KOBİ'lere fidye tuzağı

dit kümesinin son faaliyetlerini haritalandırarak yeni ScRansom fidye yazılımının konuşlandırıldığını belgeledi ve öteki esaslı fidye yazılımı çeteleriyle temaslarını keşfetti. CosmicBeetle, bilhassa Avrupa ve Asya'daki küçük ve orta ölçekli işletmelere (KOBİ'ler) fidye yazılımı yayıyor. Siber hatalıların Türkçe fidye notu ve mail adresleri kullanmaları bu ziyanlı yazılımın gerisinde bir Türk mü var kuşkusu uyandırdı. 

ESET Research, tehdit aktörünün sızdırılan LockBit oluşturucusunu kullandığını ve LockBit'in fidye yazılımı prestijinden yararlanmaya çalıştığını gözlemledi. LockBit'in yanı sıra ESET, CosmicBeetle'ın muhtemelen Mart 2024'ten bu yana etkin olan ve süratle artan faaliyetleriyle yeni bir fidye yazılımı çetesi olan hizmet olarak fidye yazılımı aktörü RansomHub'ın yeni bir iştiraki olduğuna inanıyor. 

CosmicBeetle'ın son faaliyetlerini tahlil eden ESET araştırmacısı Jakub Souček, "Muhtemelen sıfırdan özel fidye yazılımı yazmanın getirdiği zorluklar nedeniyle CosmicBeetle temel fidye yazılımındaki meseleleri maskelemek ve kurbanların ödeme yapma talihini artırmak için LockBit'in prestijinden yararlanmaya çalıştı“ dedi." Buna ek olarak, yakın vakitte ScRansom ve RansomHub yüklerinin yalnızca bir hafta ortayla tıpkı makineye yerleştirildiğini gözlemledik. RansomHub'ın bu biçimde çalıştırılması, ESET telemetrisinde gördüğümüz tipik olaylara kıyasla çok sıra dışıydı fakat CosmicBeetle'ın çalışma yoluna epey benziyordu. RansomHub'ın halka açık sızıntıları olmadığından bu durum, CosmicBeetle'ın onların yeni bir iştiraki olabileceğine inanmamıza yol açıyor" diye ekledi.

Saldırıların ardında bir Türk olabilir mi?

CosmicBeetle, muhtemelen son birkaç yılın en makus şöhretli fidye yazılımı çetesi olan ve kısa müddet evvel çökertilen LockBit'i taklit ederek bu sıkıntıları kısmen ele almaya ya da daha doğrusu gizlemeye çalıştı. LockBit ismini kullanarak kurbanları ödeme yapmaya daha kolay ikna etmeyi umuyordu. CosmicBeetle ayrıyeten Türkçe fidye notu içeren özel örneklerini oluşturmak için sızdırılan LockBit Black builder'ı kullandı. Zaufana Trzencia Strona analistleri yakın vakitte CosmicBeetle hakkında bir blog yazısı yayımlayarak CosmicBeetle'ı gerçek bir şahsa - bir Türk yazılım geliştiricisine - atfetmiş olsalar da ESET araştırmacıları bu atfın yanlışsız olduğunu düşünmüyor.

Saldırıdan etkilenen kesimler: Üretim, ilaç, hukuk, eğitim, sıhhat, teknoloji, konaklama-eğlence, finansal hizmetler ve mahallî yönetimler

CosmicBeetle amaçlarına saldırmak için çoklukla kaba kuvvet sistemlerini benimser. Bunun yanı sıra bilinen çeşitli güvenlik açıklarını da berbata kullanır. Dünyanın dört bir yanındaki her türlü dikey daldan küçük ve orta ölçekli işletmeler, bu tehdit aktörünün en yaygın kurbanlarıdır zira etkilenen yazılımı kullanma mümkünlüğü en yüksek olan yahut sağlam yama idaresi süreçlerine sahip olmayan kesim budur. ESET Research, KOBİ'lere yönelik atakları şu dallarda gözlemledi: Üretim, ilaç, hukuk, eğitim, sıhhat, teknoloji, konaklama-eğlence, finansal hizmetler ve bölgesel idare.

ScRansom şifrelemenin yanı sıra etkilenen makinedeki çeşitli süreçleri ve hizmetleri de öldürebilir. CosmicBeetle enteresan amaçları tehlikeye atmayı ve onlara büyük ziyan vermeyi başarmış olsa da ScRansom çok karmaşık bir fidye yazılımı değildir. Bunun nedeni çoğunlukla CosmicBeetle'ın fidye yazılımı dünyasında olgunlaşmamış bir aktör olması ve ScRansom'un dağıtımında yaşanan sıkıntılardır. ScRansom'dan etkilenen ve ödeme yapmaya karar veren kurbanlar dikkatli olmalıdır. 

ESET Research, CosmicBeetle tarafından son şifreleme şeması için kullanılan bir şifre çözücü elde etmeyi başardı. ScRansom daima geliştiriliyor, bu da fidye yazılımları için asla uygun bir işaret değil. Şifreleme (ve şifre çözme) sürecinin çok karmaşıklığı yanılgılara açık ve tüm evrakların geri yüklenmesini kuşkulu hale getirir. Başarılı bir şifre çözme süreci, şifre çözücünün düzgün çalışmasına ve CosmicBeetle'ın gerekli tüm anahtarları sağlamasına bağlıdır ve bu durumda bile kimi belgeler tehdit aktörü tarafından kalıcı olarak yok edilebilir. En düzgün senaryoda bile şifre çözme süreci uzun ve karmaşıktır. 

En az 2020'den beri faal olan CosmicBeetle, ESET araştırmacılarının 2023'te keşfettiği bir tehdit aktörüne verdiği isimdir. Bu tehdit aktörü en çok ScHackTool, ScInstaller, ScService ve ScPatcher'dan oluşan ve çoklukla Spacecolon olarak isimlendirilen özel Delphi araçları koleksiyonunu kullanmasıyla biliniyor.

Kaynak: (BYZHA) Beyaz Haber Ajansı