Bugün öğrendim ki: Eylül 2023'te MGM Resorts International

---

Rust programlama dilinde yazılmış bir fidye yazılımı ailesi olan BlackCat, aynı zamanda ALPHV[1] ve Noberus[2] olarak da bilinen, suç amaçlı bir hacker örgütüdür. İlk kez Kasım 2021'de ortaya çıktı. Geniş anlamda, bunu kullanan tehdit aktörünün(lerin) adıdır da.

BlackCat, geliştiricilerin kötü amaçlı yazılımı iş ortaklarına kullanım için sunup fidye ödemelerinin bir yüzdesini aldığı fidye yazılımı hizmet modeli (RaaS) ile çalışır. İlk erişim için, fidye yazılımı esasen ilk erişim aracıları aracılığıyla elde edilen çalınmış kimlik bilgilerine dayanır. Grup, kurbanları fidye taleplerini ödemeye zorlamak için kamuya açık bir veri sızıntısı sitesi işletti.

Grup, 2023'te Reddit ve 2024'te Change Healthcare dahil olmak üzere dünya çapında yüzlerce kuruluşu hedef aldı.[3] İlk ortaya çıkışından beri en aktif fidye yazılımı operasyonlarından biriydi.[4]

Şubat 2024 itibariyle, ABD Dışişleri Bakanlığı, ALPHV/BlackCat fidye yazılımı çetesi liderlerini tanımlayabilecek veya bulabilecek ipuçları için 10 milyon ABD dolarına kadar ödül sunuyordu.[5]

Mart 2024'te, BlackCat'in bir temsilcisi, grubun 2024 Change Healthcare fidye yazılımı saldırısının ardından kapatıldığını söyledi.[6] 2025 başı itibariyle görünüşte ortadan kaybolmuştu.[7]

Açıklama

[düzenle]

BlackCat'in arkasındaki grup çoğunlukla çift tehdit taktiğini kullanıyor ancak bazen dışarı sızdırılan verileri ifşa etmeyi ve kurbanların altyapısında dağıtılmış hizmet reddi (DDoS) saldırıları başlatmakla tehdit etmeyi içeren üçlü tehdit yöntemini de içeriyor.[8]

BlackCat ile ilişkili tehdit aktörleri genellikle Bitcoin ve Monero cinsinden birkaç milyon dolarlık fidye ödemeleri talep ediyor ve ilk fidye talebi tutarının altındaki fidye ödemelerini kabul etmişlerdir. FBI'a göre, BlackCat/ALPHV'nin birçok geliştiricisi ve para aklayıcısı DarkSide/Blackmatter ile bağlantılı olup, fidye yazılımı operasyonlarında geniş ağlara ve deneyime sahip olduklarını gösteriyor.[1]

Grup, açık internette kamuya açık bir veri sızıntısı web sitesi oluşturan ilk fidye yazılımı olmasıyla biliniyor. Önceki siber çeteler genellikle çalınmış verileri karanlık ağda yayınlıyordu. BlackCat'in yeniliği, kurbanların verilerinin alıntılarını veya örneklerini, web tarayıcısı olan herkesin erişebileceği bir sitede yayınlamaktı. Güvenlik uzmanları, taktiğin kurbanların sistemlerini ihlal etme iddialarına daha fazla güvenilirlik kazandırmayı ve kuruluşları verilerinin tamamen kamuya açıklanmasını önlemek için fidye ödemeye daha fazla baskı yapmayı amaçladığına inanıyor.[9] Grup ayrıca, çalınmış verileri web'deki yazım hatasıyla çakışan kopyalara yerleştirmek için kurbanlarının web sitelerini taklit ediyor.[10]

Erken kampanyalarında, Royal fidye yazılımı "BlackCat" adlı şifreleme aracını kullandı.[11]

Tarihçe

[düzenle]

Başlangıç (2021-2022)

[düzenle]

Kötü amaçlı yazılım ilk olarak Kasım 2021 ortalarında MalwareHunterTeam'deki araştırmacılar tarafından gözlemlendi.[8]

Nisan 2022'ye kadar, Federal Soruşturma Bürosu (FBI), BlackCat'in birkaç geliştiricisinin ve para aklayıcısının iki eski fidye yazılımı hizmet (RaaS) grubu olan DarkSide ve BlackMatter ile bağlantıları olduğunu bildiren bir uyarı yayınladı.[8] Bazı uzmanlara göre, fidye yazılımı, Mayıs 2021'deki Colonial Pipeline saldırısından sonra DarkSide'ın yeniden markalanmış bir versiyonu olabilir.[12] Ayrıca, 2021 sonlarında dağıtılan REvil siber suçlu grubunun halefi de olabilir.[9]

2022 boyunca, BlackCat, üniversiteler, devlet kurumları ve enerji, teknoloji, imalat ve ulaşım sektörlerindeki şirketler de dahil olmak üzere küresel düzeyde çok sayıda yüksek profilli kuruluşu tehlikeye attı ve şantaj yaptı. Bildirilen kurbanlar arasında Moncler, Swissport, Kuzey Carolina A&T, Florida Uluslararası Üniversitesi, Avusturya'nın Karintiya eyaleti, Regina Kamu Okulları, Alexandria şehri, Pisa Üniversitesi, Bandai Namco, Creos, Accelya, GSE, NJVC, EPM ve JAKKS Pacific bulunmaktadır.[13]

Eylül 2022'de, bir raporun fidye yazılımının Emotet botnetini kullandığı belirtildi.[8]

Mayıs 2022 sonlarında, bir Avrupa hükümeti saldırıya uğradı ve 5 milyon ABD doları fidye talep edildi.[8]

Sphinx varyantı (2023)

[düzenle]

2023 yılının başında, Blackcat, Grupo Estrategas EMM, NextGen Healthcare, Solar Industries India, Instituto Federal Do Pará, Munster Teknoloji Üniversitesi ve Lehigh Valley Sağlık Ağı'na saldırdı.[13]

Şubat 2023'te, hızı ve gizliliği artırmak için güncellemelerle "Sphinx" adlı bir varyant yayınlandı. Mayıs 2023 itibariyle, grubun ortaya çıkışından bu yana dünya çapında 350'den fazla kurbanı hedef aldığı tahmin ediliyor.[2]

Haziran 2023'te, grup Reddit sistemlerinin Şubat 2023'teki ihlalinden sorumlu olduğunu iddia etti. Veri sızıntısı sitelerinde, 80 GB sıkıştırılmış veri çaldıklarını ve Reddit'ten 4,5 milyon dolar fidye talep ettiklerini iddia ettiler. Bu saldırı, tipik fidye yazılımı kampanyalarında olduğu gibi veri şifrelemesini içermedi.[14]

Kapatılma (Aralık 2023)

[düzenle]

19 Aralık 2023'te grubun web sitesi bir görüntüyle değiştirildi: FBI'dan "Federal Soruşturma Bürosu, Alphv Blackcat Fidye Yazılımına karşı koordineli bir kolluk kuvveti hareketi çerçevesinde bu siteyi ele geçirdi" ifadesini içeren bir mesaj.[15]

FBI aynı gün, çok sayıda web sitesini ele geçirmenin yanı sıra bir şifre çözme aracı yayınlayarak ALPHV/BlackCat grubunu "bozduğunu" duyurdu. Araç, fidye yazılımı kurbanları tarafından fidye ödemeden dosyalarını şifresini çözmek için kullanılabilir.[16]

Şubat 2024 itibariyle, ABD Dışişleri Bakanlığı, ALPHV/Blackcat fidye yazılımı çetesi liderlerini tanımlayabilecek veya bulabilecek ipuçları için 10 milyon dolara kadar ödül sunuyor. ALPHV fidye yazılımı saldırılarına katılan kişiler hakkında bilgi için ek 5 milyon dolar ödül sunmaktadırlar.[5]

Hong Kong Tüketici Konseyi'ne Saldırı (Mayıs 2024)

[düzenle]

Mayıs 2024'te, The Standard (Hong Kong), Hong Kong Tüketici Konseyi'nin "sunucularına ve uç nokta cihazlarına yönelik bir fidye yazılımı saldırısına" hedef olduğunu ve bu saldırının ALPHV tarafından gerçekleştirildiğini bildirdi.[17]

Taktikler ve teknikler

[düzenle]

BlackCat ile ilişkili sözde "tehdit aktörlerinin", kötü amaçlı yazılımlarını indirmek ve yaymak için WinSCP gibi uygulamaları arayan kullanıcıları kandırmak için reklamcılığı kullanan "kötü amaçlı reklamcılık" ve bir "SEO zehirleme" tekniği kullandıkları gözlemlendi; The Hacker News için yazan Ravie Lakshmanan'ın belirttiği gibi, yaklaşım

genellikle (örneğin, "WinSCP İndir") seçilen bir dizi anahtar kelimeyi ele geçirerek, şüphesiz kullanıcıları güvenilir olmayan sayfalara yönlendirmeyi amaçlayan Bing ve Google arama sonuç sayfalarında sahte reklamlar göstermeyi içerir[18]

yani, kullanıcıları kötü amaçlı yazılım barındıran sayfalara yönlendirmek için meşru kuruluşların ele geçirilen web sayfalarını kullanma.[18]

Sahte WinSCP yükleyicisi daha sonra hacker'ların takip eden müdahalelerine izin veren "Cobalt Strike işaretçisi" adı verilen kod içeren bir arka kapı dağıtır; işaretçi tarafından sağlanan erişim, keşif, veri dışarı sızdırma ve işaretçi tarafından güvenlik bozulması yanı sıra yan hareketine olanak tanır. Tehdit aktörleri ayrıca yönetici ayrıcalıkları kazandı ve böylece saldırı keşfedilmeden önce arka kapılar kurmaya başladı.[18] Fidye yazılımı, tespitten kaçınmak için gereksiz kod ve şifrelenmiş dizeler gibi teknikleri içerir.[alıntı gerekli]

Spesifik olarak, çete giriş noktası olarak Emotet botnet kötü amaçlı yazılımını ve fidye yazılımını ağ içinde yanlamasına yaymak için Log4J Auto Expl'yi kullanır.[jargon][8][doğrulama gerekli] Grup, ağlar genelinde kötü amaçlı yazılım dağıtmak ve güvenlik denetimlerini devre dışı bırakmak için Grup İlkesi Nesnelerini (GPO'lar) kötüye kullanır.[jargon][19] Kötü amaçlı yazılım, dosyaları şifrelemek için fidye yazılımı dağıtmadan önce hassas verileri çalmak için ExMatter gibi araçları kullanır.[jargon][13] Çalıştırıldıktan sonra, BlackCat daha fazla sistemi enfekte etmek için ağ keşfi yapar, birim gölge kopyalarını siler, dosyaları şifreler ve kripto para birimi talep eden bir fidye notu bırakır.[jargon][2]

Kullanım Alanları

[düzenle]

MGM ve Caesars

[düzenle]

ALPHV kullanıcılarının bir iş ortağı olan (ve bazı yayınlar tarafından ALPHV'nin bir alt grubu olduğu düşünülen)[20] ve esasen İngiliz ve Amerikalı hacker'lardan oluşan Scattered Spider, Eylül 2023'te Las Vegas'taki en büyük iki kumarhane işletmecisi ve oyun şirketlerinden ve dünyanın en büyük şirketlerinden bazılarına karşı ALPHV'nin fidye yazılımı saldırılarında ALPHV ile birlikte çalıştı. Hacker'lar Caesars'tan 30 milyon ABD doları fidye talep etti ve şirket hacker'lara 15 milyon dolar ödedi. Ancak MGM, fidye ödemedi ve bunun yerine haftalarca tüm sistemleri kapattı. Bu, BetMGM spor bahis platformu gibi MGM'nin çevrimiçi tekliflerini daha da etkiledi.[21][22][23] MGM'ye yapılan siber saldırı, şirketin 2023'ün üçüncü çeyreğinde mali performansını 100 milyon dolar etkiledi.[24]

Motel One

[düzenle]

ALPHV ayrıca Motel One'a karşı bir fidye yazılımı saldırısı gerçekleştirmek için kullanıldı, ancak şirket normal işletme faaliyetlerinin hiçbir zaman risk altında olmadığını belirtti. Hacker'lar bazı müşteri verilerine ve tahmini 150 kredi kartına erişebildi.[20]

Change Healthcare (UnitedHealth Group)

[düzenle]

BlackCat'in 2024 Change Healthcare fidye yazılımı saldırısının arkasında olduğu bildirildi. Change Healthcare, saldırıdan sonra verileri kurtarmak için 22 milyon dolar fidye ödedi. Bununla birlikte, BlackCat ve saldırıyla ilgili bir iş ortağı arasında bir ödeme anlaşmazlığı, bir BlackCat temsilcisinin grubun kapatıldığını ve fidye yazılımı ürünlerinin kaynak kodunu sattığını iddia etmesine neden oldu. Bu anlaşmazlık, geliştiriciler tarafından potansiyel bir çıkış dolandırıcılığı olarak değerlendirildi.[6]

Referanslar

[düzenle]

Ayrıca bakınız

[düzenle]