BlackCat — fidye yazılımına yeni bir oyuncu dahil oluyor

Uzmanlarımız, fidye yazılım çetesi BlackCat’in faaliyetlerini araştırdı ve kullandığı araçları inceledi.

Hiçbir pazar boşluğu affetmez, bu fidye yazılımlar için de geçerli. BlackMatter ve REvil çeteleri faaliyetlerini durdurduktan sonra, yeni oyuncuların ortaya çıkması an meselesiydi. İşte onlardan biri — geçen Aralık ayında, BlackCat olarak da bilinen ALPHV grubunun sağladığı hizmetlerin reklamları hacker forumlarında boy gösterdi. Birkaç olaydan sonra, Küresel Araştırma ve Analiz Ekibi (GReAT) uzmanlarımız, bu grubun faaliyetlerini dikkatle incelemeye ve Securelist internet sitesinde kapsamlı bir rapor yayınlamaya karar verdi.

Reklamlarda saldırganlar, önceki saldırganların hatalarını ve sorunlarını inceleyip kötü amaçlı yazılımın geliştirilmiş bir sürümünü piyasaya sürdüklerini belirtiyordu. Ancak BlackMatter ve REvil grupları ile, göstermeye çalıştıklarından çok daha yakın ilişkileri olduğuna dair işaretler var.

BlackCat çetesi kim ve hangi araçları kullanır?

BlackCat fidye yazılım geliştiricileri, hizmetlerini, Hizmet Olarak Fidye Yazılımı (RaaS) yöntemiyle sunuyor. Başka bir deyişle, diğer saldırganların altyapılara ve kötü amaçlı kodlara erişimini sağlıyorlar. Bunun karşılığında da, fidyeden belirli bir pay alıyorlar. Ayrıca, BlackCat çetesi üyeleri, muhtemelen kurbanlarla yapılan görüşmelerden de sorumlu. Yani, “franchisee”lerinin kendilerinin yapması gereken tek şey, kurumsal ortama erişim sağlamak. BlackCat’in bu kadar hızlı ivme kazanmasının nedeni, “her şey dahil” ilkesi. Kötü amaçlı yazılımları, dünya çapındaki şirketlere saldırmak için zaten kullanılıyor.

BlackCat’in çeşitli hizmetleri var. Bunlardan ilki, aynı adı taşıyan şifreleyici. Rust dilinde yazdıkları şifreleyici sayesinde, saldırganlar hem Windows hem de Linux ortamlarında çalışan kötü amaçlı yazılım sürümleriyle platformlar arası bir araç oluşturmayı başardı.

İkincisi, virüslü altyapıdan veri sızdırmak için kullanılan Fendr yardımcı programı. Fendr’in kullanılması, BlackCat’in, BlackMatter grubunun yeniden markalaşması olabileceğine işaret ediyor. Çünkü bilindiği kadarıyla, ExMatter ismiyle de anılan bu aracı kullanan tek çete onlar.

Ayrıca BlackCat, kurbanın ağındaki yanal hareketleri tespit etmek için PsExec aracını kullanır: Ünlü hacker yazılımı Mimikatz ve ağ parolalarını ayıklamak için Nirsoft yazılımı.

Bu Securelist blogundan, BlackCat yöntemleri ve araçlarının yanı sıra risk göstergeleri hakkında daha fazla teknik bilgi edinebilirsiniz.

BlackCat’in kurbanları kimler?

BlackCat fidye yazılımı olaylarında, uzmanlarımız petrol, gaz, madencilik ve inşaatla uğraşan bir Güney Amerika sanayi şirketine en az bir saldırı gözlemledi. Ayrıca yazılımın, Orta Doğu’da bulunan bir kurumsal kaynak planlama sağlayıcısının birkaç müşterisine bulaştığına tanıklık etti.

En tedirgin edici gerçeklerden biri, Fendr’ın evrimi. Şu anda araç, önceki BlackMatter grup saldırılarına kıyasla, daha geniş bir dosya yelpazesini otomatik olarak indirebilir. Siber suçlular, yakın zamanda belirtilen uzantılara sahip dosyaları bulma özelliğini ekledi: .sqlite, .catproduct, .rdp, .accdb, .catpart, .catdrawing, .3ds, .dwt ve .dxf. Bu tür dosyalar, endüstriyel tasarım uygulamaları ve uzaktan erişim araçlarıyla bağlantılıdır. Yani bu durum, kötü amaçlı yazılım geliştiricilerinin, endüstriyel ortamları hedeflediğine işaret ediyor olabilir.

Kendinizi korumanın yolları

Şirketinizin önemli bilgilerini kaybetmemesi için öncelikle tüm kurumsal cihazları güvenilir güvenlik çözümleriyle korumanızı, ve çalışanlarınıza bilgi güvenliği temelleri konusunda düzenli eğitim vermenizi öneriyoruz.

Hizmet olarak fidye yazılımının durdurulamayan yükselişiyle birlikte, şirketlerin olaylara hazırlıklı olması ve çok katmanlı bir fidye yazılımı önleme stratejisine sahip olması, her zamankinden daha önemli.

İpuçları