hadicanim
Aktif Üye
Siber suç çetesi Lockbit'te olaylar heyecan verici olmaya devam ediyor. Savcılar geçen hafta çete liderinin kimliğini açıklayıp bilgi verene ödül teklif ettikten sonra, çok sayıda iddia edilen ve gerçek veri hırsızlığını aceleyle yayınlayarak karşılık verdiler. ABD'nin New Jersey eyaletinin siber güvenlik kurumu da hafta sonundan bu yana, Lockbit 3.0 kötü amaçlı yazılımının kod adı olan “Lockbit Black” adını verdiği mevcut bir kötü amaçlı yazılım kampanyası hakkında uyarıda bulunuyor.
Reklamcılık
New Jersey BT Güvenlik Otoritesi web sitesinde yapılan açıklamada çalışanlar, kullanılan e-posta güvenlik sisteminin LockBit Black adlı yeni bir Lockbit kampanyası tespit ettiğini açıkladı. Ayrıca BT olay raporları da mevcuttu ve kampanya bilgi ve analiz merkezleri tarafından izleniyordu; örneğin ThreatDown web sitesinde bir analiz bulunabilir.
Kötü amaçlı yazılım e-posta ayrıntıları
Bu fidye yazılımı kampanyasına ait e-postalar, kötü amaçlı bir ZIP dosyası eki içeriyordu ve gönderen adresi olarak genellikle “JennyBrown3422” bulunuyordu[@]gmail[.]com” ve “Jenny[@]gsd[.]ZIP dosyasının içinde yürütülebilir dosya vardı (ThreatDown analizine göre ekran koruyucu olarak gizlenen bir .scr dosyası) ve başlatıldığında işletim sistemini Lockbit fidye yazılımıyla şifreliyor. Kampanyayla ilişkili örnekler, New Jersey yetkililerine göre Phorpies botnet'i (Trik olarak da bilinir) kötü amaçlı yazılımı dağıttı.
Kötü amaçlı yazılımın gönderildiği 1.500'den fazla kaynak IP adresi tespit edilmiş olabilir. Geo-IP ataması öncelikle Çin, İran, Kazakistan, Rusya, Özbekistan ve diğer ülkeleri işaret ediyor. Lockbit yürütülebilir dosyaları 193 numaralı IP adreslerinden geldi[.]233[.]132[.]177 ve 185[.]215[.]113[.]66. E-postaların konu satırları “Belgeniz” veya “Fotoğrafınız???” gibi bir şeydi.
Black Basta ayrıca artan aktivite gösteriyor
FBI ve CISA, son iki yılda 500'den fazla kuruluşa saldırdığı söylenen Black Basta siber çetesi hakkında az önce uyarıda bulundu. BT güvenlik şirketi Rapid7, fidye yazılımının arkasındaki suç dehalarından geldiği iddia edilen mevcut bir sosyal mühendislik kampanyasını gözlemledi. Rapid7'deki BT güvenlik araştırmacıları bir blog yazısında, saldırganların bir kullanıcının e-posta adresini çöple şaşırtarak daha sonra onları arayıp destek teklif ettiğini yazıyor.
Dost canlısı arayan, kurbanı Anydesk gibi sözde uzaktan izleme yazılımını indirmeye veya bağlantı kurmak için Microsoft'un yerleşik hızlı yardımını başlatmaya teşvik ediyor. Kötü niyetli aktörler, bağlantı kurulduktan sonra etkilenen kullanıcıların kimlik bilgilerini çalmak ve kalıcı erişim sağlamak için altyapılarından yazılım indirir. Bir vakada BT araştırmacıları, ele geçirilen ağdaki diğer cihazlara Cobalt Strike işaretçilerinin kurulduğunu gözlemledi. Black Basta fidye yazılımının somut bir kurulumu gözlemlenmese de, güvenlik ihlali göstergeleri (IOC'ler) zaten Black Basta ile ilişkilendirilmişti. Bu, siber suç çetesinin faaliyet alanının önemli ölçüde genişlemesi anlamına gelecektir.
Savcılar ve Lockbit arasındaki gidiş geliş biraz eğlenceli görünüyor: Müfettişler ilk olarak geçen haftanın başında eski Lockbit darknet sitesinde bir açıklama duyurdular. Haftanın Salı günü çetenin başı LockBitSupp'un kimliğini yayınladılar ve onun hakkında yararlı bilgi verenlere 10 milyon dolara kadar ödül teklif ettiler. LockBitSup daha sonra söz konusu kimliğin kendisine ait olduğunu yalanladı ve aceleyle veri hırsızlığı içeren yüzlerce siber saldırı hakkında bilgi yayınladı. Rastgele sorulan ve etkilendiği iddia edilen Telekom'un bildirecek böyle bir şeyden haberi yoktu, Ilmenau Teknoloji Üniversitesi ise bir izinsiz girişi doğruladı.
(DMK)
Haberin Sonu
Reklamcılık
New Jersey BT Güvenlik Otoritesi web sitesinde yapılan açıklamada çalışanlar, kullanılan e-posta güvenlik sisteminin LockBit Black adlı yeni bir Lockbit kampanyası tespit ettiğini açıkladı. Ayrıca BT olay raporları da mevcuttu ve kampanya bilgi ve analiz merkezleri tarafından izleniyordu; örneğin ThreatDown web sitesinde bir analiz bulunabilir.
Kötü amaçlı yazılım e-posta ayrıntıları
Bu fidye yazılımı kampanyasına ait e-postalar, kötü amaçlı bir ZIP dosyası eki içeriyordu ve gönderen adresi olarak genellikle “JennyBrown3422” bulunuyordu[@]gmail[.]com” ve “Jenny[@]gsd[.]ZIP dosyasının içinde yürütülebilir dosya vardı (ThreatDown analizine göre ekran koruyucu olarak gizlenen bir .scr dosyası) ve başlatıldığında işletim sistemini Lockbit fidye yazılımıyla şifreliyor. Kampanyayla ilişkili örnekler, New Jersey yetkililerine göre Phorpies botnet'i (Trik olarak da bilinir) kötü amaçlı yazılımı dağıttı.
Kötü amaçlı yazılımın gönderildiği 1.500'den fazla kaynak IP adresi tespit edilmiş olabilir. Geo-IP ataması öncelikle Çin, İran, Kazakistan, Rusya, Özbekistan ve diğer ülkeleri işaret ediyor. Lockbit yürütülebilir dosyaları 193 numaralı IP adreslerinden geldi[.]233[.]132[.]177 ve 185[.]215[.]113[.]66. E-postaların konu satırları “Belgeniz” veya “Fotoğrafınız???” gibi bir şeydi.
Black Basta ayrıca artan aktivite gösteriyor
FBI ve CISA, son iki yılda 500'den fazla kuruluşa saldırdığı söylenen Black Basta siber çetesi hakkında az önce uyarıda bulundu. BT güvenlik şirketi Rapid7, fidye yazılımının arkasındaki suç dehalarından geldiği iddia edilen mevcut bir sosyal mühendislik kampanyasını gözlemledi. Rapid7'deki BT güvenlik araştırmacıları bir blog yazısında, saldırganların bir kullanıcının e-posta adresini çöple şaşırtarak daha sonra onları arayıp destek teklif ettiğini yazıyor.
Dost canlısı arayan, kurbanı Anydesk gibi sözde uzaktan izleme yazılımını indirmeye veya bağlantı kurmak için Microsoft'un yerleşik hızlı yardımını başlatmaya teşvik ediyor. Kötü niyetli aktörler, bağlantı kurulduktan sonra etkilenen kullanıcıların kimlik bilgilerini çalmak ve kalıcı erişim sağlamak için altyapılarından yazılım indirir. Bir vakada BT araştırmacıları, ele geçirilen ağdaki diğer cihazlara Cobalt Strike işaretçilerinin kurulduğunu gözlemledi. Black Basta fidye yazılımının somut bir kurulumu gözlemlenmese de, güvenlik ihlali göstergeleri (IOC'ler) zaten Black Basta ile ilişkilendirilmişti. Bu, siber suç çetesinin faaliyet alanının önemli ölçüde genişlemesi anlamına gelecektir.
Savcılar ve Lockbit arasındaki gidiş geliş biraz eğlenceli görünüyor: Müfettişler ilk olarak geçen haftanın başında eski Lockbit darknet sitesinde bir açıklama duyurdular. Haftanın Salı günü çetenin başı LockBitSupp'un kimliğini yayınladılar ve onun hakkında yararlı bilgi verenlere 10 milyon dolara kadar ödül teklif ettiler. LockBitSup daha sonra söz konusu kimliğin kendisine ait olduğunu yalanladı ve aceleyle veri hırsızlığı içeren yüzlerce siber saldırı hakkında bilgi yayınladı. Rastgele sorulan ve etkilendiği iddia edilen Telekom'un bildirecek böyle bir şeyden haberi yoktu, Ilmenau Teknoloji Üniversitesi ise bir izinsiz girişi doğruladı.
(DMK)
Haberin Sonu