliyete geçen Black Basta fidye yazılımı çetesinin Conti’nin kılık değiştirme planına uygun düştüğünü ortaya koydu.
BLACK BASTA FİDYE YAZILIM ÇETESİ KİMDİR?
İlk kez Nisan 2022’de keşfedilen ve birkaç aydır aktif olan Black Basta fidye yazılım çetesi, ABD, İngiltere, Hindistan, Kanada, Avustralya, Yeni Zelanda ve Birleşik Arap Emirlikleri gibi çeşitli ülkelerdeki 50’ye yakın hedefe saldırdığı biliniyor.
Hedeflenen organizasyonlardan gelen şikâyetler doğrultusunda araştırmalarını yöneten siber güvenlik araştırmacıları, Black Basta fidye yazılımına ilk kez bu yılın nisan ayında yani Conti’nin dağılmasından bir ay önce rastladı.
Henüz Black Basta çetesinin kökeni belirli olmasa da yeraltı forumlarında Black Basta’yla bağlantıları olduğunu iddia eden kişiler tarafından bazı Rusça yazılar paylaşıldığı biliniyor.
Hâlihazırda Black Basta’nın belirli bir endüstri hedefi olmasa da saldırdığı hedefler arasında imalat, kamu, ulaşım ve hükûmet kuruluşları bulunuyor. Bir hayli geniş kurban listesinin yanında Black Basta fidye yazılımını ilgi çekici kılan birkaç detay da bulunuyor.
BLACK BASTA FİDYE YAZILIMI NASIL ÇALIŞIYOR?
Yapılan araştırmalar sonucu Black Basta’nın VMWare ESXi varyantlarının, Windows sistemlerine bulaşan sürümlerin yanı sıra Linux sunucularında çalışan sanal makineleri hedeflediği, buna ek olarak bir organizasyon içinde yanlamasına hareket etmesine, keşif yapmasına, veri çalmasına ve payload yürütmesine yardımcı olmak içinse Qakbot’u kullandığı belirtiliyor.
Hedefledikleri şirketlerden veri çalarak işlerine başlayan yeni fidye yazılımı sonrasında şirketlerin bilgisayar sistemlerindeki dosyaları şifreliyor.
Fidye yazılımı hedefe kurulup dosyaları şifreleyip gölge kopyaları ve diğer yedeklemeleri sildikten sonra çete, kurbanlarından fidye talep ediyor. Black Basta’ya hedef olan kurbanlar verilerindeki şifreyi çözmeyi veya Black Basta çetesinin verilerini sızdırmasını engellemek istediğindeyse kripto para şeklinde büyük miktarlarda fidye isteniyor.
CONTİ ÇETESİYLE OLAN BENZERLİK
Intel 471 araştırmacı, Black Basta’nın veri sızıntı siteleri, ödeme siteleri, kurtarma portalları, iletişim ve müzakere yöntemleri gibi altyapılarının Conti’nin operasyonlarıyla örtüştüğüne raporlarında yer verdi.
Black Basta çetesiyle benzerliklerinin yanında Intel 471, ayrıca Conti ile önemli benzerliklere sahip olan iki fidye yazılımı çetesi daha belirledi. BlackByte ve Karakurt olarak bilinen fidye yazılımı çetelerinin haricinde birçok Conti operatörü de Ryuk, Maze, LockBit 2.0, BlackCat, Hive ve HelloKitty dâhil olmak üzere çeşitli fidye yazılımı çeteleriyle ittifak kurduğu raporda yer aldı.
Intel471’den istihbarat direktörü Brad Crompton, “Güvenlik ekiplerinin işletmelerini savunmak için siber suçluların operasyonlarını nasıl organize ettiğini anlamaları gerekiyor. Conti dağılmış olsa da eski operatörler hâlâ benzer teknikler kullanıyorlar, bu da güvenlik ekiplerinin Conti’nin dağılmasını tamamen görmezden gelmek yerine benzer saldırıları durdurmak için önceki stratejilerini kullanmalarına devam etmeleri gerekiyor.” dedi.
BLACK BASTA FİDYE YAZILIMINDAN NASIL KORUNULUR?
Sadece Black Basta’ya özel olmamakla birlikte hemen her fidye yazılımı saldırılarına karşı benzer güvenlik önlemlerinin alınması, siber saldırılardan korunmaya veya etkisini azaltmada yardımcı olacağı biliniyor.
Söz konusu önlemler arasında güvenlik zafiyetlerine karşı en son güvenlik güncellemelerine sahip olmak, hassas veri ve hesapları korumak için benzersiz parolalar kullanmak, çok faktörlü kimlik doğrulamaları etkinleştirmek, hassas verileri mümkün olan her yerde şifrelemek, ihtiyaç duyulmayan işlevleri devre dışı bırakmak, siber tehdit aktörlerinin kullandığı saldırı yöntemleri hakkında çalışanları bilgilendirmek bulunuyor.
