Kurbanlar fidye yazılımı ve şantajla kıskaca alınıyor
Siber güvenlik alanında dünya lideri olan ESET, Embargo fidye yazılımının dağıtımına yol açan yeni araçlar keşfetti. Yeni fidye yazılım kümesi Embargo, Rust tabanlı araçlar geliştiriyor ve test ediyor. Kurbanın makinesinde çalışan güvenlik tahlillerini devre dışı bırakabilen Embargo, araçlarını kurbanlarının ortamına nazaran uyarlıyor.
Fidye yazılımı sahnesinde nispeten yeni bir küme olan Embargo, birinci olarak ESET tarafından Haziran 2024’te gözlemlendi. Yeni araç seti, ESET’in sırasıyla MDeployer ve MS4Killer olarak isimlendirdiği bir yükleyici, bir uç nokta algılama ve EDR‘dan oluşuyor. MS4Killer, her kurbanın ortamı için özel olarak derlendiği ve sırf seçilen güvenlik tahlillerini amaç aldığı için bilhassa dikkat cazibeli. Ziyanlı yazılım, kurbanın makinesinde çalışan güvenlik eserlerini devre dışı bırakmak için İnançlı Mod’u ve savunmasız bir sürücüyü berbata kullanıyor. Her iki araç da Embargo kümesinin fidye yazılımlarını geliştirmek için tercih ettiği lisan olan Rust ile yazılmış.
Kendi altyapısını kuruyor
Çalışma üslubuna bakıldığında Embargo’nun düzgün kaynaklara sahip bir küme olduğu görülüyor. Kurbanlarla irtibat kurmak için kendi altyapısını kuruyor. Küme, şantajla kurbanlara ödeme yapmaları için baskı yapıyor: Operatörler kurbanların hassas datalarını dışarı sızdırıyor ve şifrelemenin yanı sıra bir sızıntı sitesinde yayımlamakla tehdit ediyor. Küme üyesi olduğu tez edilen bir bireyle yapılan röportajda, bir Embargo temsilcisi, kümenin RaaS (hizmet olarak fidye yazılımı) sağladığını öne sürerek, bağlı kuruluşlar için temel bir ödeme planından bahsetti. Tehdidi analiz eden ESET araştırmacıları Tomáš Zvara ve Jan Holman, “Grubun karmaşıklığı, tipik bir sızıntı sitesinin varlığı ve kümenin argümanları göz önüne alındığında Embargo’nun nitekim de bir RaaS sağlayıcısı olarak faaliyet gösterdiğini varsayıyoruz” açıklamasını yaptılar.
Dağıtılan sürümlerdeki farklılıklar, yanlışlar ve kalan eserler, bu araçların etkin olarak geliştirilmekte olduğunu gösteriyor. Embargo hâlâ markasını oluşturma ve kendisini önde gelen bir fidye yazılımı operatörü olarak kurma sürecinde. Özel yükleyiciler ve EDR temizleme araçları geliştirmek, birden fazla fidye yazılımı kümesi tarafından kullanılan yaygın bir taktik. MDeployer ve MS4Killer’ın her vakit birlikte konuşlandırıldığının gözlemlenmesinin yanı sıra ortalarında öbür irtibatlar da var. Araçlar ortasındaki güçlü bağlar, her ikisinin de birebir tehdit aktörü tarafından geliştirildiğini ortaya koyuyor. Araç setinin etkin olarak geliştirilmesi, tehdit aktörünün Rust konusunda uzman olduğunu gösteriyor.
Güvenlik yazılımını devre dışı bırakıyor
MDeployer ile Embargo tehdit aktörü, güvenlik tahlillerini devre dışı bırakmak için İnançlı Mod’u berbata kullanır. MS4Killer, BYOVD (Bring Your Own Vulnerable Driver) olarak bilinen tekniği kullanarak güvenlik eseri süreçlerini sonlandıran tipik bir savunma atlatma aracıdır. Bu teknikte, tehdit aktörü çekirdek seviyesinde kod yürütme elde etmek için imzalı, savunmasız çekirdek şoförlerini berbata kullanır. Fidye yazılımı iştirakleri, atağa uğrayan altyapıyı koruyan güvenlik tahlillerini kurcalamak için ekseriyetle ödün verme zincirlerine BYOVD araçlarını dahil eder. Güvenlik yazılımını devre dışı bıraktıktan sonra, iştirakçiler fidye yazılımı yükünün tespit edilip edilmeyeceği konusunda endişelenmeden yükü çalıştırabilir.
Embargo araç setinin temel gayesi, kurbanın altyapısındaki güvenlik tahlilini devre dışı bırakarak fidye yazılımı yükünün başarılı bir formda dağıtılmasını sağlamaktır. Embargo bunun için çok gayret harcıyor ve hücumun farklı etaplarında tıpkı fonksiyonelliği kopyalıyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı
