Rusya yanlısı Killnet hacker grubunun liderinin kimliği ortaya çıkarıldı.
Gazete.ru adlı Rus medya kuruluşuna göre, Rusya’yı destekleyen hacktivist grup Killnet’in liderinin kimliği belirlendi. Hackerın internet üzerinde Killmilk adını kullanan 30 yaşındaki Rus vatandaşı Nikolai Serafimov olduğu öner sürüldü.
Hackerın kimliğinin ifşa edilmesinin Killnet grubunu olumsuz etkileyeceği ve grubun dağılabileceği belirtiliyor.
Killnet hacktivist eylemleriyle dikkat çekse de, Killmilk kendi topluluğu içinde olumsuz bir imaja sahip olduğu biliniyor. Killmilk’in sık sık başkalarının gerçekleştirdiği operasyonları üstlenme ve uçuk vaatlerini yerine getirememe gibi davranışları dikkat çekiyor.
İki aydan kısa bir süre içinde yaklaşık 200 kuruluşa saldıran yeni ve giderek daha aktif hâle gelen bir fidye yazılımı grubu, fidye talebine farklı bir bakış açısı getirdi. Anti-kapitalist olduklarını söyleyen ve MalasLocker adlı fidye yazılımını kullanan isimsiz grup, kurbanlarından kendilerine değil hayır kuruluşlarına bağış yapmalarını istiyor.
“EKONOMİK EŞİTSİZLİKTEN HOŞLANMIYORUZ”
Zimbra adlı çevrim içi iş birliği aracının kurbanlarını hedef alan grubun giderek artan saldırıları kullanıcıları alarma geçirmişti.
Kurbanlara bıraktıkları fidye notunda ise grup, “Geleneksel fidye yazılımı gruplarının aksine sizden bize para göndermenizi istemiyoruz. Biz sadece şirketlerden ve ekonomik eşitsizlikten hoşlanmıyoruz. Sizden sadece onayladığımız, kâr amacı gütmeyen bir kuruluşa bağış yapmanızı istiyoruz.” ifadelerini kullandı.
“BİZDEN ÇALINANLARI GERİ ALACAĞIZ”
Fidye yazılım grubunun dark web sitesinde üç şirket kurban olarak listelenirken, 170 diğer kuruluş da hedef listesinde.
Grup, sitelerinde yayımladığı mesajda Afrika ve Latin Amerika’da bulunan yabancı yatırımcıların büyük şirketleri hariç küçük işletmelere dokunmayacaklarını, ABD, Rusya ve Avrupa’daki şirketleri hedef alacaklarını duyurdu.
Bununla birlikte grup “Göreceli refahlarının hırsızlık üzerine kurulu olduğunu düşünüyoruz ve bizden çalınanları çalabildiğimizi geri alacağız.” ifadelerini kullandı.
“Onlar bize ne kadar sempati duyuyorsa biz de onlara o kadar sempati duyuyoruz. İster ödeme yapsınlar, dosyalarının şifresini çözsünler, ister yapmasınlar ve sızdırılsınlar fark etmez. Yasaları istedikleri gibi çiğniyorlar ve hatta yasaları yeniden yazıyorlar. Yazdıkları yasalar sadece bir ölüm sistemini meşrulaştırmaya ve sürdürmeye hizmet ediyor. Birkaç kişinin kârları karşılığında kitlesel yok oluşlar vaat ediyorlar. Anlamsız para ve güç arayışlarında hiçbir şeyden taviz vermiyorlar. Ancak onları buna zorlayacak güce sahibiz. İsyanın gücü, sendikanın gücü, toplu eylemin gücü, sabotajın gücü, ateşin gücü ve hack’in gücü budur!”
“Bazı şirketler bize ödeme yapmak istemeyecek ama biz bunları onlar için yapmıyoruz. Biz, Afrika’daki, Latin Amerika’daki, Filistin’deki ve tüm dünyadaki diğer çocuklar için bunu yapıyoruz. Fidye yazılımı şu anda olduğu gibi birkaç Rus grubunun işi olmamalı. Bu, hepimiz için bir araç, toplumlarımızı yağmalayan ülkeleri soyarak toplumlarımızı yükselteceğiz. Daha yeni başlıyoruz ve ne yazık ki kamuya açık istismarlara karşı savunmasız olan şirketler büyük, çok uluslu şirketler değil, daha küçük şirketler olma eğiliminde. Bunu daha fazla hak eden hedeflerin peşinden gidebilmek için yeteneklerimizi olabildiğince hızlı bir şekilde öğreniyor ve geliştiriyoruz.”
Grubun sitesinde ayrıca birçok feminist slogan da yer alıyor.
Siber güvenlik uzmanları grubun şu anda küçük kuruluşlara odaklandığını ancak akıllarında daha büyük hedefler olduğu yorumunu yaptı.
ABD’li ağ teknolojisi devi, Çinli Yanluowang fidye yazılım çetesinin sızdırdığı bilgilerin şirket kayıtlarıyla uyuştuğunu açıkladı.
Fidye çetesi firmadan geçtiğimiz mayıs ayında ele geçirdiği ve 55 GB büyüklüğünde olduğunu iddia ettikleri bilgilerin bir kısmını dün sızıntı sitesinde paylaşmıştı. Paylaşımın ardından şirket de çalıntı verilerin doğruluğunu kabul etti.
Firmadan yapılan konuya ilişkin açıklamada saldırının şirkete yönelik herhangi bir olumsuz etkisinin bulunmadığı iddiası yinelendi.
Açıklamada tehdit aktörlerinin sızdırdığı bilgilerin firma kayıtlarıyla uyuştuğu ve daha önce tespit edilen veriler olduğu ifade edildi. Firmanın açıklamasında şu değerlendirmelere yer verildi: “Saldırıya ilişkin Cisco ürünleri, hizmetleri, hassas müşteri verileri, çalışan bilgileri, fikri mülkiyet ve tedarik zinciri operasyonlarına herhangi bir etkisi gözlemlenmemiştir.”
Tehdit aktörleri firmaya ait kaynak kodlarını da ele geçirdiğini öne sürmüş ancak şirketten bunu ispat eden bir bulguya rastlanmadığı açıklaması gelmişti.
Geçen ay firmadan yapılan açıklamaya siber saldırı doğrulanmıştı. Açıklamada saldırının tarihi 24 Mayıs olarak bildirilirken Cisco ekibi, bir çalışanının kişisel Google hesabının ele geçirildiği, ele geçirilen Google hesabında kayıtlı olan Cisco uzantılı kurumsal ağa giriş parolası çalınarak VPN üzerinden uzaktan sisteme erişildiğini tespit ettiklerini açıklamıştı.
Siber suçlular kötü niyetli faaliyetleri için bir komuta ve kontrol (C2) merkezi oluşturmak üzere Dark Utilities adlı yeni bir hizmete adeta akın ediyor.
Güvenlik araştırmacıları, siber suçluların kötü niyetli operasyonları için bir komuta ve kontrol (C2) merkezi kurmaları noktasında kolay ve ucuz bir yol sağlayan Dark Utilities adlı yeni bir hizmeti keşfettiler.
Dark Utilities, tehdit aktörlerine Windows, Linux ve Python tabanlı payloadları destekleyen bir platform sağlıyor. Bir C2 sunucusu, düşmanların kötü amaçlı yazılımlarını kontrol etme, komutlar, yapılandırmalar ve yeni payloadlar gönderme ve güvenliği ihlal edilmiş sistemlerden toplanan verileri alma işlemlerini yerine getiriyor.
Dark Utilities operasyonu, güvenilir, anonim C2 altyapısını ve gerekli tüm ek işlevleri sadece 9,99 Avro başlangıç fiyatıyla sunan bir ‘hizmet olarak C2 (C2aaS)’ olarak öne çıkıyor.
HÂLİHAZIRDA 3 BİN ABONESİ VAR
Cisco Talos’un bir raporuna göre hizmetin yaklaşık 3 bin aktif abonesi bulunuyor ve bu da operatörlere yaklaşık 30 bin Avro gelir getirecek.
Dark Utilities 2022’nin başlarında ortaya çıktı ve hem Tor ağında hem de açık web’de tam gelişmiş C2 yetenekleri sunuyor. Ayrıca veri depolamak ve paylaşmak için merkezi olmayan bir ağ sistemi olarak bilinen Gezegenlerarası Dosya Sistemi’nde (IPFS) payloadlar barındırıyor. Hizmette birden fazla mimari destekleniyor ve operatörlerin hedeflenebilecek daha geniş bir cihaz seçeneği sunmak için listeyi genişletmeyi planladıkları biliniyor.
Cisco Talos araştırmacıları, bir işletim sisteminin seçilmesinin, “tehdit aktörlerinin genellikle kurban cihazlarda payload’un alınmasını ve yürütülmesini kolaylaştırmak için PowerShell veya Bash komut dosyalarına yerleştirdiği” bir komut dizesi oluşturduğunu söylüyor.
Seçilen payload ayrıca Windows’ta bir Kayıt Defteri anahtarı veya Linux’ta bir Crontab girişi veya bir Systemd hizmeti oluşturarak hedef sistemde kalıcılık sağlar. Araştırmacılara göre, yönetim paneli, dağıtılmış hizmet reddi (DDoS) ve cryptojacking dahil olmak üzere çeşitli saldırı türleri için birden fazla modülle birlikte geliyor.
Hizmete halihazırda abone olan on binlerce tehdit aktörü ve düşük fiyatıyla Dark Utilities’in daha az vasıflı düşmanlardan oluşan daha büyük bir kalabalığı çekmesi muhtemel görünüyor.
Popüler sosyal medya platformu Twitter üzerinde bulunan 5,4 milyon hesaba ait bilgilerin bulunduğu bir veri tabanı satışa çıkarıldı.
Dark Web’de bir forumda yayımlanan mesajda siber tehdit unsurları, Twitter’da tespit edilen ve daha sonra düzeltilen bir güvenlik açığını istismar ederek 5,4 milyon hesabın verilerini elde ettiğini iddia etti
Verileri tümünü 30 bin dolar bedelle satışa çıkaran tehdit aktörleri, veri tabanında ünlülerin ve büyük firmaların da hesaplarına ait bilgilerin yer aldığını öne sürdü.
Örnek veri setini de paylaşan saldırganların ele geçirdiği veriler arasında e-posta ve telefon numaraları da yer alıyor.
