KOBİ’lere fidye tuzağı

dit kümesinin son faaliyetlerini haritalandırarak yeni ScRansom fidye yazılımının konuşlandırıldığını belgeledi ve öteki esaslı fidye yazılımı çeteleriyle kontaklarını keşfetti. CosmicBeetle, bilhassa Avrupa ve Asya’daki küçük ve orta ölçekli işletmelere (KOBİ’ler) fidye yazılımı yayıyor. Siber hatalıların Türkçe fidye notu ve mail adresleri kullanmaları bu ziyanlı yazılımın gerisinde bir Türk mü var kuşkusu uyandırdı. 

ESET Research, tehdit aktörünün sızdırılan LockBit oluşturucusunu kullandığını ve LockBit’in fidye yazılımı prestijinden yararlanmaya çalıştığını gözlemledi. LockBit’in yanı sıra ESET, CosmicBeetle’ın muhtemelen Mart 2024’ten bu yana etkin olan ve süratle artan faaliyetleriyle yeni bir fidye yazılımı çetesi olan hizmet olarak fidye yazılımı aktörü RansomHub’ın yeni bir iştiraki olduğuna inanıyor. 

CosmicBeetle’ın son faaliyetlerini tahlil eden ESET araştırmacısı Jakub Souček, “Muhtemelen sıfırdan özel fidye yazılımı yazmanın getirdiği zorluklar nedeniyle CosmicBeetle temel fidye yazılımındaki problemleri maskelemek ve kurbanların ödeme yapma bahtını artırmak için LockBit’in prestijinden yararlanmaya çalıştı“ dedi.” Buna ek olarak, yakın vakitte ScRansom ve RansomHub yüklerinin yalnızca bir hafta ortayla tıpkı makineye yerleştirildiğini gözlemledik. RansomHub’ın bu halde çalıştırılması, ESET telemetrisinde gördüğümüz tipik hadiselere kıyasla çok sıra dışıydı lakin CosmicBeetle’ın çalışma metoduna epeyce benziyordu. RansomHub’ın halka açık sızıntıları olmadığından bu durum, CosmicBeetle’ın onların yeni bir iştiraki olabileceğine inanmamıza yol açıyor” diye ekledi.

Saldırıların gerisinde bir Türk olabilir mi?

CosmicBeetle, muhtemelen son birkaç yılın en makûs şöhretli fidye yazılımı çetesi olan ve kısa müddet evvel çökertilen LockBit’i taklit ederek bu sıkıntıları kısmen ele almaya ya da daha doğrusu gizlemeye çalıştı. LockBit ismini kullanarak kurbanları ödeme yapmaya daha kolay ikna etmeyi umuyordu. CosmicBeetle ayrıyeten Türkçe fidye notu içeren özel örneklerini oluşturmak için sızdırılan LockBit Black builder’ı kullandı. Zaufana Trzencia Strona analistleri yakın vakitte CosmicBeetle hakkında bir blog yazısı yayımlayarak CosmicBeetle’ı gerçek bir şahsa – bir Türk yazılım geliştiricisine – atfetmiş olsalar da ESET araştırmacıları bu atfın gerçek olduğunu düşünmüyor.

Saldırıdan etkilenen bölümler: Üretim, ilaç, hukuk, eğitim, sıhhat, teknoloji, konaklama-eğlence, finansal hizmetler ve lokal yönetimler

CosmicBeetle maksatlarına saldırmak için ekseriyetle kaba kuvvet tekniklerini benimser. Bunun yanı sıra bilinen çeşitli güvenlik açıklarını da berbata kullanır. Dünyanın dört bir yanındaki her türlü dikey daldan küçük ve orta ölçekli işletmeler, bu tehdit aktörünün en yaygın kurbanlarıdır zira etkilenen yazılımı kullanma mümkünlüğü en yüksek olan yahut sağlam yama idaresi süreçlerine sahip olmayan kesim budur. ESET Research, KOBİ’lere yönelik hücumları şu kesimlerde gözlemledi: Üretim, ilaç, hukuk, eğitim, sıhhat, teknoloji, konaklama-eğlence, finansal hizmetler ve bölgesel idare.

ScRansom şifrelemenin yanı sıra etkilenen makinedeki çeşitli süreçleri ve hizmetleri de öldürebilir. CosmicBeetle değişik maksatları tehlikeye atmayı ve onlara büyük ziyan vermeyi başarmış olsa da ScRansom çok karmaşık bir fidye yazılımı değildir. Bunun nedeni çoğunlukla CosmicBeetle’ın fidye yazılımı dünyasında olgunlaşmamış bir aktör olması ve ScRansom’un dağıtımında yaşanan meselelerdir. ScRansom’dan etkilenen ve ödeme yapmaya karar veren kurbanlar dikkatli olmalıdır. 

ESET Research, CosmicBeetle tarafından son şifreleme şeması için kullanılan bir şifre çözücü elde etmeyi başardı. ScRansom daima geliştiriliyor, bu da fidye yazılımları için asla düzgün bir işaret değil. Şifreleme (ve şifre çözme) sürecinin çok karmaşıklığı yanılgılara açık ve tüm belgelerin geri yüklenmesini kuşkulu hale getirir. Başarılı bir şifre çözme süreci, şifre çözücünün düzgün çalışmasına ve CosmicBeetle’ın gerekli tüm anahtarları sağlamasına bağlıdır ve bu durumda bile birtakım belgeler tehdit aktörü tarafından kalıcı olarak yok edilebilir. En uygun senaryoda bile şifre çözme süreci uzun ve karmaşıktır. 

En az 2020’den beri etkin olan CosmicBeetle, ESET araştırmacılarının 2023’te keşfettiği bir tehdit aktörüne verdiği isimdir. Bu tehdit aktörü en çok ScHackTool, ScInstaller, ScService ve ScPatcher’dan oluşan ve çoklukla Spacecolon olarak isimlendirilen özel Delphi araçları koleksiyonunu kullanmasıyla biliniyor.

Kaynak: (BYZHA) Beyaz Haber Ajansı