ABD, Rusya yanlısı Conti fidye yazılım grubuyla ilgili bilgi sağlayanlara 10 milyon dolar ödül verecek.
Dışişleri Bakanlığından yapılan açıklamada, söz konusu fidye çetesine üye 5 kişi hakkında bilgi verenlere 10 milyon dolar ödeme yapılacağını duyurdu.
Açıklamada ilk kez “Target” kod adlı bir Conti çete üyesinin fotoğrafı yayımlandı. Aranan diğer 4 üyenin isimleri ise “Tramp,” “Dandis,” “Professor” ve “Reshaev” olarak sıralandı.
Adalet Ödülleri programı kapsamında ödemeler, Rusya destekli Sandworm , REvil fidye yazılım grubu ve Evil Corp çetesini de kapsayacak şekilde genişletildi.
Conti grubu dünya çapında düzenlediği binden fazla fidye yazılım saldırılarıyla tanınıyor. Çete şu ana kadar 150 milyon dolardan fazla fidye ödemesi aldı.
Rusya-Ukrayna savaşında Moskova yanlısı tutum izleyen grubun çete üyeleri arasındaki iç yazışmaları ve fidye yazılımın şifre çözücüsünün kaynak kodu sızdırılmıştı.
Conti fidye yazılım grubu faaliyetlerine son verdiğini duyursa da üyeleri hâla aktif ve başka tehdit aktörleriyle iş birliği yapmaya devam ediyor.
Avrupa’da Rus doğal gazının arzıyla ilgili sıkıntılar yaşanırken, kıtada önemli bir enerji şirketine siber saldırı düzenlendi
Gaz boru hattı operatörü ve enerji şirketi Encevo saldırının ardından birçok Avrupa ülkesindeki müşterilere kimlik bilgilerini güncelleme çağrısı yapıldı.
Lüksemburg merkezli enerji tedarikçisi Encevo, 25 Temmuz’da iştiraklerinin bir fidye yazılımı saldırısına maruz kaldığını duyurdu. Şirket birkaç gün sonra da ekiplerin şu anda uğranılan zararın boyutunu araştırdığını açıkladı.
“FİDYE ÖDENMEZSE 150 GB VERİ YAYINLAYACAĞIZ”
Edinilen bilgiye göre BlackCat adlı fidye yazılımı grubu Encevo’dan çalındığı iddia edilen sözleşmeler, pasaportlar, faturalar ve e-postalar da dahil olmak üzere 150 GB’lık veriyi sitesinde yayınladı ve fidye ödenmediği takdirde bunları birkaç saat içinde yayınlamakla tehdit etti.
BlackCat; BlackMatter ve REvil gibi kötü ün yapmış ve şimdilerde dağılmış olan grupların eski üyeleriyle oluşturulmuş zorlu bir fidye yazılımı aktörü olarak ortaya çıktı.
HİZMETLER KESİNTİYE UĞRAMAYACAK
Saldırı özellikle doğal gaz boru hattı operatörü Creos ve enerji tedarikçisi Enovos’u etkiledi. Encevo, siber saldırıyla ilgili yaptığı açıklamada, kullanıcılara saldırı neticesinde tedarikin kesintiye uğramayacağı garantisini verdi, ancak müşterilerin sisteme giriş bilgilerini mümkün olan en kısa sürede güncellemelerini tavsiye etti.
“Encevo Group, potansiyel olarak etkilenen her bir kişiyi kişisel olarak bilgilendirmek için gerekli tüm bilgilere şimdilik sahip değil. Bu nedenle müşterilerimizden şu an için bizimle iletişime geçmemelerini rica ediyoruz. Verdiğimiz rahatsızlıktan dolayı müşterilerimizden bir kez daha özür diliyor ve mümkün olan en kısa sürede hizmetlerimizi yeniden sağlamak için elimizden geleni yapıyoruz.”
Geçen hafta da ABD’de de bir benzin dağıtım firması siber saldırının hedefi olmuştu.
Operasyonlarını durdurmadan önce Kosta Rika hükûmetini hedef alan Conti fidye yazılımı çetesinin gerçekleştirdiği son saldırının arkasındaki sır perdesi aralandı.
Siber istihbarat şirket AdvIntel, Kosta Rika’daki 27 devlet kurumu ve hükûmete bağlı birçok sistemin kontrolünü ele geçiren Conti’nin, ilk erişimden cihazları şifreledikleri son etaba kadar saldırının nasıl gerçekleştiğini ortaya koydu.
ADVINTEL’İN RAPORU SALDIRIYI AYDINLATTI
Conti fidye yazılımı çetesi, 2020 yılında bayrağı Ryuk çetesinden devraldıktan sonra çeşitli sektörlerdeki şirketlere, hükûmet kurumlarına, okullara ve sağlık kurumlarına saldırarak dünyaca tanınan siber suç örgütü hâline gelmişti.
Çete, bu yılın mayıs ayında dağıldıklarını açıklamadan önce 11 Nisan’da Kosta Rika hükûmetine saldırı gerçekleştirmiş ve hükûmet acil durum çağrısı yapmak zorunda kalmıştı.
Advanced Intelligence’ın (AdvIntel) yayımladığı rapor ise söz konusu saldırının nasıl gerçekleştiği hakkında kritik bilgiler barındırıyor.
HÜKÛMET AĞLARINA NASIL SIZDILAR?
Rapor, Rus siber tehdit aktörlerinin ilk erişim noktasından 15 Nisan’da 672 GB veriyi sızdırmaya ve fidye yazılımını yürütmeye kadar olan adımları aydınlatıldı.
Tehdit aktörlerinin giriş noktasının, Kosta Rika Maliye Bakanlığı’na ait bir sistem olduğu, ‘MemberX’ olarak anılan bir üyenin, güvenliği ihlal edilmiş kimlik bilgilerini kullanarak bir VPN bağlantısı üzerinden burada erişim elde ettiği ortaya çıktı.
Advanced Intelligence CEO’su Vitali Kremez, güvenliği ihlal edilen kimlik bilgilerinin, kurban ağında güvenliği ihlal edilen ilk cihaza yüklenen zararlı yazılımlardan elde edildiğini söyledi.
Raporda, saldırının erken aşamalarında 10’dan fazla Cobalt Strike beacon’unun kurulmuş olduğu belirtildi.
SALDIRININ AYRINTILARI
Yerel ağ etki alanı yöneticisi erişimi kazandıktan sonra çete, etki alanı güven ilişkilerini sıralamak için Nltest komut aracını kullandı. Ardından çete, ShareFinder ve AdFind yardımcı programlarını kullanarak ağı, dosya paylaşımı için taradı.
AdvIntel’in raporunda Conti çetesinin Kosta Rika hükûmeti ağındaki aktivitesinin her adımında spesifik komutlar kullandığını ortaya koydu.
1) Conti, hükûmet ağında tarama yapıyor
Araştırmacılar, MemberX’in daha sonra yerel bir makineye dosya paylaşım çıktısını indirmek için Cobalt Strike arka kapı kanalını kullandığını ortaya çıkardı.
Daha sonra tehdit aktörü, bir Cobalt Strike DLL beacon yüklediği ve ardından uzaktan dosya yürütmek için PsExec aracını kullanarak çalıştırdığı yönetimsel paylaşımlara erişim elde etti.
2) Conti, hükûmet ağına Cobalt Strike yüklemek için PsExec aracı kullanıyor
Ardından tehdit aktörleri, kimlik bilgilerini sızdırmak için Mimikatz sömürü aracını kullanarak yerel kullanıcıların oturum açma parolalarını ve NTDS hashlerini topladı.
Araştırmacılar, Conti operatörlerinin Kosta Rika’nın birbirine bağlı ağlarındaki her ana bilgisayara erişim sağlayan bir DCSync ve Zerologon saldırısı yürütmek için Mimikatz’dan yararlandığını belirtti.
Conti, savunucuların Cobalt Strike beaconlarını algılayıp erişimlerini kaybetmemeleri adına Atera uzaktan erişim aracını, yönetici ayrıcalıklarına sahip oldukları daha az kullanıcı etkinliği olan ana bilgisayarlara yerleştirdi.
Conti’nin verileri çalması, birden çok bulut depolama hizmetindeki dosyaları yönetebilen Rclone komut satırı programı kullanılarak mümkün oldu. Conti bunu MEGA dosya barındırma hizmetine veri yüklemek için kullandı.
3) Saldırının diyagramı
Conti fidye yazılımı çetesinin, Kosta Rika hükûmetini bir süre oldukça zor durumda bıraktığı bu saldırının ardından 10 milyon dolar fidye talep ettiği söylenmiş, devlet başkanı Rodrigo Chavez fidyeyi ödemeyi reddedince fidye talebinin 20 milyon dolara yükseltildiği iddia edilmişti.
Söz konusu iddiayı da araştıran AdvIntel araştırmacıları, Conti üyeleri arasındaki iletişimleri inceleyip fidye talebinin 1 milyon ABD dolarının çok altında olduğunu da ortaya çıkardı.
AdvIntel, Conti’nin Kosta Rika hükûmetine yönelik saldırısının “göreceli olarak karmaşık olmadığını” belirterek yanlış yapılandırılmış yönetimsel paylaşımların bu olaya fırsat verdiğini raporunda sundu.
SALDIRININ ARDINDAN ACİL DURUM İLAN EDİLMİŞTİ
Conti’nin gerçekleştirdiği son saldırı olarak bilinen Kosta Rika saldırısının ardından hükûmet ulusal bir acil durum çağrısı yapmıştı. Bu saldırının ardından ABD, Conti üyelerinin kimliklerini açık edecek bilgiler paylaşanlara 10 milyon dolar ödül verileceğini duyurmuştu.
Conti ise bu saldırının ertesinde kısa bir süre sonra operasyonlarını durdurduklarını açıklamış, daha sonra da sızıntı sitelerini kapatmışlardı.
Ancak tüm bu gelişmelerin ardından Conti üyelerinin farklı fidye yazılımı gruplarında faaliyet gösterdiği ve Black Basta fidye yazılımı çetesinin arkasında da Conti operatörlerinin olduğu iddiaları gündemde kalmaya devam ediyor.
Tarihin en zararlı fidye yazılım çetelerinden biri olan Conti, fidye yazılımı sahnesinden inmiş olsa da grup üyeleri farklı şekillerde yollarına devam ediyor. Yapılan son analizler, Black Basta fidye yazılımı çetesinin Conti’yle olan benzerliği üzerinde duruyor.
CONTİ: TARİHİN EN ZARARLI FİDYE YAZILIMI ÇETELERİNDEN BİRİ
Conti çetesi, siber güvenlikte tüm zamanların en zararlı fidye yazılımı operasyonu olarak değerlendiriliyor. Ağırlıklı olarak Rusya merkezli olarak bilinen çetenin ortaya çıkışı 2020 yılında olurken kurban ağlarına sızmak için oltalama kampanyaları, çalınmış RDP bilgileri, yazılım zafiyetleri gibi çeşitli taktikler uyguladıkları biliniyor.
Son iki yılda gerçekleştirdikleri operasyonlar nedeniyle üne kavuşan çete, bu yılın mayıs ayında operasyonlarını durduklarını açıklamıştı. Dikkatleri azaltmak için bu yola başvurdukları düşüncesiyle birlikte çetenin dikkatler azaldığında yeniden bir araya gelip orijinaline benzer yeni bir suç örgütü kuracağı tahmin ediliyor.
Conti operatörleri, mayıs ayında yönetim panellerini, sunucularını, sohbet odalarını kolluk kuvvetlerinden ve medya ilgisinden kaçınmak için kapatmış bununla birlikte birkaç hafta sonra da sızıntı sitesine son vermişti.
O dönemde AdvIntel tarafından yapılan bir analizde araştırmacılar, çetenin ana aktörlerinin, grup resmî olarak dağılmadan birkaç ay önce başka görünüşler altında operasyonlarını sürdürme planlarını uygulamaya koydukları sonucuna varmıştı.
Intel 471’den araştırmacılar, yaptıkları analizler sonucu Conti’nin fidye yazılımı sahnesinden inmesinden yaklaşık bir ay önce faaliyete geçen Black Basta fidye yazılımı çetesinin Conti’nin kılık değiştirme planına uygun düştüğünü ortaya koydu.
BLACK BASTA FİDYE YAZILIM ÇETESİ KİMDİR?
İlk kez Nisan 2022’de keşfedilen ve birkaç aydır aktif olan Black Basta fidye yazılım çetesi, ABD, İngiltere, Hindistan, Kanada, Avustralya, Yeni Zelanda ve Birleşik Arap Emirlikleri gibi çeşitli ülkelerdeki 50’ye yakın hedefe saldırdığı biliniyor.
Hedeflenen organizasyonlardan gelen şikâyetler doğrultusunda araştırmalarını yöneten siber güvenlik araştırmacıları, Black Basta fidye yazılımına ilk kez bu yılın nisan ayında yani Conti’nin dağılmasından bir ay önce rastladı.
Henüz Black Basta çetesinin kökeni belirli olmasa da yeraltı forumlarında Black Basta’yla bağlantıları olduğunu iddia eden kişiler tarafından bazı Rusça yazılar paylaşıldığı biliniyor.
Hâlihazırda Black Basta’nın belirli bir endüstri hedefi olmasa da saldırdığı hedefler arasında imalat, kamu, ulaşım ve hükûmet kuruluşları bulunuyor. Bir hayli geniş kurban listesinin yanında Black Basta fidye yazılımını ilgi çekici kılan birkaç detay da bulunuyor.
BLACK BASTA FİDYE YAZILIMI NASIL ÇALIŞIYOR?
Yapılan araştırmalar sonucu Black Basta’nın VMWare ESXi varyantlarının, Windows sistemlerine bulaşan sürümlerin yanı sıra Linux sunucularında çalışan sanal makineleri hedeflediği, buna ek olarak bir organizasyon içinde yanlamasına hareket etmesine, keşif yapmasına, veri çalmasına ve payload yürütmesine yardımcı olmak içinse Qakbot’u kullandığı belirtiliyor.
Hedefledikleri şirketlerden veri çalarak işlerine başlayan yeni fidye yazılımı sonrasında şirketlerin bilgisayar sistemlerindeki dosyaları şifreliyor.
Fidye yazılımı hedefe kurulup dosyaları şifreleyip gölge kopyaları ve diğer yedeklemeleri sildikten sonra çete, kurbanlarından fidye talep ediyor. Black Basta’ya hedef olan kurbanlar verilerindeki şifreyi çözmeyi veya Black Basta çetesinin verilerini sızdırmasını engellemek istediğindeyse kripto para şeklinde büyük miktarlarda fidye isteniyor.
CONTİ ÇETESİYLE OLAN BENZERLİK
Intel 471 araştırmacı, Black Basta’nın veri sızıntı siteleri, ödeme siteleri, kurtarma portalları, iletişim ve müzakere yöntemleri gibi altyapılarının Conti’nin operasyonlarıyla örtüştüğüne raporlarında yer verdi.
Black Basta çetesiyle benzerliklerinin yanında Intel 471, ayrıca Conti ile önemli benzerliklere sahip olan iki fidye yazılımı çetesi daha belirledi. BlackByte ve Karakurt olarak bilinen fidye yazılımı çetelerinin haricinde birçok Conti operatörü de Ryuk, Maze, LockBit 2.0, BlackCat, Hive ve HelloKitty dâhil olmak üzere çeşitli fidye yazılımı çeteleriyle ittifak kurduğu raporda yer aldı.
Intel471’den istihbarat direktörü Brad Crompton, “Güvenlik ekiplerinin işletmelerini savunmak için siber suçluların operasyonlarını nasıl organize ettiğini anlamaları gerekiyor. Conti dağılmış olsa da eski operatörler hâlâ benzer teknikler kullanıyorlar, bu da güvenlik ekiplerinin Conti’nin dağılmasını tamamen görmezden gelmek yerine benzer saldırıları durdurmak için önceki stratejilerini kullanmalarına devam etmeleri gerekiyor.” dedi.
BLACK BASTA FİDYE YAZILIMINDAN NASIL KORUNULUR?
Sadece Black Basta’ya özel olmamakla birlikte hemen her fidye yazılımı saldırılarına karşı benzer güvenlik önlemlerinin alınması, siber saldırılardan korunmaya veya etkisini azaltmada yardımcı olacağı biliniyor.
Söz konusu önlemler arasında güvenlik zafiyetlerine karşı en son güvenlik güncellemelerine sahip olmak, hassas veri ve hesapları korumak için benzersiz parolalar kullanmak, çok faktörlü kimlik doğrulamaları etkinleştirmek, hassas verileri mümkün olan her yerde şifrelemek, ihtiyaç duyulmayan işlevleri devre dışı bırakmak, siber tehdit aktörlerinin kullandığı saldırı yöntemleri hakkında çalışanları bilgilendirmek bulunuyor.
Google’ın Tehdit Analiz Grubu aralarında Birleşik Arap Emirlikleri’nin (BAE) de bulunduğu bazı ülkelerden gelen “kiralık hacker”a ait bir ekosistemi paylaştı.
Edinilen bilgiler arasında dünya çapında izlerini sürülen Hintli, Rus ve Birleşik Arap Emirlikleri’nden kiralık hacker firma ve aktörlerinin ekosistemleri ve kampanyalarına dair edindikleri istihbarat verileri bulunuyor.
TAG ekibi, söz konusu aktörlerin kampanyalarında kullandığı birçok alan adını da Güvenli Tarama’ya eklediklerini bildirdi.
KİRALIK HACK FİRMALARI NASIL ÇALIŞIYOR?
“Kiralık hack” firmaları veya aktörleri, çeşitli gözetim araçları satan şirketlerin aksine saldırıları kendileri gerçekleştiriyor. Gerek çeşitli güvenlik zafiyetlerinden yararlanarak gerekse de oltalama (phishing) yöntemiyle saldırılarını gerçekleştiren aktörlerin hedefleri de çeşitlilik gösteriyor.
Dünya çapında insan hakları savunucularından siyasilere, gazetecilerden yüksek profilli kişileri hedef tahtasına koyarak kampanyalarını yürüten bu aktörler, Kıbrıs’ta bir bilişim şirketinden Nijerya’daki eğitim kurumuna, Balkanlar’daki finans teknolojisi şirketinden İsrail’deki bir alışveriş şirketine kadar geniş bir yelpazede faaliyet gösteriyor.
Söz konusu aktörlerden kimisi hizmetlerini girişken bir şekilde herkese açıkça tanıtırken, kimi aktörlerde daha ihtiyatlı bir şekilde sınırlı kitlelere hizmet veriyor.
HACKLEME KAMPANYALARI
Google’ın Tehdit Analiz Grubu’nun kiralık hack ekosistemi ve kampanyalarına dair çeşitli örnekler sunarak paylaştığı raporda ise Hindistan, Rusya ve Birleşik Arap Emirlikleri’nden kiralık hack aktörleri yer alıyor.
HİNDİSTAN
TAG’ın 2012’den bu yana takip ettiği Hintli kiralık hack aktörleri, çeşitli kimlik avı saldırılarıyla Suudi Arabistan, Birleşik Arap Emirlikleri ve Bahreyn’deki hükûmet, sağlık ve telekom sektörünü hedef alıyor. Söz konusu aktörlerin gerçekleştirdiği kampanyalar belirli devlet kuruluşlarını hedeflemenin ötesinde AWS ve Gmail hesaplarını ele geçirmeye kadar uzanıyor.
1) AWS oltalama maili
2) AWS oltalama sayfası
TAG, söz konusu aktörleri, Appin ve Belltrox’un eski çalışanlarıyla ve kurumsal casusluğu hizmet olarak sunan ve yeni bir firma olan Rebsec’le ilişkilendirdi.
RUSYA
TAG, 2017 yılında gerçekleşen ve yolsuzluklarla mücadele eden gazetecinin hedef olduğu bir kimlik avı kampanyasını araştırırken keşfettiği, birçok gazeteciyi, Avrupa’daki politikacıları, çeşitli STK’ları ve kâr amacı gütmeyen kuruluşları hedef alan bir kiralık aktöre raporunda yer verdi. Söz konusu aktör “Void Balaur” olarak bilinirken hiçbir kuruluşa bağlı olmayan, Rusya ve çevre ülkelerden sıradan vatandaşları da hedef aldığı belirtildi.
Oltalama ve kimlik avı saldırılarıyla hedeflerine ulaşmaya çalışan aktörün, herkese açık bir internet sitesi aracılığıyla hesap hackleme yeteneklerinin reklamını yaptığı da keşfedildi.
3) Aktörün 2018 yılına ait reklamı
BİRLEŞİK ARAP EMİRLİKLERİ
TAG, paylaştığı raporda Birleşik Arap Emirlikleri’nde faaliyet gösteren ve çoğunlukla Orta Doğu ve Kuzey Afrika üzerindeki kişi ve kuruluşları hedef alan kiralık hack grubunu da paylaştı.
4) Google kimlik avı sayfası
Söz konusu aktör hükûmet kurumları, eğitim sektörü, Avrupa’daki Orta Doğu odaklı STK’ları ve Filistin siyasi partisi Fetih dâhil siyasi kuruluşları hedef alıyor. Söz konusu aktörün gerçekleştirdiği kampanyaları Uluslararası Af Örgütü de daha önce paylaşmıştı.
ALAN ADLARI GÜVENLİ TARAMA’YA EKLENDİ
Söz konusu tehdit aktörleriyle mücadele kapsamında TAG, kiralık hack aktörlerinin kullandığı alan adlarını paylaşarak bunların Güvenli Tarama’ya eklendiğini belirtti.
Bunun yanı sıra TAG, ilgili detayları kolluk kuvvetleriyle paylaştığını belirterek hedef olabilecek kitlelere karşı farkındalığı artırmanın bir yolu olarak bulgularını paylaşmaya devam edeceklerini duyurdu.
