BT güvenlik sağlayıcısı Palo Alto Networks ve kötü amaçlı yazılım analiz ekibi Unit42, ilk olarak Aralık 2021'in ortasında ortaya çıkan bir hizmet olarak fidye yazılımı (RaaS) sağlayıcısı olan "Ransom Cartel" hakkında yeni bulgular bildirdi. Teknik olarak, REvil fidye yazılımı ile örtüşme var.
Bu suçlu grubu, ikili fidye yazılımı saldırıları gerçekleştirir ve REvil fidye yazılımı ile çeşitli benzerlikler ve teknik örtüşmeler paylaşır. REvil fidye yazılımı, fidye yazılımı karteli ortaya çıkmadan sadece aylar önce ve kartelin 14 şüpheli üyesinin Rusya'da tutuklanmasından sadece bir ay sonra ortadan kayboldu. Fidye Karteli ilk ortaya çıktığında, bunun REvil'in yeniden markası mı yoksa REvil fidye yazılımı kodunu yeniden kullanan veya taklit eden bağımsız bir tehdit aktörü mü olduğu belli değildi.
Ransom-Cartel fidye yazılımı analiz ediliyor
Palo Alto Networks ve Unit42, son analizlerinde Ransom-Cartel fidye yazılımını ve REvil ile Ransom-Cartel fidye yazılımı arasındaki olası bağlantıların bir değerlendirmesini sunuyor. Ekim 2021'de REvil operatörleri ortalık sessizleşti. REvil'in karanlık web sızıntı sitesi kullanılamaz hale geldi. 2022 Nisan ayının ortalarında bireysel güvenlik araştırmacıları ve siber güvenlik medyası, REvil'de çetenin geri dönüşü anlamına gelebilecek yeni bir gelişme bildirdi.
Buna paralel olarak, Palo Alto Networks fidye yazılımı Cartel'i ilk olarak 2022 Ocak ayının ortalarında gözlemledi. MalwareHunterTeam'den güvenlik araştırmacıları, grubun en az Aralık 2021'den beri aktif olduğuna inanıyor. Bilinen ilk Fidye Karteli faaliyetini gözlemlediler ve REvil fidye yazılımıyla birkaç benzerlik ve teknik örtüşme buldular. Birim 42 ayrıca kuruluşları hedef alan fidye kartel gruplarını gözlemledi ve bilinen ilk kurbanları Ocak 2022'de ABD ve Fransa'da gözlemledik. Fidye Karteli şu sektörlerdeki kuruluşları hedef aldı: Eğitim, Üretim ve Kamu Hizmetleri ve Enerji.
İşletme olarak Hizmet Olarak Fidye Yazılımı
Ransom Cartel'in arkasındaki suçlular, güvenliği ihlal edilmiş ağ erişimi satmayı teklif eden aktörlerdir. Motivasyonları, siber saldırıları kendileri başlatmak değil, diğer tehdit aktörlerine erişim satmaktır. Fidye yazılımının karlılığı göz önüne alındığında, bu komisyoncuların ödemek istedikleri miktara göre RaaS gruplarıyla çalışma ilişkileri olması muhtemeldir. Birim 42, Ransom Cartel'in fidye yazılımı dağıtmak için ilk erişimi elde etmek için bu tür hizmetlere güvendiğine dair kanıtlar gördü.
Güvenlik uzmanlarının sonucu
Ransom Cartel, 2021'de ortaya çıkan birçok fidye yazılımı ailesinden biridir. Fidye Karteli ikili şantaj ve fidye yazılımı saldırılarında sıklıkla görülen aynı TTP'lerden bazılarını kullanırken, bu tür fidye yazılımı daha önce diğer fidye yazılımı saldırılarında görülmeyen daha az yaygın araçları (örneğin DonPAPI) kullanır.
Fidye Karteli operatörlerinin açıkça REvil fidye yazılımının orijinal kaynak koduna erişimi vardı. Ancak, dizeleri ve API çağrılarını şifreleyen veya gizleyen şaşırtma motoruna sahip görünmüyorlar. Bu nedenle güvenlik uzmanları, fidye karteli operatörlerinin kendi operasyonlarını başlatmadan önce REvil grubuyla bir ilişkisi olduğunu düşünüyor.
Grubun diğer değerlendirmeleri ve teknik bilgiler çevrimiçi olarak Unit42'de bulunabilir.
PaloAltoNetworks.com'da daha fazlası
Palo Alto Ağları Hakkında Siber güvenlik çözümlerinde dünya lideri olan Palo Alto Networks, insanların ve işletmelerin çalışma şeklini değiştiren teknolojilerle bulut tabanlı geleceği şekillendiriyor. Misyonumuz, tercih edilen siber güvenlik ortağı olmak ve dijital yaşam biçimimizi korumaktır. Yapay zeka, analitik, otomasyon ve orkestrasyondaki en son atılımlardan yararlanan sürekli yenilikle dünyanın en büyük güvenlik sorunlarını çözmenize yardımcı oluyoruz. Entegre bir platform sunarak ve büyüyen bir iş ortağı ekosistemini güçlendirerek, bulutlar, ağlar ve mobil cihazlar genelinde on binlerce işletmeyi korumada lideriz. Vizyonumuz, her günün bir öncekinden daha güvenli olduğu bir dünyadır.
Bir düşünce “Fidye Karteli hizmet olarak fidye yazılımı REvil'den mi geliyor?başlıklı bir kılavuz yayınladı
yorumlar kapalı