Fidye yazılımı sahnesinde nispeten yeni bir grup olan Embargo, ilk olarak ESET tarafından Haziran 2024’te gözlemlendi. Yeni araç seti, ESET’in sırasıyla MDeployer ve MS4Killer olarak adlandırdığı bir yükleyici, bir uç nokta algılama ve EDR‘dan oluşuyor. MS4Killer, her kurbanın ortamı için özel olarak derlendiği ve yalnızca seçilen güvenlik çözümlerini hedef aldığı için özellikle dikkat çekici. Zararlı yazılım, kurbanın makinesinde çalışan güvenlik ürünlerini devre dışı bırakmak için Güvenli Mod’u ve savunmasız bir sürücüyü kötüye kullanıyor. Her iki araç da Embargo grubunun fidye yazılımlarını geliştirmek için tercih ettiği dil olan Rust ile yazılmış.
Kendi Altyapısını Kuruyor
Çalışma tarzına bakıldığında Embargo’nun iyi kaynaklara sahip bir grup olduğu görülüyor. Kurbanlarla iletişim kurmak için kendi altyapısını kuruyor. Grup, şantajla kurbanlara ödeme yapmaları için baskı yapıyor: Operatörler kurbanların hassas verilerini dışarı sızdırıyor ve şifrelemenin yanı sıra bir sızıntı sitesinde yayımlamakla tehdit ediyor. Grup üyesi olduğu iddia edilen bir kişiyle yapılan röportajda, bir Embargo temsilcisi, grubun RaaS (hizmet olarak fidye yazılımı) sağladığını öne sürerek, bağlı kuruluşlar için temel bir ödeme planından bahsetti. Tehdidi analiz eden ESET araştırmacıları Tomáš Zvara ve Jan Holman, “Grubun karmaşıklığı, tipik bir sızıntı sitesinin varlığı ve grubun iddiaları göz önüne alındığında Embargo’nun gerçekten de bir RaaS sağlayıcısı olarak faaliyet gösterdiğini varsayıyoruz” açıklamasını yaptılar.
Dağıtılan sürümlerdeki farklılıklar, hatalar ve kalan eserler, bu araçların aktif olarak geliştirilmekte olduğunu gösteriyor. Embargo hâlâ markasını oluşturma ve kendisini önde gelen bir fidye yazılımı operatörü olarak kurma sürecinde. Özel yükleyiciler ve EDR temizleme araçları geliştirmek, birden fazla fidye yazılımı grubu tarafından kullanılan yaygın bir taktik. MDeployer ve MS4Killer’ın her zaman birlikte konuşlandırıldığının gözlemlenmesinin yanı sıra aralarında başka bağlantılar da var. Araçlar arasındaki güçlü bağlar, her ikisinin de aynı tehdit aktörü tarafından geliştirildiğini ortaya koyuyor. Araç setinin aktif olarak geliştirilmesi, tehdit aktörünün Rust konusunda yetkin olduğunu gösteriyor.
Güvenlik Yazılımını Devre Dışı Bırakıyor
MDeployer ile Embargo tehdit aktörü, güvenlik çözümlerini devre dışı bırakmak için Güvenli Mod’u kötüye kullanır. MS4Killer, BYOVD (Bring Your Own Vulnerable Driver) olarak bilinen tekniği kullanarak güvenlik ürünü süreçlerini sonlandıran tipik bir savunma atlatma aracıdır. Bu teknikte, tehdit aktörü çekirdek düzeyinde kod yürütme elde etmek için imzalı, savunmasız çekirdek sürücülerini kötüye kullanır. Fidye yazılımı iştirakleri, saldırıya uğrayan altyapıyı koruyan güvenlik çözümlerini kurcalamak için genellikle ödün verme zincirlerine BYOVD araçlarını dahil eder. Güvenlik yazılımını devre dışı bıraktıktan sonra, iştirakçiler fidye yazılımı yükünün tespit edilip edilmeyeceği konusunda endişelenmeden yükü çalıştırabilir.
Embargo araç setinin temel amacı, kurbanın altyapısındaki güvenlik çözümünü devre dışı bırakarak fidye yazılımı yükünün başarılı bir şekilde dağıtılmasını sağlamaktır. Embargo bunun için çok çaba harcıyor ve saldırının farklı aşamalarında aynı işlevselliği kopyalıyor.
Kaynak : 