BlackCat ransomware
BlackCat ransomware (fidye yazılımı) grubu 2021’in ortalarında ilk kez ortaya çıkmılardır.ALPHV ve Noberus olarak da bilinen BlackCat, Rust‘ta yazılmış bir fidye yazılımı (ransomware) ailesidir. Aynı zamanda onu istismar eden tehdit aktörlerinin de ismidir.
BlackCat, hizmet olarak fidye yazılımı (ransomware) RaaS modeli üzerinde çalışıyor; geliştiriciler kötü amaçlı yazılımı bağlı kuruluşların kullanımına sunar ve fidye ödemelerinin bir yüzdesini almaktadırlar. Fidye yazılımı (ransomware), ilk erişim için esas olarak ilk erişim aracıları aracılığıyla elde edilen çalıntı kimlik bilgilerine dayanmaktadır. Grup, mağdurlara fidye taleplerini ödemeleri konusunda baskı yapmak için halka açık bir veri sızıntısı sitesi işletmektedirler.
Bu grup, 2023 yılında Reddit de dahil olmak üzere dünya çapında yüzlerce kuruluşu hedef almıştır. İlk ortaya çıkışından bu yana en aktif olarak çalışan guruplardan biridir.
BlackCat’ grubunun üyeleri çoğunlukla ikili şantaj taktiği kullanmakta ancak bazen sızdırılan verileri ifşa etmeyi ve kurbanların altyapısına dağıtılmış hizmet reddi (DDoS) saldırıları başlatma tehdidini içeren üçüncü bir gaspı da yapmaktadırlar.
BlackCat gurubunun üyeleri genellikle Bitcoin ve Monero cinsinden birkaç milyon dolarlık fidye ödemesi talep edip ve başlangıçta ki tutarın altındaki fidye ödemelerini kabul etmektedirler. FBI‘a göre, BlackCat/ALPHV geliştiricilerinin ve kara para aklayıcılarının çoğu DarkSide/Blackmatter ile bağlantılı, bu da onların fidye yazılımı operasyonlarında kapsamlı ağlara ve de deneyime sahip olduklarını göstermektedir.
BlackCat ransomware grubu , açık internette halka açık bir veri sızıntısı web sitesi oluşturan ilk fidye yazılımı olarak bilinmektedir. BlackCat ransomware’den önceki siber çeteler genellikle çalınan verileri karanlık ağda yayınlamaktaydı. BlackCat‘in globale kazandırdığı, kurbanların verilerinden alıntıları veya örnekleri, web tarayıcısı olan herkesin erişebileceği bir sitede yayınlamaya başladılar. Güvenlik uzmanları, taktiğin, kurbanların sistemlerini ihlal etme iddialarının daha fazla inandırıcılığını göstermeyi ve kuruluşların verilerinin tamamen kamuya açıklanmasını önlemek için fidye ödemeleri yönündeki baskıyı artırmayı amaçlamaaktadırlar. BlackCat ransomware grubu ayrıca kurbanlarının web sitelerini taklit ederek çalıntı verileri web üzerinde yazım hatası yapılmış kopyalara yayınlıyor.
Royal ransomware (fidye yazılımı) ilk kampanyalarında BlackCat ransomware adlı şifreleme aracını kullanmışlardır.
BlackCat ransomware, 2022 yılı boyunca üniversiteler, devlet kurumları ve enerji, teknoloji, imalat ve ulaşım sektörlerindeki şirketler dahil olmak üzere dünya çapında çok sayıda yüksek profilli kuruluşun sunucularına girip ve gasp etmişlerdir. Bilinen kurbanlardan bazıları Moncler, Swissport, Kuzey Carolina A&T, Florida Uluslararası Üniversitesi, Avusturya’nın Karintiya eyaleti, Regina Devlet Okulları, İskenderiye şehri, Pisa Üniversitesi, Bandai Namco, Creos, Accelya, GSE, NJVC, EPM ve JAKKS bunlardır.
BlackCat ransomware Eylül 2022’de yayınlanan bir raporda Emotet botnet’ini kullandığı belirtilmektedir..
BlackCat ransomware Mayıs 2022’nin sonlarında bir Avrupa hükümetine saldırıda bulunmuşlardır ve fidye olarak 5 milyon ABD doları istemişlerdir.
BlackCat ransomware 2023 yılının başında, Grupo Estrategas EMM, NextGen Healthcare, Solar Industries India, Instituto Federal Do Pará, Munster Technological University ve Lehigh Valley Health Network’lerine saldırıda bulunmuşlardır.
BlackCat ransomware Şubat 2023’te hızı ve şifrelemeyi artıracak güncellemelerle Sphynx adlı bir varyant piyasaya sürmüşlerdir. Mayıs 2023 itibarıyla grubun, ortaya çıkışından bu yana dünya çapında 350’den fazla kurbanı hedef aldığı tahmin edilmektedir
BlackCat ransomware Haziran 2023’te, Şubat 2023’te Reddit‘in sistemlerindeki bir ihlalin sorumluluklarını üstlenmiştir.. Veri sızıntısı sitelerinde 80 GB sıkıştırılmış veri çaldıklarını iddia ederek Reddit‘ten 4,5 milyon dolar fidye talep etmişlerdir. Bu saldırı, tipik fidye yazılımı kampanyaları gibi veri şifrelemeyi içermemekteydi.
BlackCat Ekibi, giriş noktası olarak Emotet botnet kötü amaçlı yazılımını kullanmaktadır. Ayrıca fidye yazılımını ağ içinde yanal olarak yaymak için Log4J Auto Expl’i kullanmaktadır.
BlackCat ile bağlantılı tehdit aktörlerinin, kullanıcıları kötü amaçlı yazılım(sahte websitesi)barındıran sayfalara yönlendirmek için meşru kuruluşların ele geçirilen web sayfalarını kullandıkları gözlemlenmektedir. Sahte WinSCP yükleyicisi, takip eden izinsiz giriş faaliyetleri için Cobalt Strike Beacon içeren bir arka kapı dağıtmışlardır. Cobalt Strike‘ın sağladığı erişim, keşif, yanal hareket, veri sızdırma ve güvenlik yazılımında değişiklik yapmak için kullanılmıştır. Tehdit aktörleri, alan adı yöneticisi ayrıcalıkları elde edip ve saldırı keşfedilmeden önce arka kapılar kurmaya başlamışlardır.
BlackCat grubu, ağlar arasında malware’ (kötü amaçlı yazılım) dağıtmak ve güvenlik kontrollerini devre dışı bırakmak için Group Policy Objects (GPO’lar) kötüye kullanmaktadırlar.
Malware (kötü amaçlı yazılım), dosyaları şifrelemek üzere fidye yazılımını (ransomware) dağıtmadan önce hassas verileri çalmak için ExMatter gibi araçları kullanmaktadır.
Fidye yazılımı(ransomware), tespit edilmeyi önlemek için önemsiz kod ve şifrelenmiş dizeler gibi teknikler içermekte. BlackCat ransomware yürütüldükten sonra, etkilenecek daha fazla sistem bulmak için ağ keşfi gerçekleştirip, birim gölge kopyalarını silerek, dosyaları şifreledikten sonra kripto para birimi talep eden bir fidye notu bırakır.
Comments are closed