ESET fidye yazılım çetesi RansomHub‘ı tüm ayrıntıları ile inceledi
ESET fidye yazılımı çeteleri ortasındaki irtibatları açığa çıkardı
Siber güvenlik şirketi ESET, fidye yazılımı çetesi RansomHub’a odaklanarak mevcut fidye yazılımı ekosistemine ait tahlilini yayımladı.
ESET Research, RansomHub’ın iştiraklerine sunduğu araçların izini takip ederek RansomHub, Play, Medusa ve BianLian fidye yazılımı çeteleri ortasındaki temasları keşfetti. ESET tarafından yayımlanan tahlil, EDRKillShifter ile ilgili bulguları belgeliyor.
RansomHub ve başka fidye yazılımı çeteleri ortasındaki bağlantılar
ESET araştırmacıları, fidye yazılımı ekosistemindeki kıymetli değişiklikler hakkında yeni ortaya çıkan ve şu anda hakim olan hizmet olarak fidye yazılımı çetesi RansomHub’a odaklanan derinlemesine bir tahlil yayımladı. Rapor, RansomHub’ın paydaşlık yapısına ait daha evvel yayımlanmamış bilgileri paylaşıyor ve bu yeni ortaya çıkan dev ile esaslı çeteler Play, Medusa ve BianLian ortasındaki açık ilişkileri ortaya çıkarıyor. Ayrıyeten ESET, RansomHub tarafından geliştirilen ve sürdürülen özel bir EDR katili olan EDRKillShifter’ın maskesini düşürerek, Uç Nokta Tespit ve Karşılık (EDR) katillerinin ortaya çıkan tehdidini vurguluyor. ESET, kamuya açık kavram delillerinden türetilen EDR katil kodunu kullanan fidye yazılımı iştiraklerinde bir artış gözlemlerken berbata kullanılan şoför kümesi büyük ölçüde değişmedi.
Fidye yazılımı ekosisteminde 2024 yılında değişimler yaşandı
RansomHub’ı araştıran ESET araştırmacısı Jakub Souček şu açıklamayı yaptı: “Fidye yazılımlarına karşı çaba 2024 yılında iki dönüm noktasına ulaştı: Evvelce en büyük iki çete olan LockBit ve BlackCat bu uğraşın dışında kaldı. 2022’den bu yana birinci sefer, kaydedilen fidye yazılımı ödemeleri yüzde 35 üzere çarpıcı bir oranda düştü. Öte yandan, özel sızıntı sitelerinde duyurulan (kamuoyuna) kayıtlı kurban sayısı yaklaşık yüzde 15 oranında arttı. Bu artışın büyük bir kısmı, LockBit faaliyetlerini sekteye uğratan Cronos Operasyonu sırasında ortaya çıkan yeni bir hizmet olarak fidye yazılımı (RaaS) çetesi olan RansomHub’dan kaynaklanıyor.”
Yeni ortaya çıkan RaaS çetesi üzere RansomHub’ın da operatörlerden fidye yazılımı hizmetleri kiralayan iştirakçileri çekmesi gerekiyordu ve sayıların gücü olduğundan operatörler çok seçici değildi. Birinci ilan Rusça konuşulan RAMP forumunda Şubat 2024’ün başlarında, birinci kurbanların gönderilmesinden sekiz gün evvel yayımlandı. RansomHub, Sovyetler Birliği sonrası Bağımsız Devletler Topluluğu, Küba, Kuzey Kore ve Çin ülkelerine saldırmayı yasaklıyor. Farklı bir biçimde, iştirakçileri tüm fidye ödemesini cüzdanlarına alacakları vaadiyle cezbediyor ve operatörler iştirakçilerin yüzde 10’unu kendileriyle paylaşacaklarına güveniyor ki bu epey eşsiz bir şey.
Fidye Yazılımı Çetelerinin Yeni Silahı
Mayıs ayında, RansomHub operatörleri değerli bir güncelleme yaptı: Kendi EDR katillerini tanıttılar. Bu, kurbanın sisteminde yüklü olan güvenlik eserini sonlandırmak, köreltmek yahut çökertmek için tasarlanmış özel bir berbat hedefli yazılım tipiydi ve ekseriyetle güvenlik açığı olan bir şoförden faydalanılarak kullanılıyordu. RansomHub’ın EDRKillShifter isimli EDR katili, çete tarafından geliştirilen ve sürdürülen özel bir araç ve RansomHub iştiraklerine sunulmaktadır. Fonksiyonellik açısından, RansomHub operatörlerinin ihlal etmeyi amaçladıkları ağları korurken bulmayı umdukları çok çeşitli güvenlik tahlillerini hedefleyen tipik bir EDR katilidir.
ESET, EDR katillerine karşı tedbir alınması için uyarıyor
ESET araştırmacısı Jakub Souček açıklamalarına şöyle devam etti: “Bir katil uygulama ve bunu RaaS programının bir kesimi olarak iştiraklere sunma kararı azdır. İştirakçiler ekseriyetle güvenlik eserlerinden kaçmanın yollarını bulmak için kendi başlarınadır. Kimileri mevcut araçları yine kullanırken daha teknik odaklı olanlar mevcut kavram delillerini değiştirir yahut karanlık web’de bir hizmet olarak bulunan EDR katillerini kullanır. ESET araştırmacıları EDRKillShifter kullanımında önemli bir artış olduğunu ve bunun yalnızca RansomHub hadiselerinde olmadığını gördüler. Gelişmiş EDR katilleri iki kısımdan oluşur: Düzenlemeden sorumlu bir kullanıcı modu bileşeni (katil kod) ve legal lakin savunmasız bir şoför. Uygulama çoklukla çok kolaydır; katil kod, ekseriyetle bilgilerine yahut kaynaklarına gömülü olan savunmasız sürücüyü yükler, güvenlik yazılımının süreç isimlerinin bir listesini yineler ve savunmasız şoföre bir komut verir, bu da güvenlik açığının tetiklenmesine ve sürecin çekirdek modundan öldürülmesine neden olur. EDR katillerine karşı savunma yapmak zordur. Tehdit aktörlerinin bir EDR katilini konuşlandırmak için yönetici ayrıcalıklarına muhtaçlığı vardır, bu nedenle ülkü olarak, bu noktaya ulaşmadan evvel varlıkları tespit edilmeli ve hafifletilmelidir.”
ESET, RansomHub’ın bağlı kuruluşlarının Play, Medusa ve BianLian olmak üzere üç rakip çete için çalıştığını keşfetti. RansomHub ve Medusa ortasında bir temas keşfetmek o kadar da şaşırtan değil zira fidye yazılımı iştiraklerinin ekseriyetle birebir anda birden fazla operatör için çalıştığı yaygın bir bilgi. Öte yandan, Play ve BianLian’ın EDRKillShifter’a erişimlerinin olmasını açıklamanın bir yolu, birebir RansomHub üyesini işe almış olmalarıdır ki her iki çetenin de kapalı yapısı göz önüne alındığında bu pek muhtemel değildir. Daha akla yatkın bir diğer açıklama ise Play ve BianLian’ın sağlam üyelerinin, RansomHub üzere yeni ortaya çıkan rakiplerle iş birliği yapması ve daha sonra bu rakiplerden aldıkları araçları kendi akınlarında tekrar kullanmasıdır. Play, Kuzey Kore’ye bağlı Andariel kümesiyle bağlantılıdır.
Kaynak: (BYZHA) Beyaz Haber Ajansı
