Kaspersky Araştırmacıları, “A bad luck BlackCat-(Kötü Şans Kara Kedi)” başlıklı yeni bir raporda, BlackCat fidye yazılımı grubu tarafından gerçekleştirilen iki farklı siber saldırının ayrıntılarını ortaya koydu. Kullanılan kötü amaçlı yazılımın karmaşıklığı, arkasındaki aktörlerin geniş deneyimiyle birleştiğinde çeteyi günümüzün fidye yazılımı sektöründeki en büyük oyunculardan biri haline getiriyor. Grubun saldırıları sırasında kullandığı araçlar ve teknikler, BlackCat ile BlackMatter ve REvil gibi diğer kötü şöhretli fidye yazılımı grupları arasındaki bağlantıyı doğruluyor.
BlackCat fidye yazılımı çetesi, Aralık 2021’den beri faaliyet gösteren bir tehdit aktörü. Birçok fidye yazılımı aktörünün aksine, BlackCat’in kötü amaçlı yazılımı Rust programlama dilinde yazılmış. Rust’ın gelişmiş çapraz derleme yetenekleri sayesinde BlackCat hem Windows hem de Linux sistemlerini hedefleyebiliyor. Diğer bir deyişle BlackCat, fidye yazılımı geliştirmenin zorluklarını ele almak için kullanılan teknolojilerde kademeli ilerlemeler eşliğinde önemli bir değişimi başlatıyor.
Tehdit aktörü BlackCat, BlackMatter ve REvil gibi kötü şöhretli fidye yazılımı gruplarının halefi olduğunu iddia ediyor. Kaspersky telemetrileri, yeni BlackCat grubunun bazı üyelerinin, daha önce BlackMatter tarafından yaygın olarak kullanılan araç ve teknikleri kullandıkları için BlackMatter ile doğrudan bağlantılı olduğunu gösteriyor.
Kaspersky Araştırmacıları, “A bad luck BlackCat” başlıklı yeni raporda özellikle ilgi çekici iki siber olaya ışık tuttu. Bunlardan biri paylaşılan bulut barındırma kaynaklarının sunduğu riski gösterirken, diğeri BlackMatter ve BlackCat gruplarında yeniden kullanılan, özelleştirilmiş kötü amaçlı yazılımlara yönelik çevik bir yaklaşımı işaret ediyor.
İlk vaka, Ortadoğu’da birden fazla site barındıran savunmasız bir ERP (kurumsal kaynak planlaması) sağlayıcısına yönelik bir saldırıyı ele alıyor. Saldırganlar, aynı fiziksel sunucuya aynı anda iki farklı çalıştırılabilir dosya göndererek ortamda sanal olarak barındırılan iki farklı kuruluşu hedef aldı. Çete virüslü sunucuyu iki farklı fiziksel sistem olarak yanlış anlamış olsa da saldırganlar BlackCat’in çalışma tarzını belirlemek için önemli izler bıraktılar. Kaspersky Araştırmacıları, tehdit aktörünün bulut kaynakları genelinde paylaşılan varlıkların risklerinden yararlandığını belirledi. Buna ek olarak grup, yürütülebilir dosyalar ve Nirsoft ağ parolası kurtarma yardımcı programlarıyla birlikte bir Mimikatz toplu iş dosyasını da sunuculara indirdi. Benzer bir olay, BlackMatter grubunun öncülü olan REvil’in ABD’deki çok sayıda diş hekimi muayenehanesini destekleyen bir bulut hizmetine girmesiyle 2019’da gerçekleşti. BlackCat’in bu eski taktiklerden bazılarını benimsemesi muhtemel senaryolardan biri.
İkinci vaka, Güney Amerika’daki bir petrol, gaz, madencilik ve inşaat şirketini ilgilendiriyor ve BlackCat ile BlackMatter fidye yazılımı grubu arasındaki bağlantıyı ortaya koyuyor. Bu fidye yazılımı saldırısının arkasındaki bağlantılı kuruluş (daha önce bahsedilen vakadan farklı olması muhtemel) hedeflenen ağ içinde BlackCat fidye yazılımını teslim etmeye çalışmakla kalmadı, aynı zamanda fidye yazılımının tesliminden önce “Fendr” denen özel sızma aracını yükledi. ExMatter olarak da bilinen bu yardımcı program, daha önce yalnızca BlackMatter fidye yazılımı etkinliğinin bir parçası olarak kullanılmıştı.
Kaspersky Küresel Araştırma ve Analiz Ekibi Güvenlik Araştırmacısı Dmitry Galov şunları söyledi:
“REvil ve BlackMatter grupları operasyonlarına son verdikten sonra, başka bir fidye yazılımı grubunun işlerini devralması sadece bir zaman meselesiydi. Kötü amaçlı yazılım geliştirme bilgisi, olağandışı bir programlama dilinde sıfırdan yazılmış yeni bir örnek oluşu ve altyapı bakımı konusundaki deneyimi, BlackCat grubunu fidye yazılımı pazarında önemli bir oyuncu haline getiriyor. Karşılaştığımız büyük olayları analiz ederek, BlackCat tarafından kurbanlarının ağlarına sızarken kullanılan ana özellikleri, araçları ve teknikleri vurguladık. Bu bilgi, kullanıcılarımızı güvende tutmamıza ve bilinen ve bilinmeyen tehditlerden korunmamıza yardımcı olacak. Siber güvenlik topluluğunu güçlerini birleştirmeye ve daha güvenli bir gelecek için yeni siber suç gruplarına karşı birlikte çalışmaya çağırıyoruz.”
Uzmanlar, işletmelerin fidye yazılımlarından korunmalarına yardımcı olmak için kuruluşların mümkün olan en kısa sürede aşağıdaki önlemleri almalarını öneriyor:
- Fidye yazılımlarının güvenlik açıklarından yararlanmasını önlemek için kuruluş tarafından kullanılan tüm cihazlarda yazılımlar güncel tutulmalıdır.
- Savunma stratejisinde yanal hareketlere ve internete veri sızmasını tespit etmeye odaklanılmalıdır. Siber suçluların bağlantılarını tespit etmek için giden trafiğe özellikle dikkat edilmelidir.
- Veriler düzenli olarak yedeklenmelidir ve acil bir durumda yedeklere hızla erişilebildiğinden emin olunmalıdır.
- Tehdit aktörleri tarafından kullanılan mevcut TTP’lerden haberdar olmak için en son tehdit istihbaratı kullanılmalıdır.