BlackMatter, DarkSide Çeteleriyle Bağlantılı BlackCat (ALPHV) Fidye Yazılım
ALPHV olarak da bilinen Black Cat fidye yazılımı çetesi, kötü şöhretli BlackMatter/DarkSide fidye yazılımı operasyonunun eski üyeleri olduklarını doğruladı.
BlackCat/ALPHV, Kasım 2021'de başlatılan ve fidye yazılımı enfeksiyonları için alışılmadık olan Rust programlama dilinde geliştirilen, zengin özelliklere sahip yeni bir fidye yazılımı operasyonudur.
Fidye yazılımı yürütülebilir dosyası, çok çeşitli kurumsal ortamlara saldırılara izin veren farklı şifreleme yöntemleri ve seçenekleriyle son derece özelleştirilebilir.
Fidye yazılımı çetesi kendilerini ALPHV olarak adlandırırken, güvenlik araştırmacısı MalwareHunterTeam, her kurbanın Tor ödeme sayfasında kullanılan kara bir kedi görüntüsünün ardından fidye yazılımına BlackCat adını verdi.
O zamandan beri, fidye yazılımı operasyonu, medyada veya güvenlik araştırmacıları tarafından tartışıldığında BlackCat olarak biliniyordu.
Fidye yazılımı yeniden markalama hakkında kısa bir tarihçe
Birçok fidye yazılımı operasyonu, çekirdek üyelerin fidye yazılımı bulaşmasını geliştirmekten ve sunucuları yönetmekten sorumlu olduğu bir Hizmet olarak Fidye Yazılımı (RaaS) olarak yürütülürken, bağlı kuruluşlar (diğer bir deyişle "reklamlar") kurumsal ağları ihlal etmek ve saldırılar yürütmek için işe alınır.
Bu düzenlemenin bir parçası olarak, çekirdek geliştiriciler bir fidye ödemesinin %10-30'unu kazanırken, geri kalanını bağlı kuruluş kazanır. Yüzdeler, belirli bir bağlı kuruluşun operasyona ne kadar fidye geliri sağladığına bağlı olarak değişir.
Geçmişte birçok RaaS operasyonu olmuş olsa da, kolluk kuvvetleri boyun eğdiğinde genellikle kapanan ve ardından yeni isimler altında yeniden markalaşan birkaç üst düzey çete olmuştur.
Bu üst düzey Hizmet olarak Fidye Yazılımı operasyonları ve yeniden markaları şunlardır:
- GandCrab'den REvil'e: GandCrab fidye yazılımı operasyonu Ocak 2018'de başladı ve fidye ödemelerinde 2 Milyar Dolar kazandığını iddia ettikten sonra Haziran 2019'da kapatıldı. Eylül 2019'da REvil olarak yeniden hizmete girdiler ve kolluk kuvvetlerinin altyapılarını ele geçirmesinden sonra Ekim 2021'de kapandı.
- Maze to Egregor: Maze fidye yazılımı Mayıs 2019'da faaliyete başladı ve Ekim 2020'de kapatıldığını resmen duyurdu. Ancak, bağlı kuruluşların ve muhtemelen operatörlerin Eylül ayında Egregor olarak yeniden markalaştığına ve daha sonra üyeler Ukrayna'da tutuklandıktan sonra ortadan kaybolduğuna inanılıyor.
- DarkSide'dan BlackMatter'a: DarkSide fidye yazılımı operasyonu Ağustos 2022'de başladı ve çetenin Colonial Pipeline'a geniş çapta duyurulan saldırısının teşvik ettiği kolluk kuvvetleri operasyonları nedeniyle Mayıs 2021'de kapatıldı. 31 Temmuz'da BlackMatter olarak geri döndüler, ancak Emsisoft'un bir şifre çözücü oluşturmak için bir zayıflıktan yararlanması ve sunucuların ele geçirilmesinden kısa süre sonra Kasım 2021'de kapatıldı.
Bazıları Conti'nin Ryuk'un yeniden markası olduğuna inanıyor, ancak kaynaklar BleepingComputer'a her ikisinin de TrickBot Group tarafından yürütülen ayrı operasyonlar olduğunu ve birbirleriyle bağlantılı olmadığını söylüyor.
Bazı bağlı kuruluşlar tek bir RaaS operasyonuyla ortak olma eğilimindeyken, bağlı kuruluşların ve sızma test uzmanlarının aynı anda birden fazla çeteyle ortak olması yaygın bir durumdur.
Örneğin, bir fidye yazılımı iştiraki, BleepingComputer'a Ragnar Locker, Maze ve REvil fidye yazılımı operasyonlarıyla aynı anda çalıştıklarını söyledi.
BlackCat, BlackMatter'ın küllerinden doğuyor
BlackCat fidye yazılımının Kasım ayında piyasaya sürülmesinden bu yana, LockBit fidye yazılımı çetesinin temsilcisi ALPHV/BlackCat'in DarkSide/BlackMatter'ın yeniden markası olduğunu belirtti.
The Record, DarkSide/BlackMatter çetesiyle bağlantılı olduklarına dair şüpheleri doğrulayan ALPHV/BlackCat çetesiyle bir röportaj yayınladı.
ALPHV, The Record'a, Emsisoft'un şifre çözücüsünün yayınlanmasına atıfta bulunarak, "Karanlık maddenin [DarkSide / BlackMatter] reklamları olarak, kurbanların daha sonra Emsisoft tarafından şifresinin çözülmesi için ele geçirilmesinden muzdarip olduk." dedi.
BlackCat fidye yazılımı operatörleri, yalnızca kendi fidye yazılımı operasyonlarını başlatan DarkSide/BlackMatter iştirakleri olduklarını iddia etse de, bazı güvenlik araştırmacıları bunu satın almıyor.
Emsisoft tehdit analisti Brett Callow, Emsisoft'un kurbanların dosyalarını ücretsiz olarak kurtarmasına ve fidye yazılımı çetesini fidye olarak milyonlarca dolar kaybetmesine izin veren bir zayıflıktan yararlandıktan sonra BlackMatter'ın geliştirici ekibini değiştirdiğine inanıyor.
"Alphv, eski DS/BM iştirakleri olduğunu iddia etse de, onların *DS/BM* olmaları, ancak bağlı kuruluşlara milyonlarca dolara mal olan bir hata yaptıktan sonra aldığı itibar isabeti nedeniyle kendilerini bu markadan uzaklaştırmaya çalışıyor olmaları daha olasıdır, "Callow dün tweet attı.
Geçmişte, şifreleyicinin kodunda kod benzerlikleri aranarak farklı fidye yazılımı işlemlerinin ilişkili olduğunu kanıtlamak mümkündü.
BlackCat şifreleyici Rust programlama dilinde sıfırdan oluşturulduğundan, Emsisoft'tan Fabian Wosar, BleepingComputer'a bu kodlama benzerliklerinin artık mevcut olmadığını söyledi.
Ancak Wosar, özellikler ve yapılandırma dosyalarında benzerlikler olduğunu ve BlackCat ve DarkSide/BlackMatter fidye yazılımı operasyonlarının arkasında aynı grup olduğunu desteklediğini söyledi.
İster kendi fidye yazılımı operasyonlarını başlatmaya karar vermiş olan eski bağlı kuruluşlar olsunlar, isterse DarkSide/BlackMatter'ın yeniden markalaşması olsunlar, büyük kurumsal saldırıları gerçekleştirebildiklerini ve hızla kurbanlar biriktirdiklerini göstermişlerdir.
BlackCat, tüm kolluk kuvvetlerinin, ağ savunucularının ve güvenlik uzmanlarının yakından takip etmesi gereken bir fidye yazılımı operasyonu olacak.
Çete hatalarını tekrarlıyor
İronik olarak, DarkSide/BlackMatter operasyonlarının çöküşüne yol açan şey, nihayetinde BlackCat/ALPHV için hızlı bir ölüme neden olan şey olabilir.
DarkSide, Amerika Birleşik Devletleri'ndeki en büyük yakıt boru hattı olan Koloni Boru Hattı'na saldırdıktan sonra, uluslararası kolluk kuvvetlerinin ve ABD hükümetinin tüm baskısını hissetmeye başladı.
Bu baskı, BlackMatter olarak yeniden markalaştıktan sonra da devam etti, kolluk kuvvetleri sunucularını ele geçirdi ve tekrar kapanmalarına neden oldu.
BlackCat fidye yazılımını ön plana çıkaran şey, ironik bir şekilde petrol tedarikçileri ve dağıtım şirketlerine yönelik, tedarik zinciri sorunlarına yol açan başka bir saldırıdır.
Bu hafta BlackCat, bir Alman petrol distribütörü olan Oiltanking'e ve bir petrol tedarikçisi olan Mabanaft GmbH'ye saldırdı.
Bu saldırılar bir kez daha yakıt tedarik zincirini etkiledi ve gaz kıtlığına neden oldu.
Ancak BlackCat operatörleri The Record'a bağlı kuruluşlarının kime saldırdığını kontrol edemediklerini ve çetenin politikalarına uymayanları yasakladıklarını söyledi. Bu politikalar, bağlı kuruluşların devlet kurumlarını, sağlık hizmetlerini veya eğitim kurumlarını hedeflememesi gerektiğini belirtir.
Ancak, Darkside çetesinin önceki hatalarından ders almadığı ve bir kez daha kritik altyapıya saldırdığı görülüyor ve bu da onları büyük olasılıkla emniyet teşkilatının hedef tahtasına yerleştirecek.
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.