Türk siber güvenlik şirketi ProDaft, Avrupa Polis Teşkilatı Europol’ün resmi iş ortaklarından biri olduğunu duyurdu.
ProDaft’ın LinkedIN hesabından yapılan açıklamada, firmanın Avrupa Siber Suçlar Merkezi’nin İnternet Güvenliği Danışma Grubu’nun bir üyesi olarak bilgi ve uzmanlık katkısı sağlayacağı belirtildi.
EC3 Danışma Grubu, özel sektörle hukuk uygulaması iş birliğini güçlendirmeyi, Avrupa kurumlarının siber güvenlik alanındaki dayanıklılığını sağlamayı ve AB’nin siber suçlarla mücadele yeteneğini artırmayı amaçlıyor.
İş birliği sayesinde Europol’un siber güvenlik alanında ihtiyaç duyduğu bilgi ve uzmanlık kuruma sağlanacak.
İsviçre merkezli Türk Siber Güvenlik girişimi PRODAFT, Conti fidye yazılım grubunun üyelerini deşifre etti.
Çetenin işlettiği clearnet ve dark web ödeme portalları, çetenin iç işleyişiyle ve üyeleriyle ilgili ayrıntılar kamuya açıklandıktan sonra altyapılarını yenileme girişiminde bulundu.
MalwareHunterTeam’e göre, “Bilgileri sızdırılan Conti fidye yazılımı çetesine ait hem clearweb hem de Tor alan adları hala çevrimiçi ve çalışıyor durumda olsa da ödeme sitesine ait clearweb ve Tor alanları (ki bu sızıntıdan daha önemli görünüyor) azaldı.”
Kapatmaya neyin yol açtığı henüz net değil ancak gelişme Türk siber güvenlik firması PRODAFT’ın, grubun “hizmet olarak fidye yazılımı” modeline dikkat çekmesinin ardından yaşandı.
Söz konusu modelde yazılım geliştiriciler, fidye yazılımı teknolojilerini dark net forumlarında bağlı kuruluşlara satıyor veya kiralıyor. Bu şirketler de daha sonra onlar adına saldırılar gerçekleştirirken kurbanlardan zorla alınan her bir fidye ödemesinin yaklaşık %70’ini mahsup ediyorlar.
Sonuç olarak Conti ekibinin şu ana kadar biri admin (“Tokyo”), ikincisi asistan (“it_work_support@xmpp.jp”) ve üçüncüsü de yeni iştirakleri ağlarına çekmek için görev yapan insan kaynakları görevlisi (“ıt_work”) olmak üzere 3 üyesi tespit edildi.
BİLGİLERİ ŞİFRELEYİP SIZDIRMAKLA TEHDİT EDİYORLAR
Fidye yazılımı saldırıları kurbanların hassas bilgilerini şifrelemeye ve erişilemez hale getirmeye çalışırken, gittikçe daha fazla tehdit aktörü iki yönlü bir strateji uygulama yoluna gidiyor. Söz konusu strateji, belirli bir zaman diliminde fidye ödemesi yapmayan kurbanların hem bilgilerini şifreleme hem de çalınan bilgileri yayınlamakla tehdit edilmesini öngörüyor.
Araştırmacılar, Conti müşterilerinin ve kendileri ile ortak çalışan tehdit aktörlerinin “yeni fidye yazılımı örnekleri” oluşturmak, kurbanları idare etmek ve veri toplamak için dijital bir yönetim paneli kullandıklarını belirtiyor.
SADECE 5 AYDA 25 MİLYON DOLAR KAZANDILAR
Ekim 2019’da siber suçlar piyasasına giren Conti’nin, aynı zamanda kötü bir şöhreti olan bankacılık odaklı kötü amaçlı yazılım TrickBot’un operatörü olan Wizard Spider adlı Rusya merkezli bir tehdit grubunun çalışması olduğuna inanılıyor. O zamandan beri, en az 567 farklı şirketin kritik verilerini açığa çıkaran fidye yazılımı karteli, Temmuz 2021’den bu yana 500’den fazla bitcoin (25.5 milyon $) ödeme aldı.
Dahası, fidye yazılımı örneklerinin ve ödeme almada kullanılan bitcoin cüzdanına dair yapılan bir analiz, Conti ve Ryuk arasındaki bağlantıyı ortaya çıkardı. Her iki grup da saldırılarını gerçekleştirirken TrickBot, Emotet ve BazarLoader gibi zararlı yazılımlara bel bağlıyor.
PRODAFT uzmanları, grubun kurtarma hizmetine ve bir Onion etki alanında gizli bir Tor hizmeti olarak barındırılan bir yönetici yönetim paneline erişebildiklerini ve bağlı kuruluşlardan şifre çözme anahtarlarını satın alma talimatlarını içeren “[contirecovery[.]ws]”adlı bir clearnet web sitesinin kapsamlı ayrıntılarını ortaya çıkardığını açıkladı. İlginç bir şekilde, ayrıntıları geçen ay Team Cymru tarafından yayımlanan Conti’nin fidye yazılımı müzakere sürecine ilişkin bir soruşturma da “contirecovery.info” adlı URL’ye vurgu yapmaktaydı.
Araştırmacılar, “Siber suç örgütlerini çökertmenin zorluğunun üstesinden gelmek için, kamu ve özel kuvvetlerin tehdidin yasal ve ticari etkilerini daha iyi anlamak ve azaltmak için birbirleriyle iş birliği içinde çalışması gerekiyor” diyor.
Yaklaşık iki aydır mobil ortamlarda dolaşan zararlı Android yazılımı, 60 bin kullanıcıyı etkiledi. ‘FluBot’ olarak adlandırılan botnetten mağdur olan kullanıcıların ise yüzde 97’si İspanya’da yaşıyor.
Yılın başından itibaren güvenlik firması ThreatFabric tarafından izlenen FluBot’un çalışma prensibi, siber güvenlik firması PRODAFT tarafından yayımlanan bir raporla ortaya çıkarıldı.
FLUBOT NASIL ÇALIŞIYOR?
PRODAFT raporunda ortaya konulan bilgilere göre söz konusu Trojen, yasal uygulamaların sahte giriş ekranlarını oluşturarak, cihaz sahiplerinden e-bankacılık ve ödeme kartı bilgilerini toplamaya çalışıyor.
Çoğu zararlı yazılımda bulunabilen bu özelliklerin yanında FluBot’un bu derece hızlı yayılmasındaki bir diğer tehlikeli özelliği ise kurbanın adres defterini komuta ve kontrol sunucularında toplamasını sağlayan yazılım operatörü. Böylelikle kurbanların cihazlarından telefon numaralarını toplayabilen FluBot, diğer kişilere SMS spamı gönderebiliyor.
Gönderilen SMS içeriklerinde genellikle kişilerin tıklaması için çeşitli mesajlar barındıran bağlantılar bulunuyor. Söz konusu bağlantılar da kullanıcıları FluBot çetesinin oluşturduğu sahte web sitelerine yönlendiriyor.
Sahte web sitelerinde mağdurlardan zararlı yazılım barındıran APK dosyaları indirilmesi isteniyor. Eğer kurbanlar bu dosyaları indirirse FluBot cihaza bulaşmış oluyor.
Eğer APK dosyalarının talep ettiği izinlerin tümüne onay verilirse FluBot, cihazın üstündeki bütün kontrolü ele geçiriyor. Flubot böylelikle bildirimlerinizi engelleyebiliyor, varsayılan SMS uygulamanız olabiliyor, kişi listenizi çalıyor en önemlisi de girdiğiniz herhangi yasal bir site üzerinde ‘kimlik avı’ sitelerini göstererek bilgilerinizi ele geçiriyor.
İSPANYA NÜFUSUNUN YÜZDE 25’İNİN TELEFON NUMARALARINI TOPLADI
PRODAFT’tan yapılan açıklamada, FluBot’un komuta kontrol panelinin izlenebildiğini ve bu sayede bulaştığı cihazların sayısını belirleyebildikleri aktarıldı.
60 bin virüslü cihazın bulunduğunu söyleyen şirket için en endişe verici nokta FluBot’un bu denli hızlı yayılması.
Şirket tarafından yapılan açıklamada, “Şu anda, virüslü cihazlardan toplanan 11 milyondan fazla telefon numarası var ve bu, İspanya’daki toplam nüfusun yüzde 25’ini oluşturuyor” ifadeleri kullanıldı.
FluBot’a müdehale edilemezse muhtemelen 6 ay içinde İspanya’daki tüm telefon numaralarını toplayabilir.
PRODAFT’ta güvenlik araştırmacısı olan Ahmet Bilal Can, “durumu İspanyol kolluk kuvvetlerine bildirdiklerini” açıkladı.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
