KOBİ'lere fidye tuzağı
Fidye yazılım grubu CosmicBeetle zararlısının arkasında bir Türk olup olmadığı iddiaları teknoloji piyasasında ciddi olarak dillendirilirken, grubun diğer fidye yazılımı çeteleriyle güçlerini birleştirerek Avrupa ve Asya'daki işletmeleri hedef aldığı da iddia ediliyor
ESET araştırmacıları, CosmicBeetle tehdit grubunun son faaliyetlerini haritalandırarak yeni ScRansom fidye yazılımının konuşlandırıldığını belgeledi, diğer köklü fidye yazılımı çeteleriyle bağlantılarını keşfetti. CosmicBeetle, Avrupa ve Asya'daki küçük, orta ölçekli işletmelere fidye yazılımı yayıyor. Siber suçluların Türkçe fidye notu ve mail adresleri kullanmaları ardında Türk olabileceği şüphesi uyandırdı.
ESET Research, tehdit aktörünün sızdırılan LockBit oluşturucusunu kullandığını ve LockBit'in fidye yazılımı itibarından yararlanmaya çalıştığını gözlemledi. LockBit'in yanı sıra ESET, CosmicBeetle'ın muhtemelen Mart 2024'ten bu yana aktif olan ve hızla artan faaliyetleriyle yeni fidye yazılımı çetesi olan hizmet olarak fidye yazılımı aktörü RansomHub'ın yeni bir iştiraki olduğuna inanıyor.
CosmicBeetle'ı analiz eden ESET araştırmacısı Jakub Souček, "Sıfırdan özel fidye yazılımı yazmanın getirdiği zorluklar nedeniyle CosmicBeetletemel fidye yazılımındaki sorunları maskelemek ve kurbanların ödeme yapmasını artırmak için LockBit'in itibarından yararlanmaya çalıştı. Yakın zamanda ScRansom ve RansomHub yüklerinin bir hafta arayla aynı makineye yerleştirildiğini gözlemledik. RansomHub'ın böyle çalıştırılması, ESET telemetrisindeki tipik vakalara kıyasla çok sıra dışıydı ama CosmicBeetle'ın çalışma yöntemine benziyordu. RansomHub'ın halka açık sızıntıları olmadığından bu durum, CosmicBeetle'ın onların yeni bir iştiraki olabileceğine inanmamıza yol açıyor" diye ekledi.
SALDIRILARIN ARKASINDA BİR TÜRK OLABİLİR Mİ?
CosmicBeetle, son birkaç yılın en kötü şöhretli fidye yazılımı çetesi olan ve çökertilen LockBit'i taklit ederek sorunları kısmen ele almaya, gizlemeye çalıştı. LockBit adınıyla kurbanları ödeme yapmaya daha kolay ikna etmeyi umuyordu. CosmicBeetle ayrıca Türkçe fidye notu içeren özel örneklerini oluşturmak için sızdırılan LockBit Black builder'ı kullandı. Zaufana Trzencia Strona analistleri yakın zamanda CosmicBeetle hakkında bir blog yazısı yayımlayarak CosmicBeetle'ı gerçek bir kişiye - bir Türk yazılım geliştiricisine - atfetmiş olsalar da ESET araştırmacıları bu atfın doğru olduğunu düşünmüyor.
CosmicBeetle hedeflerine saldırmak için genellikle kaba kuvvet yöntemlerini benimser. Bunun yanı sıra bilinen çeşitli güvenlik açıklarını kötüye kullanır. Dünyanın dört bir yanındaki her türlü dikey sektörden küçük ve orta ölçekli işletmeler, bu tehdit aktörünün en yaygın kurbanlar, çünkü etkilenen yazılımı kullanma olasılığı en yüksek olan veya sağlam yama yönetimi süreçlerine sahip olmayan kesim budur. ESET Research, KOBİ'lere yönelik saldırıları şu sektörlerde gözlemledi: Üretim, ilaç, hukuk, eğitim, sağlık, teknoloji, konaklama-eğlence, finansal hizmetler ve bölgesel yönetim. ScRansom şifrelemenin yanında etkilenen makinedeki çeşitli işlemleri, hizmetleri öldürebilir. CosmicBeetle ilginç hedefleri tehlikeye atmayı, zarar vermeyi başarsa da ScRansom karmaşık fidye yazılımı değil. Bunun nedeni CosmicBeetle'ın fidye yazılımı dünyasında olgunlaşmamış bir aktör olması ve ScRansom'un dağıtımında yaşanan sorunlar. ScRansom'dan etkilenen ve ödeme yapmaya karar veren kurbanlar dikkatli olmalı.
ESET Research, CosmicBeetle'in son şifreleme şeması için kullandığı şifre çözücü elde etmeyi başardı. ScRansom sürekli geliştiriliyor ki fidye yazılımları için iyi işaret değil. Şifreleme ve şifre çözme sürecinin aşırı karmaşıklığı hatalara açık ve tüm dosyaların geri yüklenmesini şüpheli hale getirir. Başarılı şifre çözme işlemi, şifre çözücünün düzgün çalışması ve CosmicBeetle'ın gerekli anahtarları sağlamasına bağlıdır ve bu durumda bile bazı dosyalar tehdit aktörü tarafından kalıcı olarak yok edilebilir. En iyi senaryoda bile şifre çözme işlemi uzun ve karmaşıktır. En az 2020'den beri aktif olan CosmicBeetle, ESET araştırmacılarının 2023'te keşfettiği bir tehdit aktörüne verdiği isim. Bu tehdit aktörü en çok ScHackTool, ScInstaller, ScService ve ScPatcher'dan oluşan ve genellikle Spacecolon olarak adlandırılan özel Delphi araçları koleksiyonunu kullanmasıyla biliniyor.