Conti Ransomware
Conti, 2020’den beri gözlemlenen ve Rusya merkezli bir grup tarafından dağıtıldığına inanılan bir fidye yazılımı hacker grubudur. Hizmet olarak fidye yazılımı (ransomware) (RaaS) olarak çalışarak diğer siber suçluların bu kötü amaçlı yazılımı kendi amaçları doğrultusunda dağıtmasına olanak tanımakta. Conti fidye yazılımı (ransomware), özellikle kurbanın dosyalarını şifrelemekle kalmayıp aynı zamanda fidye ödenmediği takdirde hassas verileri çalarak yayınlamakla tehdit ettiği çifte şantaj tekniklerini kullanmasıyla tanınmaktadır. Microsoft Windows’un tüm sürümlerinin etkilemektedir. Amerika Birleşik Devletleri hükümeti, 2022 yılının Mayıs ayı başlarında grup hakkında bilgi verenlere 10 milyon dolara kadar ödül teklif etmiştir.
Conti genellikle Ryuk fidye yazılımının (ransomware) devamı olarak kabul edilmektedir.
RaaS modeli
Conti‘nin hizmet olarak fidye yazılımı (ransomware) (RaaS) modeli, yapısı bakımından tipik bir ortaklık modelinden farklılık gösterir. Conti geliştiricileri muhtemelen fidye yazılımını (ransomware) dağıtanlara bağlı siber aktörlerin kullandığı gelirin bir yüzdesi yerine bir ücret ödüyor ve başarılı bir saldırıdan elde edilen gelirden bir pay almaktadırlar.
Conti fidye yazılımı (ransomware), hedef sistemlerine sızmak için BazarLoader kullanımı da dahil olmak üzere çeşitli gizli teknikler kullanmaktadır. Fidye yazılımı (ransomware), dosyaları şifrelemek ve fidye ödenene kadar erişilemez hale getirmek için tasarlanmıştır. Genellikle kimlik avı e-postaları(E-Mail), yararlanma kitleri veya güvenliği ihlal edilmiş web siteleri aracılığıyla gönderilmekte. Conti, İrlanda ve Yeni Zelanda’daki kuruluşlara yönelik saldırılarında da görüldüğü gibi, sağlık kurumlarını hedef almasıyla ün kazandı.
Conti grubunun ayrıca fidyeyi ödemeyi reddeden mağdur kuruluşlara erişim sattığı da biliniyor. Bu uygulama yalnızca kurbanlar üzerinde yeni bir baskı katmanı oluşturmakla kalmıyor, aynı zamanda fidye yazılımı (ransomware) çetesine ek bir gelir kaynağı da sağlıyor. Grubun gelişmiş teknikleriyle birleşen bu taktikler, Conti‘yi 2021’de faaliyet gösteren en üretken ve yetenekli fidye yazılımı gruplarından biri haline getirdi.
Yazılım, 32 adede kadar ayrı mantıksal iş parçacığı kullanan kendi AES-256 uygulamasını kullanıyor ve bu da onu çoğu fidye yazılımından çok daha hızlı hale getirmektedir.
Conti‘nin yazılımını kullanan hackerlar, 2020’den bu yana fidye yazılımının (ransomware) kopyaladığı belgeleri sızdırabileceği bir site işletmektedir. Aynı çete Ryuk fidye yazılımını (ransomware) da işletmektedir. Grup, Sihirbaz Örümcek olarak bilinir ve merkezi Rusya’nın Saint Petersburg şehrinde bulunmaktadır.
Sisteme girdikten sonra Birim Gölge Kopyalarını silmeye başlar.Kullandıkları dosyaları şifreleyebildiğinden emin olmak için Yeniden Başlatma Yöneticisini kullanarak bir dizi hizmeti sonlandırmaya çalışırlar.Gerçek zamanlı izlemeyi devre dışı bırakıp ve Windows Defender uygulamasını kapatırlar. Varsayılan davranış, yerel ve ağ bağlantılı Sunucu İleti Bloğu sürücülerindeki tüm dosyaları şifrelemek ve DLL, .exe, .sys ve .lnk uzantılı dosyaları göz ardı etmektir. Ayrıca bireysel IP adreslerinin yanı sıra belirli sürücüleri de hedeflemektedir.
NHS Digital’e göre kurtarmanın tek garantili yolu, etkilenen tüm dosyaları en son yedeklerinden geri yüklemektir.
Başka bir çözümünde Trust veri Kurtarma firmasına ulaşarak tarafımızca çözümleri gözlemeyle bilirsiniz.
En kıdemli üye, Stern veya Demon takma adlarıyla biliniyor ve CEO olarak görev yapmaktadır. Mango olarak bilinen bir diğer üye ise genel müdür olarak görev yapmakta ve Stern ile sık sık iletişim kurur. Mango, Stern’e bir mesajda ana takımda 62 kişinin bulunduğunu söylemiştir. İlgili sayılar dalgalanarak 100’e kadar ulaşabilir. Üye değişiminin sürekli olması nedeniyle grup, sürekli olarak yasal iş bulma sitelerinden ve hacker sitelerinden üye almaktadırlar.
Sıradan programcılar ayda yaklaşık 1.500 ila 2.000 dolar kazanmakta ve fidye ödemeleri için pazarlık yapan üyeler kârdan pay alalırlar. Nisan 2021’de bir üye, kurbanlara ödeme yapmaları için baskı yaparak fidye yazılımı (ransomware) ödemelerinden %5 pay alan isimsiz bir gazetecinin olduğunu iddia edildi.
Mayıs 2022’de Amerika Birleşik Devletleri hükümeti grup hakkında bilgi verenlere 15 milyon dolara kadar ödül teklif etmişti. Liderlerinin kimliği veya yeri için 10 milyon dolar ve grupla komplo kuran herkesin tutuklanmasını sağlayacak bilgi için 5 milyon dolar.
Conti fidye yazılımı (ransomware) saldırıları dünya genelinde 1 Ocak – 12 Kasım 2021 tarihleri arasında en fazla saldırı girişiminin yaşandığı ülke ABD oldu ve bir milyon denemeyi aşmıştır. Hollanda ve Tayvan sırasıyla ikinci ve üçüncü sırada yer almıştır.
Conti saldırılarının öncelikli hedefi perakende sektörü olurken, bunu sigorta, imalat ve telekomünikasyon sektörleri takip ediyor. Conti grubunun yüksek profilli saldırılarına hedef olan sağlık hizmetleri, etkilenen sektörler listesinde altıncı sırada yer almaktadır.
2022’de Rusya’nın Ukrayna’yı işgali sırasında Conti Group, Rusya’ya desteğini açıkladı ve ülkeye siber saldırılar düzenlenmesi halinde “misilleme tedbirleri” uygulamakla tehdit etmişlerdir. Sonuç olarak, dahili sohbet kayıtlarından yaklaşık 60.000 mesaj, grup tarafından kullanılan kaynak kodu ve diğer dosyalar ile birlikte Ukrayna’ya destek verdiklerini belirten isimsiz bir kişi tarafından sızdırılmıştır.
Sızıntılar 2020’nin başından 27 Şubat 2022’ye kadar olan dönemi kapsamakta ve 60.000’den fazla sohbet mesajından oluşmaktadır.Sızan mesajların çoğu Jabber aracılığıyla gönderilen doğrudan mesajlardır. Saldırılar Rocket.Chat kullanılarak koordine edilmiş gibi gözüküyor.
Mesajlardan bazıları Cozy Bear araştırmacıları COVID-19’a hackleme konusundaki eylemlerini tartışılmakta. Mandiant’ta siber suç analizi direktörü Kimberly Goody, kayıtlarda çeteye yardımcı olabilecek isimsiz bir dış kaynağa yapılan atıfların olduğunu söylemekte. Yerel FSB ofislerinin bulunduğu Saint Petersburg’daki Liteyny Bulvarı’nın sızıntılarında, dış kaynağın Rus hükümeti olabileceğinin kanıtı olarak bahsettiğine dikkat çekmektedir.
Sızıntılarda ifade edilen görüşler arasında Vladimir Putin, Vladimir Zhirinovsky’ye destek ve Volodimir Zelenskyy dahil olmak üzere antisemitizm yer alıyor. Patrick olarak bilinen bir üye, Putin’in Ukrayna hakkında söylediği birçok asılsız iddiayı tekrarlamıştı. Patrick Avustralya’da yaşıyor ve Rus vatandaşı olabilir.
Sızıntıyı takip eden haftalarda grup dağılmıştır. Recorded Future’dan gelen bir rapora göre, sızıntının doğrudan dağılma nedeni olduğunu düşünmediklerini, ancak bunun grup içinde zaten var olan gerilimleri hızlandırdığını söylemiştir.
Comments are closed