Siber güvenlik şirketi ESET, fidye yazılımı çetesi RansomHub’a odaklanarak mevcut fidye yazılımı ekosistemine ilişkin tahlilini yayımladı.
ESET Research, RansomHub’ın iştiraklerine sunduğu araçların izini takip ederek RansomHub, Play, Medusa ve BianLian fidye yazılımı çeteleri arasındaki temasları keşfetti. ESET tarafından yayımlanan analiz, EDRKillShifter ile ilgili bulguları belgeliyor.
ESET araştırmacıları, fidye yazılımı ekosistemindeki önemli değişiklikler hakkında yeni ortaya çıkan ve şu anda hakim olan hizmet olarak fidye yazılımı çetesi RansomHub’a odaklanan derinlemesine bir analiz yayımladı. Rapor, RansomHub’ın ortaklık yapısına ilişkin daha önce yayımlanmamış bilgileri paylaşıyor ve bu yeni ortaya çıkan dev ile köklü çeteler Play, Medusa ve BianLian arasındaki açık kontakları ortaya çıkarıyor. Ayrıca ESET, RansomHub tarafından geliştirilen ve sürdürülen özel bir EDR katili olan EDRKillShifter’ın maskesini düşürerek, Uç Nokta Tespit ve Cevap (EDR) katillerinin ortaya çıkan tehdidini vurguluyor. ESET, kamuya açık kavram delillerinden türetilen EDR katil kodunu kullanan fidye yazılımı iştiraklerinde bir artış gözlemlerken berbata kullanılan sürücü kümesi büyük ölçüde değişmedi.
RansomHub’ı araştıran ESET araştırmacısı Jakub Souček şu açıklamayı yaptı: “Fidye yazılımlarına karşı mücadele 2024 yılında iki dönüm noktasına ulaştı: Evvelce en büyük iki çete olan LockBit ve BlackCat bu gayretin dışında kaldı. 2022’den bu yana ilk kez, kaydedilen fidye yazılımı ödemeleri yüzde 35 gibi çarpıcı bir oranda düştü. Öte yandan, özel sızıntı sitelerinde duyurulan (kamuoyuna) kayıtlı kurban sayısı yaklaşık yüzde 15 oranında arttı. Bu artışın büyük bir kısmı, LockBit faaliyetlerini sekteye uğratan Cronos Operasyonu sırasında ortaya çıkan yeni bir hizmet olarak fidye yazılımı (RaaS) çetesi olan RansomHub’dan kaynaklanıyor.”
Yeni ortaya çıkan RaaS çetesi gibi RansomHub’ın da operatörlerden fidye yazılımı hizmetleri kiralayan iştirakçileri çekmesi gerekiyordu ve sayıların gücü olduğundan operatörler çok seçici değildi. İlk ilan Rusça konuşulan RAMP forumunda Şubat 2024’ün başlarında, ilk kurbanların gönderilmesinden sekiz gün önce yayımlandı. RansomHub, Sovyetler Birliği sonrası Bağımsız Devletler Topluluğu, Küba, Kuzey Kore ve Çin ülkelerine saldırmayı yasaklıyor. İlginç bir şekilde, iştirakçileri tüm fidye ödemesini cüzdanlarına alacakları vaadiyle cezbediyor ve operatörler iştirakçilerin yüzde 10’unu kendileriyle paylaşacaklarına güveniyor ki bu epeyce eşsiz bir şey.
Mayıs ayında, RansomHub operatörleri önemli bir güncelleme yaptı: Kendi EDR katillerini tanıttılar. Bu, kurbanın sisteminde yüklü olan güvenlik ürününü sonlandırmak, köreltmek veya çökertmek için tasarlanmış özel bir kötü amaçlı yazılım cinsiydi ve genellikle güvenlik açığı olan bir şoförden faydalanılarak kullanılıyordu. RansomHub’ın EDRKillShifter isimli EDR katili, çete tarafından geliştirilen ve sürdürülen özel bir araç ve RansomHub iştiraklerine sunulmaktadır. Fonksiyonellik açısından, RansomHub operatörlerinin ihlal etmeyi amaçladıkları ağları korurken bulmayı umdukları çok çeşitli güvenlik tahlillerini hedefleyen tipik bir EDR katilidir.
ESET araştırmacısı Jakub Souček açıklamalarına şöyle devam etti: “Bir katil uygulama ve bunu RaaS programının bir parçası olarak iştiraklere sunma kararı enderdir. İştirakçiler genellikle güvenlik ürünlerinden kaçmanın yollarını bulmak için kendi başlarınadır. Bazıları mevcut araçları yeniden kullanırken daha teknik odaklı olanlar mevcut kavram ispatlarını değiştirir veya karanlık web’de bir hizmet olarak bulunan EDR katillerini kullanır. ESET araştırmacıları EDRKillShifter kullanımında önemli bir artış olduğunu ve bunun sadece RansomHub hadiselerinde olmadığını gördüler. Gelişmiş EDR katilleri iki kısımdan oluşur: Düzenlemeden sorumlu bir kullanıcı modu bileşeni (katil kod) ve legal ancak savunmasız bir sürücü. Uygulama genellikle çok kolaydır; katil kod, genellikle verilerine veya kaynaklarına gömülü olan savunmasız sürücüyü yükler, güvenlik yazılımının işlem isimlerinin bir listesini yineler ve savunmasız şoföre bir komut verir, bu da güvenlik açığının tetiklenmesine ve sürecin çekirdek modundan öldürülmesine neden olur. EDR katillerine karşı savunma yapmak zordur. Tehdit aktörlerinin bir EDR katilini konuşlandırmak için yönetici ayrıcalıklarına ihtiyacı vardır, bu nedenle ülkü olarak, bu noktaya ulaşmadan önce varlıkları tespit edilmeli ve hafifletilmelidir.”
ESET, RansomHub’ın bağlı kuruluşlarının Play, Medusa ve BianLian olmak üzere üç rakip çete için çalıştığını keşfetti. RansomHub ve Medusa arasında bir bağlantı keşfetmek o kadar da şaşırtan değil çünkü fidye yazılımı iştiraklerinin genellikle aynı anda birden fazla operatör için çalıştığı yaygın bir bilgi. Öte yandan, Play ve BianLian’ın EDRKillShifter’a erişimlerinin olmasını açıklamanın bir yolu, aynı RansomHub üyesini işe almış olmalarıdır ki her iki çetenin de kapalı yapısı göz önüne alındığında bu pek olası değildir. Daha akla yatkın bir başka açıklama ise Play ve BianLian’ın güvenilir üyelerinin, RansomHub gibi yeni ortaya çıkan rakiplerle iş birliği yapması ve daha sonra bu rakiplerden aldıkları araçları kendi saldırılarında yeniden kullanmasıdır. Play, Kuzey Kore’ye bağlı Andariel kümesiyle irtibatlıdır.
Diğer Teknoloji Haberleri İçin Tıklayın / Bursa Haber – Bursa Gündem – Bursa Gündem Haber – Bursa Haberleri – Bursa Son Dakika
Bizi İnstagram’da Takip Edebilirsiniz / @BursaGündemHaber
Bizi X’de Takip Edebilirsiniz / @BursaGündemHbr
Bizi Facebook’da Takip Edebilirsiniz / @BursaGündemHaber
Bizi Youtube’da Takip Edebilirsiniz / @BursaGündemHaber
Bizi Linkedin’de Takip Edebilirsiniz / @BursaGündemHaber
02:00
News
Teknoloji
Teknoloji
Teknoloji
Teknoloji
Teknoloji
Teknoloji
