Kurbanlar fidye yazılımı ve şantajla kıskaca alınıyor

Siber güvenlik alanında dünya lideri olan ESET, Embargo fidye yazılımının dağıtımına yol açan yeni araçlar keşfetti. Yeni fidye yazılım kümesi Embargo, Rust tabanlı araçlar geliştiriyor ve test ediyor. Kurbanın makinesinde çalışan güvenlik tahlillerini devre dışı bırakabilen Embargo, araçlarını kurbanlarının ortamına nazaran uyarlıyor.

Fidye yazılımı sahnesinde nispeten yeni bir küme olan Embargo, birinci olarak ESET tarafından Haziran 2024’te gözlemlendi. Yeni araç seti, ESET’in sırasıyla MDeployer ve MS4Killer olarak isimlendirdiği bir yükleyici, bir uç nokta algılama ve EDR‘dan oluşuyor. MS4Killer, her kurbanın ortamı için özel olarak derlendiği ve sırf seçilen güvenlik tahlillerini amaç aldığı için bilhassa dikkat alımlı. Ziyanlı yazılım, kurbanın makinesinde çalışan güvenlik eserlerini devre dışı bırakmak için İnançlı Mod’u ve savunmasız bir sürücüyü berbata kullanıyor. Her iki araç da Embargo kümesinin fidye yazılımlarını geliştirmek için tercih ettiği lisan olan Rust ile yazılmış.

Kendi altyapısını kuruyor

Çalışma biçimine bakıldığında Embargo’nun âlâ kaynaklara sahip bir küme olduğu görülüyor. Kurbanlarla bağlantı kurmak için kendi altyapısını kuruyor. Küme, şantajla kurbanlara ödeme yapmaları için baskı yapıyor: Operatörler kurbanların hassas datalarını dışarı sızdırıyor ve şifrelemenin yanı sıra bir sızıntı sitesinde yayımlamakla tehdit ediyor. Küme üyesi olduğu sav edilen bir şahısla yapılan röportajda, bir Embargo temsilcisi, kümenin RaaS (hizmet olarak fidye yazılımı) sağladığını öne sürerek, bağlı kuruluşlar için temel bir ödeme planından bahsetti. Tehdidi  analiz eden ESET araştırmacıları Tomáš Zvara ve  Jan Holman, “Grubun karmaşıklığı, tipik bir sızıntı sitesinin varlığı ve kümenin tezleri göz önüne alındığında Embargo’nun nitekim de bir RaaS sağlayıcısı olarak faaliyet gösterdiğini varsayıyoruz” açıklamasını yaptılar. 

Dağıtılan sürümlerdeki farklılıklar, kusurlar ve kalan eserler, bu araçların faal olarak geliştirilmekte olduğunu gösteriyor. Embargo hâlâ markasını oluşturma ve kendisini önde gelen bir fidye yazılımı operatörü olarak kurma sürecinde.  Özel yükleyiciler ve EDR temizleme araçları geliştirmek, birden fazla fidye yazılımı kümesi tarafından kullanılan yaygın bir taktik. MDeployer ve MS4Killer’ın her vakit birlikte konuşlandırıldığının gözlemlenmesinin yanı sıra ortalarında öteki temaslar da var. Araçlar ortasındaki güçlü bağlar, her ikisinin de birebir tehdit aktörü tarafından geliştirildiğini  ortaya koyuyor. Araç setinin faal olarak geliştirilmesi, tehdit aktörünün Rust konusunda ehil olduğunu gösteriyor.

Güvenlik yazılımını devre dışı bırakıyor

MDeployer ile Embargo tehdit aktörü, güvenlik tahlillerini devre dışı bırakmak için İnançlı Mod’u berbata kullanır. MS4Killer, BYOVD (Bring Your Own Vulnerable Driver) olarak bilinen tekniği kullanarak güvenlik eseri süreçlerini sonlandıran tipik bir savunma atlatma aracıdır. Bu teknikte, tehdit aktörü çekirdek seviyesinde kod yürütme elde etmek için imzalı, savunmasız çekirdek şoförlerini berbata kullanır. Fidye yazılımı iştirakleri, taarruza uğrayan altyapıyı koruyan güvenlik tahlillerini kurcalamak için ekseriyetle ödün verme zincirlerine BYOVD araçlarını dahil eder. Güvenlik yazılımını devre dışı bıraktıktan sonra, iştirakçiler fidye yazılımı yükünün tespit edilip edilmeyeceği konusunda endişelenmeden yükü çalıştırabilir.

Embargo araç setinin temel gayesi, kurbanın altyapısındaki güvenlik tahlilini devre dışı bırakarak fidye yazılımı yükünün başarılı bir biçimde dağıtılmasını sağlamaktır. Embargo bunun için çok gayret harcıyor ve hücumun farklı kademelerinde birebir fonksiyonelliği kopyalıyor. 

Kaynak: (BYZHA) Beyaz Haber Ajansı