Eset Research, RansomHub’ın iştiraklerine sunduğu araçların izini takip ederek RansomHub, Play, Medusa ve BianLian fidye yazılımı çeteleri arasındaki bağlantıları keşfetti. Eset tarafından yayımlanan analiz, EDRKillShifter ile ilgili bulguları belgeliyor.
RansomHub ve Diğer Fidye Yazılımı Çeteleri Arasındaki Bağlantılar
Eset araştırmacıları, fidye yazılımı ekosistemindeki önemli değişiklikler hakkında yeni ortaya çıkan ve şu anda hakim olan hizmet olarak fidye yazılımı çetesi RansomHub’a odaklanan derinlemesine bir analiz yayımladı. Rapor, RansomHub’ın ortaklık yapısına ilişkin daha önce yayımlanmamış bilgileri paylaşıyor ve bu yeni ortaya çıkan dev ile köklü çeteler Play, Medusa ve BianLian arasındaki açık bağlantıları ortaya çıkarıyor. Ayrıca Eset, RansomHub tarafından geliştirilen ve sürdürülen özel bir EDR katili olan EDRKillShifter’ın maskesini düşürerek, Uç Nokta Tespit ve Yanıt (EDR) katillerinin ortaya çıkan tehdidini vurguluyor. Eset, kamuya açık kavram kanıtlarından türetilen EDR katil kodunu kullanan fidye yazılımı iştiraklerinde bir artış gözlemlerken kötüye kullanılan sürücü kümesi büyük ölçüde değişmedi.
Fidye Yazılımı Ekosisteminde 2024 Yılında Değişimler Yaşandı
RansomHub’ı araştıran ESET araştırmacısı Jakub Souček şu açıklamayı yaptı:
“Fidye yazılımlarına karşı mücadele 2024 yılında iki dönüm noktasına ulaştı: Eskiden en büyük iki çete olan LockBit ve BlackCat bu mücadelenin dışında kaldı. 2022’den bu yana ilk kez, kaydedilen fidye yazılımı ödemeleri yüzde 35 gibi çarpıcı bir oranda düştü. Öte yandan, özel sızıntı sitelerinde duyurulan (kamuoyuna) kayıtlı kurban sayısı yaklaşık yüzde 15 oranında arttı. Bu artışın büyük bir kısmı, LockBit faaliyetlerini sekteye uğratan Cronos Operasyonu sırasında ortaya çıkan yeni bir hizmet olarak fidye yazılımı (RaaS) çetesi olan RansomHub’dan kaynaklanıyor.”
Yeni ortaya çıkan RaaS çetesi gibi RansomHub’ın da operatörlerden fidye yazılımı hizmetleri kiralayan iştirakçileri çekmesi gerekiyordu ve sayıların gücü olduğundan operatörler çok seçici değildi. İlk ilan Rusça konuşulan RAMP forumunda Şubat 2024’ün başlarında, ilk kurbanların gönderilmesinden sekiz gün önce yayımlandı. RansomHub, Sovyetler Birliği sonrası Bağımsız Devletler Topluluğu, Küba, Kuzey Kore ve Çin ülkelerine saldırmayı yasaklıyor. İlginç bir şekilde, iştirakçileri tüm fidye ödemesini cüzdanlarına alacakları vaadiyle cezbediyor ve operatörler iştirakçilerin yüzde 10’unu kendileriyle paylaşacaklarına güveniyor ki bu oldukça benzersiz bir şey.
Fidye Yazılımı Çetelerinin Yeni Silahı
Mayıs ayında, RansomHub operatörleri önemli bir güncelleme yaptı: Kendi EDR katillerini tanıttılar. Bu, kurbanın sisteminde yüklü olan güvenlik ürününü sonlandırmak, köreltmek veya çökertmek için tasarlanmış özel bir kötü amaçlı yazılım türüydü ve genellikle güvenlik açığı olan bir sürücüden faydalanılarak kullanılıyordu. RansomHub’ın EDRKillShifter adlı EDR katili, çete tarafından geliştirilen ve sürdürülen özel bir araç ve RansomHub iştiraklerine sunulmaktadır. İşlevsellik açısından, RansomHub operatörlerinin ihlal etmeyi amaçladıkları ağları korurken bulmayı umdukları çok çeşitli güvenlik çözümlerini hedefleyen tipik bir EDR katilidir.
Eset, EDR Katillerine Karşı Önlem Alınması İçin Uyarıyor
ESET araştırmacısı Jakub Souček açıklamalarına şöyle devam etti:
“Bir katil uygulama ve bunu RaaS programının bir parçası olarak iştiraklere sunma kararı nadirdir. İştirakçiler genellikle güvenlik ürünlerinden kaçmanın yollarını bulmak için kendi başlarınadır. Bazıları mevcut araçları yeniden kullanırken daha teknik odaklı olanlar mevcut kavram kanıtlarını değiştirir veya karanlık web’de bir hizmet olarak bulunan EDR katillerini kullanır. ESET araştırmacıları EDRKillShifter kullanımında ciddi bir artış olduğunu ve bunun sadece RansomHub vakalarında olmadığını gördüler. Gelişmiş EDR katilleri iki bölümden oluşur: Düzenlemeden sorumlu bir kullanıcı modu bileşeni (katil kod) ve meşru ancak savunmasız bir sürücü. Uygulama genellikle çok basittir; katil kod, genellikle verilerine veya kaynaklarına gömülü olan savunmasız sürücüyü yükler, güvenlik yazılımının işlem adlarının bir listesini yineler ve savunmasız sürücüye bir komut verir, bu da güvenlik açığının tetiklenmesine ve sürecin çekirdek modundan öldürülmesine neden olur. EDR katillerine karşı savunma yapmak zordur. Tehdit aktörlerinin bir EDR katilini konuşlandırmak için yönetici ayrıcalıklarına ihtiyacı vardır, bu nedenle ideal olarak, bu noktaya ulaşmadan önce varlıkları tespit edilmeli ve hafifletilmelidir.”
Eset, RansomHub’ın bağlı kuruluşlarının Play, Medusa ve BianLian olmak üzere üç rakip çete için çalıştığını keşfetti. RansomHub ve Medusa arasında bir bağlantı keşfetmek o kadar da şaşırtıcı değil çünkü fidye yazılımı iştiraklerinin genellikle aynı anda birden fazla operatör için çalıştığı yaygın bir bilgi. Öte yandan, Play ve BianLian’ın EDRKillShifter’a erişimlerinin olmasını açıklamanın bir yolu, aynı RansomHub üyesini işe almış olmalarıdır ki her iki çetenin de kapalı yapısı göz önüne alındığında bu pek olası değildir. Daha akla yatkın bir başka açıklama ise Play ve BianLian’ın güvenilir üyelerinin, RansomHub gibi yeni ortaya çıkan rakiplerle iş birliği yapması ve daha sonra bu rakiplerden aldıkları araçları kendi saldırılarında yeniden kullanmasıdır. Play, Kuzey Kore’ye bağlı Andariel grubuyla bağlantılıdır.
Kaynak : 