CL0P Fidye Yazılımı (Ransomware)
CL0P, Tanınmış Cryptomix fidye yazılımı (Ransomware) ailesinin bir üyesi olan Ransomware (Fidye yazılımı), savunmasız sistemlerden kasıtlı olarak yararlanan ve kayıtlı dosyaları “.Clop” uzantısıyla şifreleyen tehlikeli bir dosya şifreleme kötü amaçlı yazılımıdır. Clop kelimesi, geceleri insan kanıyla beslenen (sivrisinek) Cimex benzeri bir böcek olan “tahta böceği” anlamına gelen Rusça “clop” kelimesinden gelmektedir. CLOP‘un ayırt edici bir özelliği, fidye notlarında bulunan “Endişelenme C|0P” yazısıdır.
Siber güvenlik uzmanlarına göre CLOP Ransomware saldırıları Şubat 2019’dan bu yana artmaktadır. Ö CLOP Ransomware (Fidye yazılımı) , müşteri verilerini çalmak için Mart 2021’de tanınmış siber güvenlik uyumluluk şirketi olan Qualys’e saldırmıştır. Palo Alto Unit42′ye göre CLOP fidye yazılımı (Ransomware), mali amaçlı tehdit grubu TA505 (Hive0065) ile bağlantılıdır.
16 Haziran 2021’de, Ukrayna, Güney Kore ve ABD’deki kolluk kuvvetlerinin de dahil olduğu uluslararası bir operasyon kapsamında polis, CLOP fidye yazılımı (Ransomware) çetesine karıştığından şüphelenilen birçok kişiyi tutukladı. Operasyondan birkaç gün sonra fidye yazılımı grubu, yeni kurbanlardan elde ettiği verileri yayınlayarak manşetlere çıkmıştır.
En kötü şöhrete sahip operasyonları arasında, Ekim 2020’de Software AG’ye düzenlenen ve 20 milyon doları aşan kaydedilen ilk fidye yazılımı (Ransomware) talebi olan saldırı yer almışlardor. Bu olay, fidye yazılımı (Ransomware) ortamında önemli bir oyuncu olarak varlıklarını gösterdiler.
CISA tarafından 23 Mart’ta yayınlanan rapora göre , CLOP’un halihazırda Amerika Birleşik Devletleri’ndeki Uluslararası Sağlığı Teşvik Eden Hastaneler ve Sağlık Hizmetleri Ağı (HPH) gruplarını ve Kanada ve İsveç’teki kuruluşları hedeflemek için kullanıldığını öne sürüyor.
Bir tehdit aktörü olan FIN11‘in ardından Mandiant uzmanları, çetenin Bağımsız Devletler Topluluğu’nda (BDT) bir yerde yerleşik olduğu sonucuna varmışlardır. Bu derecelendirme, FIN11’in BDT ülkesi klavye düzenlerini ve Rusça dosya meta verilerini kullanan sistemlerden kaçınmasına dayanır
Perakende, ulaşım, eğitim, üretim, mühendislik, otomotiv, enerji, finans, havacılık, telekomünikasyon, profesyonel ve hukuk hizmetleri CLOP fidye yazılımından(Ransomware) etkilenen sektörler arasında yer almakta. Örnek olarak, Aralık 2020’de CLOP Ransomware operatörleri ve bağlı kuruluşları, Accellion File Transfer Appliance (FTA) yazılımındaki bazı sıfır gün güvenlik açıklarından yararlanmaya ve tüketicilerini hedeflemeye başlamışlardı.
CLOP Ransomware’nin hedeflediği ilk 3 sektör; Finans, bilişim teknoloji şirketleri ve üretim yapan fabrikalar.
CL0P Ransomware (Fidye yazılımı) saldırılarına uğrayan ülkelerin istatistiklerine bakıldığında bu ülkelerin ağırlıklı olarak ABD, İngiltere, Almanya ve Kanada gibi Batılı ülkeler olduğunu görmğş oluyoruz CL0P Fidye yazılımı‘nın saldırılarının önemli bir çoğunluğunun (toplamda %77,3) bu ülkelere yoğunlaşması şaşırtıcı gözükmemektedir.
CLOP fidye yazılımı (ransomware), spam e-posta ekleri, truva atları, URL’ler, çatlaklar, korumasız Uzak Masaüstü Protokolü (RDP) bağlantıları, kötü amaçlı web siteleri vb. dahil olmak üzere çeşitli yollarla bir bilgisayara bulaşmaktadır.
Şubat 2019’da CryptoMix fidye yazılımı (Ransomware) CLOP türü, CryptoMix‘in önceki sürümlerine benzer şekilde davranmaktadır. Güvenlik araştırmacıları Mart 2019’da sürümün davranışını değiştirdiğini ve artık Microsoft Exchange, Microsoft SQL Server, MySQL ve BackupExec gibi kurumsal uygulamalara yönelik hizmetleri devre dışı bıraktığı da keşfedilmiştir.. CLOP’un Aralık 2019 güncellemesinde , şifreleme prosedürünü başlatmadan önce cihazlardaki 663 programı belirleyip ortadan kaldırarak bu özelliğini geliştirmişlerdir.
Hackerlar daha sonra verilerin kodunu çözmek ve kuruluş verilerinin sızdırılmamasını sağlamak için ödeme talep etmektedir. Mağdurlar fidyeyi ödemezse bilgileri CLOP‘un fidye yazılımı(Ransomware) web sitesi CL0P – LEAKS’te yayınlamakla tehdit etmektedir. Ödeme gerçekleşmediği takdirde web sitesinde ilgili firmalar ile ilgili bilgileri yayınlamaktadırlar.
Mandiant FireEye araştırmacılarına göre CLOP operatörlerinin, büyük ölçekli kimlik avı kampanyaları yürüterek ve ardından para kazanmak için hangi ağların tehlikeye gireceğini seçerek hedefleri tehlikeye atmak için “sprey ve dua et” (spray and pray) yaklaşımını daha hedefe yönelik bir yaklaşımla birleştirdikleri de gözlemlenmiştir.
Alienvault üzerinde yapılan araştırma sonucunda TA505 ve Clop ile ilişkili 82d4025b84cf569ec82d21918d641540 hash değerine sahip örnek bir kötü amaçlı yazılım SOCRadar’ın tehdit araştırmacıları tarafından toplanıp inceleniyor. Analiz, kötü amaçlı yazılımın işlem enjeksiyonu yaptığını ve çalışan işlemleri hxxp[:]//qweastradoc[.]com/gate.php alan adresine base64 kodlu formatta aktardığını gözlemlenmiştir.
Clop Ransomware MOVEit veri hırsızlığı kampanyasının bazı kurbanlarından çalınan verileri sızdırmanın bir yolu olarak anlaşılır web siteleri oluşturmaya başvurmuştur. Bununla birlikte, bu tür alan adlarının kolluk kuvvetleri ve şirketler tarafından yayından kaldırılma olasılığı daha kolaydır. Bir alternatif arayan Clop Ransomware, artık veriler için bir dağıtım yöntemi olarak Torrent’leri benimsemişlerdir.
Bu yeni gasp taktiğinde Clop fidye yazılımı, sızdırılan verileri indirmek için Torrent istemcilerinin kullanılmasına ilişkin talimatların yer aldığı ve mıknatıs bağlantılarını listeleyen bir TOR sitesi kurmuştur.
Torrentler, eşler arası aktarım yoluyla daha yüksek aktarım hızlarına olanak tanımakta ve merkezi olmayan dağıtım yolu sunarak kolluk kuvvetlerinin kapanmasını zorlaştırmışlardır. İlk yükleyen bilgisayar çevrimdışı olsa bile çalınan veriler yayılmaya devam etmek için farklı bir cihaz kullanılabilmektedir.
Clop şu ana kadar 20 kurban için Torrent oluşturmuştur: Putnam, Iron Bow, City National Bank, Andesa, Stiwa Group, Enzo Biochem, Delaware Life, NavAXX, Heidelberg, Landal, Zürih Brezilya, Aon, UnitedHealthcare Öğrenci Kaynakları, K&L Gates, Paycor, CareSource, 1stSource, PwC, Ernst & Young (EY), Paycom.
TOR ağı aracılığıyla dosya elde etmek daha önce önemli zorluklar ve zaman alıcı süreçlerle karakterize edildiğinden, bu gelişme endişeleri artırılmaktadır. Torrent’in entegrasyonuyla birlikte verilerin dağıtımı artık önemli ölçüde hızlandırılmış bir hızda gerçekleşmektedir. Ancak bu yaklaşımın potansiyel dezavantajlarını kabul etmek önemlidir; çünkü bu, indirme faaliyetlerine katılan bireylerin belirlenmesine olanak tanımakta ve böylece anonimlikten (bilinmezlik kaybı) ödün verilmektedir.
GoAnywhere MFT güvenlik açığıyla yüzlerce şirketi mağdur eden Clop fidye yazılımı, bir diğer yönetilen aktarım aracı (MFT) çözümü olan MOVEit Transfer’in sıfır gün güvenlik açığından yararlanarak yeni kurbanları duyurmaya başlamışlardı.
Kurbanların listesi oldukça geniş ve birçok ABD bankasını ve üniversitesini içeriyor. 1st Source ve First National Bankers Bank gibi finansal hizmet kuruluşları, yatırım yönetimi şirketi Putnam Investments ve enerji devi Shell, tehlikeye atılanlar arasında yer almışlardır. Diğer kurbanlar arasında finansal yazılım sağlayıcısı Datasite, kar amacı gütmeyen eğitim kurumu National Students Clearinghouse, öğrenci sağlık sigortası sağlayıcısı United Healthcare Öğrenci Kaynakları, Amerikalı üretici Leggett & Platt ve İsviçre sigorta şirketi ÖKK gibi çok çeşitli kuruluşlar yer almıştır.
Küresel enerji ve petrokimya şirketi Shell’in sızdırılan verilerini Clop’un Tor sayfasında paylaşıtılar
Avustralyalı muhasebe firması PwC hedef alındılar
Yenilikçi bulut tabanlı kurumsal öğrenme sağlayıcısı Skillsoft’un kurban olduğu açıklanmıştı.
Amerikan bilişim ve siber güvenlik firması Telos Corporation’ın kurban olduğu açıklamıştır. Araştırmacı Dominic Alvieri, Twitter’da Telos’un bilinen müşterilerinin arasında FedEx, Raytheon Technologies, Verizon, Citi, ABD Dışişleri Bakanlığı ve ABD Savunma Bakanlığı’nın yer aldığını ve bunun endişe yarattığını belirtilmiştir
Önde gelen tüketici siber güvenlik yazılımı sağlayıcısı NortonLifeLock’un kurban olduğunu açıklamıştır.
Görünüşe göre onlar, bu “otomatik sömürü saldırı zincirinin” dikkate değer kurbanlarından sadece birkaçıdır.
İlginç bir şekilde Clop, fidye yazılımı (Ransomware) saldırı stratejisinde alışılmadık bir adım attı. Fidye talep etmek için hacklediği kuruluşlarla iletişime geçmek yerine kurbanlara kendileriyle nasıl iletişime geçecekleri talimatını vermiştir.
CISA, Clop’un MOVEit faaliyetleri hakkında bir tavsiye belgesi yayınlamışlardır ve bu duyurulardan kısa bir süre sonra ABD Adalet Ödülleri, resmi Twitter sayfasında, Clop fidye yazılımı (Ransomware) ve diğer kötü niyetli siber aktörlerle bağlantı kuran bilgi paylaşımına 10 milyon dolara kadar ödül sunacağını duyurmuştu. Bu duyuruyu kaleyi içeriden fethetmek için iyi bir hamle olarak düşünülmüştür.
Clop Ransomware çetesi “CL0P^_-LEAKS” logolu bir soğan uzantısı sayfasından iddialarda bulunmaktadır. Yakın zamanda ortaya çıkan CVE-2023-0669 güvenlik açığından yararlanarak birçok iddiada bulundular.
Beklenenden fazla iddia olması ve hiçbir verinin ortaya çıkmaması, ilk etapta iddiaların sahte olduğu izlenimini uyandırsa da. Sırasıyla Rubrik ve Hitachi Energy tarafından yapılan son teyitler, bunların gerçek olma olasılığını giderek artırmıştır.
İddiaların gerçekliğini destekleyen paylaşımlardan biri de 888voip alanına ait açığa çıkan verilerdir.
Bu güvenlik açığının kimlik doğrulama öncesi uzaktan kod enjeksiyonu olduğunu doğrulayan çeşitli gönderilere dayanarak, GoAnywhere MFT’leri kullanan müşterilerin hâlâ risk altında olduğu varsayılmaktadır.
MOVEit’teki güvenlik açığından yararlanan Clop Ransomware grubu, kurbanlarla ilgili belge ve verileri sızdırmaya devam etmektedir. Grup, çalınan bilgilerin tamamını barındıracak yeni bir URL oluşturmadan önce en son PwC ile ilgili dosyaların 11. bölümünü paylaşmıştır.
Araştırmacı Dominic Alvieri, olayı Twitter’da son dakika haberi olarak paylaştı ve Clop’un sızıntı için yeni bir site oluşturarak BlackCat grubunun taktiğini kullandığını vurgulamıştır.
Clop ransomware ayrıca yakın zamanda karanlık web sızıntı sitesine 10 kurban daha eklediler. ABD’li kurbanlar arasında American Airlines, Jonas Fitness, lojistik şirketi SMC3, çok sektörlü üretici ITT, Allegiant Air, kozmetik şirketi Estée Lauder, Bluefin Payment Systems ve Ventiv Technology yer alırken, telekomünikasyon sektörü şirketleri Ofcom (İngiltere) ve ComReg (İrlanda) da kurbanlar arasında yer almaktadır.
Comments are closed