İSTANBUL (AA) - Kaspersky araştırmacıları, A bad luck BlackCat-(Kötü Şans Kara Kedi) başlıklı yeni bir raporda, BlackCat fidye yazılımı grubu tarafından gerçekleştirilen iki farklı siber saldırının ayrıntılarını ortaya koydu.
Şirketten yapılan açıklamada, raporda kullanılan kötü amaçlı yazılımın karmaşıklığı, arkasındaki aktörlerin geniş deneyimiyle birleştiğinde çeteyi günümüzün fidye yazılımı sektöründeki büyük oyunculardan biri haline getirdiği bildirildi.
Grubun saldırıları sırasında kullandığı araçlar ve teknikler, BlackCat ile BlackMatter ve REvil gibi diğer kötü şöhretli fidye yazılımı grupları arasındaki bağlantıyı doğruluyor.
BlackCat fidye yazılımı çetesi, Aralık 2021'den beri faaliyet gösteren bir tehdit aktörü. Birçok fidye yazılımı aktörünün aksine, BlackCat'in kötü amaçlı yazılımı Rust programlama dilinde yazılmış.
Rust'ın gelişmiş çapraz derleme yetenekleri sayesinde BlackCat hem Windows hem de Linux sistemlerini hedefleyebiliyor. Diğer bir deyişle BlackCat, fidye yazılımı geliştirmenin zorluklarını ele almak için kullanılan teknolojilerde kademeli ilerlemeler eşliğinde önemli bir değişimi başlatıyor.
Tehdit aktörü BlackCat, BlackMatter ve REvil gibi kötü şöhretli fidye yazılımı gruplarının halefi olduğunu iddia ediyor. Kaspersky telemetrileri, yeni BlackCat grubunun bazı üyelerinin, daha önce BlackMatter tarafından yaygın olarak kullanılan araç ve teknikleri kullandıkları için BlackMatter ile doğrudan bağlantılı olduğunu gösteriyor.
Kaspersky Araştırmacıları, A bad luck BlackCat başlıklı yeni raporda özellikle ilgi çekici iki siber olaya ışık tuttu. Bunlardan biri paylaşılan bulut barındırma kaynaklarının sunduğu riski gösterirken, diğeri BlackMatter ve BlackCat gruplarında yeniden kullanılan, özelleştirilmiş kötü amaçlı yazılımlara yönelik çevik bir yaklaşımı işaret ediyor.
İlk vaka, Orta Doğu'da birden fazla site barındıran savunmasız bir kurumsal kaynak planlaması (ERP) sağlayıcısına yönelik bir saldırıyı ele alıyor. Saldırganlar, aynı fiziksel sunucuya aynı anda iki farklı çalıştırılabilir dosya göndererek ortamda sanal olarak barındırılan iki farklı kuruluşu hedef aldı.
Çete virüslü sunucuyu iki farklı fiziksel sistem olarak yanlış anlamış olsa da saldırganlar BlackCat'in çalışma tarzını belirlemek için önemli izler bıraktılar.
Kaspersky araştırmacıları, tehdit aktörünün bulut kaynakları genelinde paylaşılan varlıkların risklerinden yararlandığını belirledi. Buna ek olarak grup, yürütülebilir dosyalar ve Nirsoft ağ parolası kurtarma yardımcı programlarıyla birlikte bir Mimikatz toplu iş dosyasını da sunuculara indirdi.
Benzer bir olay, BlackMatter grubunun öncülü olan REvil'in ABD'deki çok sayıda diş hekimi muayenehanesini destekleyen bir bulut hizmetine girmesiyle 2019'da gerçekleşti. BlackCat'in bu eski taktiklerden bazılarını benimsemesi muhtemel senaryolardan biri.
İkinci vaka, Güney Amerika'daki bir petrol, gaz, madencilik ve inşaat şirketini ilgilendiriyor ve BlackCat ile BlackMatter fidye yazılımı grubu arasındaki bağlantıyı ortaya koyuyor. Bu fidye yazılımı saldırısının arkasındaki bağlantılı kuruluş hedeflenen ağ içinde BlackCat fidye yazılımını teslim etmeye çalışmakla kalmadı, aynı zamanda fidye yazılımının tesliminden önce Fendr denen özel sızma aracını yükledi.
ExMatter olarak da bilinen bu yardımcı program, daha önce yalnızca BlackMatter fidye yazılımı etkinliğinin bir parçası olarak kullanılmıştı.
Açıklamada görüşlerine yer verilen Kaspersky Küresel Araştırma ve Analiz Ekibi Güvenlik Araştırmacısı Dmitry Galov, REvil ve BlackMatter grupları operasyonlarına son verdikten sonra, başka bir fidye yazılımı grubunun işlerini devralmasının sadece bir zaman meselesi olduğunu belirtti.
Galov, şunları kaydetti:
"Kötü amaçlı yazılım geliştirme bilgisi, olağan dışı bir programlama dilinde sıfırdan yazılmış yeni bir örnek oluşu ve altyapı bakımı konusundaki deneyimi, BlackCat grubunu fidye yazılımı pazarında önemli bir oyuncu haline getiriyor. Karşılaştığımız büyük olayları analiz ederek, BlackCat tarafından kurbanlarının ağlarına sızarken kullanılan ana özellikleri, araçları ve teknikleri vurguladık. Bu bilgi, kullanıcılarımızı güvende tutmamıza ve bilinen ve bilinmeyen tehditlerden korunmamıza yardımcı olacak. Siber güvenlik topluluğunu güçlerini birleştirmeye ve daha güvenli bir gelecek için yeni siber suç gruplarına karşı birlikte çalışmaya çağırıyoruz."
