ESET fidye yazılım çeteleri arasındaki bağlantıların açığa çıkması

ESET fidye yazılım çetesi RansomHub'ı tüm ayrıntıları ile incelendi

Siber güvenlik şirketi ESET, fidye yazılım çetesi RansomHub'a odaklanarak mevcut fidye yazılımı ekosistemine ilişkin analizini yayımladı.

ESET Research, RansomHub'ın iştiraklerine sunulan araçları takip ederek RansomHub, Play, Medusa ve BianLian fidye bilgileri çeteleri arasındaki bağlantıları keşfetti. ESET tarafından yayınlanan analiz, EDRKillShifter ile yatırımla ilgili belgeleniyor.

RansomHub ve diğer fidye şifreli çeteleri arasındaki farklar

ESET araştırmacıları, fidye yazılımı ekosistemindeki önemli değişiklikler hakkında yeni ortaya çıkan ve şu anda hakim olan hizmet olarak fidye yazılımı çetesi RansomHub'a odaklanan bir analiz yayımladı. Rapora göre, RansomHub'ın ortaklık yapısı ile ilgili daha önce yayımlanmamış bilgiler paylaşılıyor ve bu yeni ortaya çıkan dev ile çeteler Play, Medusa ve BianLian arasındaki açık bağlantılar ortaya çıkıyor. Ayrıca ESET, RansomHub tarafından ayrılıp sürdürülen özel bir EDR katili olan EDRKillShifter'ın maskesini düşürerek, Uç Nokta Tespit ve Yanıt (EDR) katillerinin ortaya çıkan tehdidini vurguluyor. ESET, kamuya açık kavram kanıtlarından türetilen EDR katili kullanan fidye yazılım katılımlarında bir artış gözlemlerken kullanılan sürücü ayarında büyük oranda değişmedi. 

Fidye ekosisteminde 2024 yılında değişimler yaşandı

RansomHub'ı araştıran ESET araştırmacısı Jakub Souček şu açıklamayı yaptı: "Fidye yazılıma karşı mücadele 2024 yılında iki dönüm noktaya ulaştı: Eskiden en büyük çete olan LockBit ve BlackCat bu mücadelenin dışında kaldı. 2022'den bu yana ilk kez, fidye ödemeleri yüzde 35 gibi bir oranda. Öte yandan, özel sitelerinde ulaştığı (kamuoyuna) 15 Artan bu artışın büyük bir kısmı, LockBit'in faaliyet gösterdiği Cronos Operasyonu sırasında ortaya çıkan yeni bir hizmet olarak fidye yazılımı (RaaS) çetesi olan RansomHub'dan bekleniyor.”

Yeni ortaya çıkan RaaS çetesi gibi RansomHub'ın da operatörlerden fidye yazılım hizmetleri kiralayan katılımcıları çekmesi gerekiyordu ve nüfusun gücünde olan operatörler çok seçici değildi. İlk ilan Rusça konuşulan RAMP forumunda Şubat 2024'ün başlarında, ilk kurbanların alınmasından sekiz gün önce yayımlandı. RansomHub, Sovyetler Birliği'nin ardından Bağımsız Bakım Topluluğu, Küba, Kuzey Kore ve Çin ülkelerine saldırmayı yasaklıyor. Beklenen bir şekilde, iştirakçileri tüm fidye ödemelerini giderlerine alacakları vaadiyle cezbediyor ve operatörler iştirakçilerinin yüzde 10'unu kendileriyle paylaşacaklarına imza atacak ki bu oldukça benzersiz bir şey.

Fidye Cüzdanı Çetelerinin Yeni Silahı

Mayıs ayında RansomHub operatörleri önemli bir güncelleme yaptı: Kendi EDR katillerini Oynattılar. Bu, kurbanın sisteminin yüklü olan güvenlik ürününü sonlandırmak, köreltmek veya çökertmek için tasarlanan özel bir kötü amaçlı yazılım türüydü ve genellikle güvenlik açığı olan bir sürücüden yararlanılarak kullanıldı. RansomHub'ın EDRKillShifter adlı EDR katili, çete tarafından ayrılmak ve sürdürülen özel bir araç ve RansomHub katılımcılarına sunulmaktadır. Seçeneksellik açısından, RansomHub operatörlerinin bozulmasını amaçladıkları ağları korurken bulmayı umdukları çok çeşitli güvenlik çözümlerini tipik bir EDR katilidir.

ESET, EDR katillerine karşı önlem almak için uyarıyor

ESET araştırmacısı Jakub Souček'in açıklaması şöyle devam etti: "Bir uygulama ve bunu RaaS programının bir parçası olarak parçalara ayırma kararı nadirdir. İştirakçiler genellikle güvenlik ürünlerinden kaçma noktaları bulmak için kendi başlarınadır. Bazı mevcut araçları yeniden çalıştırma daha teknik odaklı olanlar mevcut kanıtlarını değiştirir veya karanlık web'de bir hizmet olarak bulunan EDR katillerini kullanır. ESET soruları EDRKillShifter zamanında ciddi bir olay ve sadece RansomHub vakalarında EDR katilleri iki bölümden oluşur: düzenlemeden sorumlu bir kullanıcı modu cihazı (katil kod) ve meşru ancak bir sürücü. EDR katillerine karşı savunma yapmak zordur. Tehdit aktörlerinin bir EDR katilinin konuştuğu yönetici ayrıcalıkları vardır, bu nedenle ideal olarak, bu erişime ulaşmadan önce varlıkları tespit edilmeli ve hafifletilmelidir.”

ESET, RansomHub'ın bağlı şirketlerinin Play, Medusa ve BianLian olmak üzere üç rakip çete için araştırdığını keşfediyor. RansomHub ve Medusa arasında bir bağlantı bağlantısı o kadar da şaşırtıcı değil çünkü fidye yazılımı bölümlerinin genellikle aynı anda birden fazla operatör için çaba harcaması yaygın bir bilgi. Öte yandan, Play ve BianLian'ın EDRKillShifter'a erişimlerinin açıklanmasının bir yolu, aynı RansomHub üyesinin işe alınmış olmalarıdır ki her iki çetenin de açık yapısının göz önüne çıkması bu pek olası değildir. Daha akla yatkın bir başka açıklama ise Play ve BianLian'ın güvenilir ürünleri, RansomHub gibi yeni ortaya çıkan rakiplerle iş birliği yapma ve daha sonra bu rakiplerden ayrılan araçlarda kendi saldırılarında yeniden kullanılandır. Play, Kuzey Kore'ye bağlı Andariel grubuyla bağlantılıdır.