Palo Alto Networks'ün kötü amaçlı yazılım analiz ekibi Unit 42, ilk olarak Nisan 2022'de ortaya çıkan ve o zamandan beri yükselişte olan Black Basta fidye yazılımı grubunu ayrıntılı olarak açıklayan bir rapor yayınladı.
Fidye yazılımının ortaya çıkışından bu yana, grup üyeleri şirketleri dağıtma ve şantaj yapma konusunda çok aktif oldular. Saldırganlar, grubun kurbanlarının adlarını, açıklamalarını, yayın yüzdelerini, ziyaret sayılarını ve sızan tüm verileri listelediği bir siber suç pazarı ve blogu çalıştırıyor.
Black Basta kendi sızıntı sayfasını yönetiyor
Üyeler sadece birkaç aydır aktif olmalarına rağmen, sızıntı sitelerinde yayınlanan bilgilere göre şimdiden 75'ten fazla şirket ve kurumu ele geçirdiler. Palo Alto Networks soruşturmasından elde edilen diğer önemli bulgular şunları içerir:
- · RaaS, saldırıların bir parçası olarak çifte şantaj kullanır.
- Fidye yazılımının konuşlandırılmasının ilk iki haftasında en az 20 kurbanın verileri sızıntı sitesinde yayınlandı.
- · Grubun tüketici ve endüstriyel ürünler, enerji, kaynaklar ve tarım, imalat, kamu hizmetleri, ulaşım, devlet kurumları, profesyonel hizmetler ve danışmanlık ve emlak sektörlerindeki birkaç büyük şirketi hedef aldığı bildirildi.
Kara Basta - bir özet
Black Basta, ilk olarak Nisan 2022'de ortaya çıkan bir hizmet olarak fidye yazılımıdır (RaaS). Ancak, Şubat ayından beri geliştirildiğine dair kanıtlar var. Black Basta operatörleri çift gasp tekniği kullanır. Yalnızca hedef sistemlerdeki dosyaları şifrelemekle ve şifre çözme için fidye talep etmekle kalmıyorlar, aynı zamanda bir kurban fidyeyi ödemezse hassas bilgileri yayınlamakla tehdit ettikleri karanlık ağda bir sızıntı sitesi bulunduruyorlar. Black Basta'nın ortakları, fidye yazılımı ilk ortaya çıktığından beri Black Basta'yı yayma ve işletmeleri gasp etme konusunda çok aktif oldular. Sadece birkaç aydır aktif olmalarına rağmen, sızıntı sitelerinde yayınlanan bilgilere göre, bu yayının yapıldığı tarihte 75'in üzerinde şirket ve kuruma bulaşmış durumdalar. Birim 42 ayrıca birkaç Black Basta vakası üzerinde çalıştı.
Black Basta, dosyaların yalnızca bazı kısımlarını şifreler
Fidye yazılımı C++ ile yazılmıştır ve hem Windows hem de Linux işletim sistemlerini etkiler. Kullanıcıların verilerini ChaCha20 ve RSA-4096 kombinasyonu ile şifreler. Fidye yazılımı, şifreleme sürecini hızlandırmak için 64 baytlık parçalar halinde şifreler ve şifrelenmiş bölümler arasında 128 baytlık veriyi şifrelenmemiş halde bırakır. Fidye yazılımı ne kadar hızlı şifrelerse, savunma devreye girmeden önce potansiyel olarak daha fazla sistem tehlikeye girebilir. Bu, iş ortaklarının bir hizmet olarak fidye yazılımı grubuna katılırken dikkat etmesi gereken çok önemli bir faktördür.
QBot bir giriş noktası görevi görür
Palo Alto Networks'ün 42. Birimi, Black Basta fidye yazılımı grubunun, güvenliği ihlal edilmiş ağlarda yatay olarak hareket etmek için ilk giriş noktası olarak QBot'u kullandığını gözlemledi. Qakbot olarak da bilinen QBot, bir bankacılık Truva Atı olarak başlayan ve kötü amaçlı yazılım bırakıcıya dönüşen bir Windows kötü amaçlı yazılım türüdür. Ayrıca MegaCortex, ProLock, DoppelPaymer ve Egregor gibi diğer fidye yazılımı grupları tarafından da kullanıldı. Bu fidye yazılım grupları ilk giriş için QBot kullanırken, Black Basta grubunun hem ilk giriş hem de ağ tarafı dağıtımı için QBot kullandığı gözlemlendi.
Daha fazla saldırı takip edecek
2022'deki Black Basta saldırıları küresel bir sansasyon yarattığı ve tekrar ettiği için, hizmetin arkasındaki operatörler ve/veya onların bağlı ortaklarının işletmeleri hedef almaya ve şantaj yapmaya devam etmesi muhtemeldir. Bunun yeni bir operasyon değil, ortaklarını beraberinde getiren önceki bir fidye yazılımı grubunun yeniden başlatılması olması da mümkündür. Kurbanları utandıran bloglar, kurtarma portalları, müzakere taktikleri ve Black Basta'nın kurbanlarını ne kadar çabuk yakaladığı gibi taktikler, teknikler ve prosedürlerdeki sayısız benzerlik nedeniyle grup, Conti grubunun mevcut veya eski üyelerini içerebilir. Blue Sky ve Cuba gibi diğer yeni fidye yazılımı araştırmalarını takip eden bu analiz hakkında daha fazla bilgi çevrimiçi olarak PaloAltoNetworks Unit42'de mevcuttur.
Daha fazla PaloAltoNetworks.com
Palo Alto Ağları Hakkında Siber güvenlik çözümlerinde dünya lideri olan Palo Alto Networks, insanların ve işletmelerin çalışma şeklini değiştiren teknolojilerle bulut tabanlı geleceği şekillendiriyor. Misyonumuz, tercih edilen siber güvenlik ortağı olmak ve dijital yaşam biçimimizi korumaktır. Yapay zeka, analitik, otomasyon ve orkestrasyondaki en son atılımlardan yararlanan sürekli yenilikle dünyanın en büyük güvenlik sorunlarını çözmenize yardımcı oluyoruz. Entegre bir platform sunarak ve büyüyen bir iş ortağı ekosistemini güçlendirerek, bulutlar, ağlar ve mobil cihazlar genelinde on binlerce işletmeyi korumada lideriz. Vizyonumuz, her günün bir öncekinden daha güvenli olduğu bir dünyadır.