Türk siber güvenlik analist firması Prodaft, başarılı çalışmalarına yenilerini ekliyor. Son olarak yayınladıkları rapor ile, “Sihirbaz Örümcek (Wizard Spider)” isimli milyar dolarlık siber suç grubunu ortaya çıkardılar. Sihirbazı Örümcek, son beş yılda büyüyerek kurumsal benzeri bir işletim modeli inşa eden milyonlarca dolarlık bir organizasyona dönüştüğü kaydediliyor.
Prodaft Threat Intelligence (PTI) ekibi tarafından, Ryuk, Trickbot ve Conti dahil olmak üzere yüksek profilli kötü amaçlı yazılım türevlerinin arkasında olduğu belirlenen Rusya bağlantılı Sihirbaz Örümcek siber suç grubu hakkında yeni yayınlanan araştırma siber suç grubunun iç işleyişi, yapısı, motivasyonları konusunda bilgi sağlıyor[1].
İlk olarak 2017’de tanımlanan siber suç grubu, o zamandan beri yüz milyonlarca doları aşan kazançları ile şu anda faaliyette olan en zengin gruplardan biri’ olarak yorumlanıyor. Prodaft raporunda , verilerin grubun olağanüstü kârlılığının, liderlerinin yasadışı araştırma ve geliştirme girişimlerine yatırım yapmasına olanak tanıdığına da işaret ediyor :
“Sihirbaz Örümcek, uzman yetenekleri işe alma, yeni dijital altyapı oluşturma ve gelişmiş açıklardan yararlanma erişimi satın alma konusunda tamamen başarılı. Ayrıca görünüşe göre kendi panel barındırma kırma uygulamasına yatırım yaptı ve soğuk arama mağdurları için telefon operatörleri tuttu ve onları ödemeye korkuttu ”
Wizard Spider, VPN ve Proxy’leri Kullanıyor
Wizard Spider’ın uçtan uca tam hizmet olduğu anlaşılıyor. Bir siber saldırının tüm yaşam döngüsünü yönetiyor. Güvenliği ihlal edilmiş kuruluştaki verilerin ilk izinsiz girişinden ve şifrelenmesinden, onları korkutarak ödeme yapmaları için fidye yazılımı kurbanları gibi işler için dışarıdan yardım almaya kadar. Gerekirse, ihtiyaç duyduğu kötü amaçlı kodu satın alıyor, ancak aynı zamanda karma kırma uygulaması gibi kendi araçlarını da geliştiriyor.
PRODAFT’ın araştırması, saldırganların Log4j güvenlik açıklarıyla yüzlerce VMware vCenter sunucusunu doğrudan taradığını ve bunlardan yararlandığını ortaya çıktı. Prodaft raporu, Wizard Spider’ın dünya çapında binlerce istemci cihazını kontrol etmek için bir ‘SystemBC’ sunucu kümesi kullandığını belirledi:
“SystemBC kurban verileri, Sihirbaz Örümcek tehdit aktörlerinin çoğunlukla Rusya’yı %20,5 ve ABD’yi %12.9’u hedeflediğini gösteriyor. Tehdit aktörlerinin istatistiksel olarak Rusya kaynaklı kurbanları yüksek oranda tespit ettiği görülse de saldırı döngüsünün Cracking veya Encryption aşamalarında bunların hiçbirine rastlanmıyor”
Wizard Spider’ın işlerini gizli tutmak için VPN’leri ve proxy’leri kapsamlı bir şekilde kullandığı kaydediliyor. Prodaft raporunda fidye saldırıları konusunda şunları belirtiyor;
“Kurbanın çalınan verileri, fidye yazılımı dağıtılmadan önce Wireguard VPN kullanılarak kurulan bir proxy ağı aracılığıyla tipik olarak bir gasp sunucusuna (rclone veya benzer veri aktarım aracı kullanılarak) aktarılır . PTI ekibinin soruşturması sırasında kurbanın verilerini içeren birkaç depolama sunucusu tespit ettik. İlginç bir şekilde, fidyeyi ödemeyi kabul eden kurbanlara ait birkaç dosya belirledik. Bu bulgu, fidye yazılımı operatörlerine güvenmememiz gerektiğine dair mükemmel bir örnek”
Prodaft raporuna göre, PTI ekibi, Kasım 2021’de ilk halka açık rapordan sonra Sihirbaz Örümcek grubunu aktif olarak takip ediyor. Bunun sonucunda yüzlerce fidye yazılımı saldırısının önlediği ve grup tarafından hedeflenen 128.000’den fazla kurbanın bilgilendirildiği kaydediliyor. Bu kurbanlar arasında savunma ve havacılık şirketleri, gıda üreticileri, tedarik zinciri sağlayıcıları, hastaneler, devlet kurumları ve kritik altyapı sağlayıcıları yer alıyor.
Rapora göre, çalınan bilgi sunucuları verilerini periyodik olarak Rusya’daki önemli bir disk boyutuna (~26TB) sahip bir yedekleme sunucusuna aktarıyor.
Firmanın daha önceki çalışmalarını burayı tıklayarak görebilirsiniz.