SurgeoN
Yeni Üye
Kaspersky Araştırmacıları, “A bad luck BlackCat-(Kötü Baht Kara Kedi)” başlıklı yeni bir raporda, BlackCat fidye yazılımı kümesi tarafınca gerçekleştirilen iki farklı siber atağın detaylarını ortaya koydu. Kullanılan makûs hedefli yazılımın karmaşıklığı, ardındaki aktörlerin geniş tecrübesiyle birleştiğinde çeteyi günümüzün fidye yazılımı dalındaki en büyük oyunculardan biri haline getiriyor. Kümenin atakları sırasında kullandığı araçlar ve teknikler, BlackCat ile BlackMatter ve REvil üzere öteki makûs şöhretli fidye yazılımı kümeleri içindeki ilişkiyi doğruluyor.
BlackCat fidye yazılımı çetesi, Aralık 2021’den beri faaliyet gösteren bir tehdit aktörü. Biroldukça fidye yazılımı aktörünün tersine, BlackCat’in makus gayeli yazılımı Rust programlama lisanında yazılmış. Rust’ın gelişmiş çapraz derleme yetenekleri yardımıyla BlackCat hem Windows tıpkı vakitte Linux sistemlerini hedefleyebiliyor. Öbür bir deyişle BlackCat, fidye yazılımı geliştirmenin zorluklarını ele almak için kullanılan teknolojilerde kademeli ilerlemeler eşliğinde değerli bir değişimi başlatıyor.
Tehdit aktörü BlackCat, BlackMatter ve REvil üzere makus şöhretli fidye yazılımı gruplarının halefi olduğunu iddia ediyor. Kaspersky telemetrileri, yeni BlackCat kümesinin kimi üyelerinin, daha evvel BlackMatter tarafınca yaygın olarak kullanılan araç ve teknikleri kullandıkları için BlackMatter ile direkt temaslı olduğunu gösteriyor.
Kaspersky Araştırmacıları, “A bad luck BlackCat” başlıklı yeni raporda bilhassa ilgi cazip iki siber olaya ışık tuttu. Bunlardan biri paylaşılan bulut barındırma kaynaklarının sunduğu riski gösterirken, oburu BlackMatter ve BlackCat kümelerinde bir daha kullanılan, özelleştirilmiş berbat maksatlı yazılımlara yönelik çevik bir yaklaşımı işaret ediyor.
Birinci olay, Ortadoğu’da birden çok site barındıran savunmasız bir ERP (kurumsal kaynak planlaması) sağlayıcısına yönelik bir saldırıyı ele alıyor. Saldırganlar, birebir fizikî sunucuya birebir anda iki farklı çalıştırılabilir evrak göndererek ortamda sanal olarak barındırılan iki farklı kuruluşu maksat aldı. Çete virüslü sunucuyu iki farklı fizikî sistem olarak yanlış anlamış olsa da saldırganlar BlackCat’in çalışma biçimini belirlemek için kıymetli izler bıraktılar. Kaspersky Araştırmacıları, tehdit aktörünün bulut kaynakları genelinde paylaşılan varlıkların risklerinden yararlandığını belirledi. Buna ek olarak küme, yürütülebilir belgeler ve Nirsoft ağ parolası kurtarma yardımcı programlarıyla bir arada bir Mimikatz toplu iş belgesini da sunuculara indirdi. Misal bir olay, BlackMatter kümesinin öncülü olan REvil’in ABD’deki epeyce sayıda diş tabibi muayenehanesini destekleyen bir bulut hizmetine girmesiyle 2019’da gerçekleşti. BlackCat’in bu eski taktiklerden kimilerini benimsemesi olası senaryolardan biri.
İkinci olay, Güney Amerika’daki bir petrol, gaz, madencilik ve inşaat şirketini ilgilendiriyor ve BlackCat ile BlackMatter fidye yazılımı kümesi içindeki ilişkiyi ortaya koyuyor. Bu fidye yazılımı saldırısının gerisindeki temaslı kuruluş (daha evvel bahsedilen olaydan farklı olması muhtemel) hedeflenen ağ ortasında BlackCat fidye yazılımını teslim etmeye çalışmakla kalmadı, hem de fidye yazılımının teslimindilk evvel “Fendr” denen özel sızma aracını yükledi. ExMatter olarak da bilinen bu yardımcı program, daha evvel sırf BlackMatter fidye yazılımı aktifliğinin bir kesimi olarak kullanılmıştı.
Kaspersky Global Araştırma ve Tahlil Grubu Güvenlik Araştırmacısı Dmitry Galov şunları söylemiş oldu: “REvil ve BlackMatter kümeleri operasyonlarına son verdikten daha sonra, diğer bir fidye yazılımı kümesinin işlerini devralması yalnızca bir vakit sorunuydu. Berbat gayeli yazılım geliştirme bilgisi, olağandışı bir programlama lisanında sıfırdan yazılmış yeni bir örnek oluşu ve altyapı bakımı konusundaki tecrübesi, BlackCat kümesini fidye yazılımı pazarında değerli bir oyuncu haline getiriyor. Karşılaştığımız büyük olayları tahlil ederek, BlackCat tarafınca kurbanlarının ağlarına sızarken kullanılan ana özellikleri, araçları ve teknikleri vurguladık. Bu bilgi, kullanıcılarımızı inançta tutmamıza ve bilinen ve bilinmeyen tehditlerden korunmamıza yardımcı olacak. Siber güvenlik topluluğunu güçlerini birleştirmeye ve daha inançlı bir gelecek için yeni siber hata kümelerine karşı birlikte çalışmaya çağırıyoruz.”
Uzmanlar, işletmelerin fidye yazılımlarından korunmalarına yardımcı olmak için kuruluşların mümkün olan en kısa müddette aşağıdaki tedbirleri almalarını öneriyor:
Fidye yazılımlarının güvenlik açıklarından yararlanmasını önlemek için kuruluş tarafınca kullanılan tüm aygıtlarda yazılımlar aktüel tutulmalıdır.
Kaspersky Automated Security Awareness Platform’da sağlananlar üzere özel eğitim kurslarından yararlanarak çalışanlar kurumsal ortamı nasıl koruyacakları konusunda eğitilmelidir. Fidye yazılımı hücumlarına karşı nasıl korunulacağına dair fiyatsız bir ders burada mevcuttur.
Savunma stratejisinde yanal hareketlere ve internete data sızmasını tespit etmeye odaklanılmalıdır. Siber hatalıların temaslarını tespit etmek için giden trafiğe bilhassa dikkat edilmelidir.
Datalar sistemli olarak yedeklenmelidir ve acil bir durumda yedeklere süratle erişilebildiğinden emin olunmalıdır.
Tehdit aktörleri tarafınca kullanılan mevcut TTP’lerden haberdar olmak için en son tehdit istihbaratı kullanılmalıdır.
Saldırganlar en son maksatlarına ulaşmadan evvel, bir saldırıyı erken kademelerinde belirlemeye ve durdurmaya yardımcı olan Kaspersky Endpoint Detection and Response ve Kaspersky Managed Detection and Response gibi tahliller kullanılmalıdır.
Hibya Haber Ajansı
BlackCat fidye yazılımı çetesi, Aralık 2021’den beri faaliyet gösteren bir tehdit aktörü. Biroldukça fidye yazılımı aktörünün tersine, BlackCat’in makus gayeli yazılımı Rust programlama lisanında yazılmış. Rust’ın gelişmiş çapraz derleme yetenekleri yardımıyla BlackCat hem Windows tıpkı vakitte Linux sistemlerini hedefleyebiliyor. Öbür bir deyişle BlackCat, fidye yazılımı geliştirmenin zorluklarını ele almak için kullanılan teknolojilerde kademeli ilerlemeler eşliğinde değerli bir değişimi başlatıyor.
Tehdit aktörü BlackCat, BlackMatter ve REvil üzere makus şöhretli fidye yazılımı gruplarının halefi olduğunu iddia ediyor. Kaspersky telemetrileri, yeni BlackCat kümesinin kimi üyelerinin, daha evvel BlackMatter tarafınca yaygın olarak kullanılan araç ve teknikleri kullandıkları için BlackMatter ile direkt temaslı olduğunu gösteriyor.
Kaspersky Araştırmacıları, “A bad luck BlackCat” başlıklı yeni raporda bilhassa ilgi cazip iki siber olaya ışık tuttu. Bunlardan biri paylaşılan bulut barındırma kaynaklarının sunduğu riski gösterirken, oburu BlackMatter ve BlackCat kümelerinde bir daha kullanılan, özelleştirilmiş berbat maksatlı yazılımlara yönelik çevik bir yaklaşımı işaret ediyor.
Birinci olay, Ortadoğu’da birden çok site barındıran savunmasız bir ERP (kurumsal kaynak planlaması) sağlayıcısına yönelik bir saldırıyı ele alıyor. Saldırganlar, birebir fizikî sunucuya birebir anda iki farklı çalıştırılabilir evrak göndererek ortamda sanal olarak barındırılan iki farklı kuruluşu maksat aldı. Çete virüslü sunucuyu iki farklı fizikî sistem olarak yanlış anlamış olsa da saldırganlar BlackCat’in çalışma biçimini belirlemek için kıymetli izler bıraktılar. Kaspersky Araştırmacıları, tehdit aktörünün bulut kaynakları genelinde paylaşılan varlıkların risklerinden yararlandığını belirledi. Buna ek olarak küme, yürütülebilir belgeler ve Nirsoft ağ parolası kurtarma yardımcı programlarıyla bir arada bir Mimikatz toplu iş belgesini da sunuculara indirdi. Misal bir olay, BlackMatter kümesinin öncülü olan REvil’in ABD’deki epeyce sayıda diş tabibi muayenehanesini destekleyen bir bulut hizmetine girmesiyle 2019’da gerçekleşti. BlackCat’in bu eski taktiklerden kimilerini benimsemesi olası senaryolardan biri.
İkinci olay, Güney Amerika’daki bir petrol, gaz, madencilik ve inşaat şirketini ilgilendiriyor ve BlackCat ile BlackMatter fidye yazılımı kümesi içindeki ilişkiyi ortaya koyuyor. Bu fidye yazılımı saldırısının gerisindeki temaslı kuruluş (daha evvel bahsedilen olaydan farklı olması muhtemel) hedeflenen ağ ortasında BlackCat fidye yazılımını teslim etmeye çalışmakla kalmadı, hem de fidye yazılımının teslimindilk evvel “Fendr” denen özel sızma aracını yükledi. ExMatter olarak da bilinen bu yardımcı program, daha evvel sırf BlackMatter fidye yazılımı aktifliğinin bir kesimi olarak kullanılmıştı.
Kaspersky Global Araştırma ve Tahlil Grubu Güvenlik Araştırmacısı Dmitry Galov şunları söylemiş oldu: “REvil ve BlackMatter kümeleri operasyonlarına son verdikten daha sonra, diğer bir fidye yazılımı kümesinin işlerini devralması yalnızca bir vakit sorunuydu. Berbat gayeli yazılım geliştirme bilgisi, olağandışı bir programlama lisanında sıfırdan yazılmış yeni bir örnek oluşu ve altyapı bakımı konusundaki tecrübesi, BlackCat kümesini fidye yazılımı pazarında değerli bir oyuncu haline getiriyor. Karşılaştığımız büyük olayları tahlil ederek, BlackCat tarafınca kurbanlarının ağlarına sızarken kullanılan ana özellikleri, araçları ve teknikleri vurguladık. Bu bilgi, kullanıcılarımızı inançta tutmamıza ve bilinen ve bilinmeyen tehditlerden korunmamıza yardımcı olacak. Siber güvenlik topluluğunu güçlerini birleştirmeye ve daha inançlı bir gelecek için yeni siber hata kümelerine karşı birlikte çalışmaya çağırıyoruz.”
Uzmanlar, işletmelerin fidye yazılımlarından korunmalarına yardımcı olmak için kuruluşların mümkün olan en kısa müddette aşağıdaki tedbirleri almalarını öneriyor:
Fidye yazılımlarının güvenlik açıklarından yararlanmasını önlemek için kuruluş tarafınca kullanılan tüm aygıtlarda yazılımlar aktüel tutulmalıdır.
Kaspersky Automated Security Awareness Platform’da sağlananlar üzere özel eğitim kurslarından yararlanarak çalışanlar kurumsal ortamı nasıl koruyacakları konusunda eğitilmelidir. Fidye yazılımı hücumlarına karşı nasıl korunulacağına dair fiyatsız bir ders burada mevcuttur.
Savunma stratejisinde yanal hareketlere ve internete data sızmasını tespit etmeye odaklanılmalıdır. Siber hatalıların temaslarını tespit etmek için giden trafiğe bilhassa dikkat edilmelidir.
Datalar sistemli olarak yedeklenmelidir ve acil bir durumda yedeklere süratle erişilebildiğinden emin olunmalıdır.
Tehdit aktörleri tarafınca kullanılan mevcut TTP’lerden haberdar olmak için en son tehdit istihbaratı kullanılmalıdır.
Saldırganlar en son maksatlarına ulaşmadan evvel, bir saldırıyı erken kademelerinde belirlemeye ve durdurmaya yardımcı olan Kaspersky Endpoint Detection and Response ve Kaspersky Managed Detection and Response gibi tahliller kullanılmalıdır.
Hibya Haber Ajansı