ESET fidye yazılım çetesi RansomHub‘ı tüm ayrıntıları ile inceledi

ESET fidye yazılımı çeteleri ortasındaki temasları açığa çıkardı 

Siber güvenlik şirketi ESET, fidye yazılımı çetesi RansomHub’a odaklanarak mevcut fidye yazılımı ekosistemine ait tahlilini yayımladı. 

ESET Research, RansomHub’ın iştiraklerine sunduğu araçların izini takip ederek RansomHub, Play, Medusa ve BianLian fidye yazılımı çeteleri ortasındaki kontakları keşfetti.  ESET tarafından yayımlanan tahlil, EDRKillShifter ile ilgili bulguları belgeliyor. 

RansomHub ve öbür fidye yazılımı çeteleri ortasındaki bağlantılar

ESET araştırmacıları, fidye yazılımı ekosistemindeki değerli değişiklikler hakkında yeni ortaya çıkan ve şu anda hakim olan hizmet olarak fidye yazılımı çetesi RansomHub’a odaklanan derinlemesine bir tahlil yayımladı. Rapor, RansomHub’ın paydaşlık yapısına ait daha evvel yayımlanmamış bilgileri paylaşıyor ve bu yeni ortaya çıkan dev ile esaslı çeteler Play, Medusa ve BianLian ortasındaki açık temasları ortaya çıkarıyor. Ayrıyeten ESET, RansomHub tarafından geliştirilen ve sürdürülen özel bir EDR katili olan EDRKillShifter’ın maskesini düşürerek, Uç Nokta Tespit ve Cevap (EDR) katillerinin ortaya çıkan tehdidini vurguluyor. ESET, kamuya açık kavram ispatlarından türetilen EDR katil kodunu kullanan fidye yazılımı iştiraklerinde bir artış gözlemlerken berbata kullanılan şoför kümesi büyük ölçüde değişmedi. 

Fidye yazılımı ekosisteminde 2024 yılında değişimler yaşandı 

RansomHub’ı araştıran ESET araştırmacısı Jakub Souček şu açıklamayı yaptı: “Fidye yazılımlarına karşı gayret 2024 yılında iki dönüm noktasına ulaştı: Evvelce en büyük iki çete olan LockBit ve BlackCat bu uğraşın dışında kaldı.  2022’den bu yana birinci sefer, kaydedilen fidye yazılımı ödemeleri yüzde 35 üzere çarpıcı bir oranda düştü. Öte yandan, özel sızıntı sitelerinde duyurulan (kamuoyuna) kayıtlı kurban sayısı yaklaşık yüzde 15 oranında arttı. Bu artışın büyük bir kısmı, LockBit faaliyetlerini sekteye uğratan Cronos Operasyonu sırasında ortaya çıkan yeni bir hizmet olarak fidye yazılımı (RaaS) çetesi olan RansomHub’dan kaynaklanıyor.”

Yeni ortaya çıkan RaaS çetesi üzere RansomHub’ın da operatörlerden fidye yazılımı hizmetleri kiralayan iştirakçileri çekmesi gerekiyordu ve sayıların gücü olduğundan operatörler çok seçici değildi. Birinci ilan Rusça konuşulan RAMP forumunda Şubat 2024’ün başlarında, birinci kurbanların gönderilmesinden sekiz gün evvel yayımlandı. RansomHub, Sovyetler Birliği sonrası Bağımsız Devletler Topluluğu, Küba, Kuzey Kore ve Çin ülkelerine saldırmayı yasaklıyor. Enteresan bir biçimde, iştirakçileri tüm fidye ödemesini cüzdanlarına alacakları vaadiyle cezbediyor ve operatörler iştirakçilerin yüzde 10’unu kendileriyle paylaşacaklarına güveniyor ki bu hayli eşsiz bir şey.   

Fidye Yazılımı Çetelerinin Yeni Silahı

Mayıs ayında, RansomHub operatörleri değerli bir güncelleme yaptı: Kendi EDR katillerini tanıttılar.  Bu, kurbanın sisteminde yüklü olan güvenlik eserini sonlandırmak, köreltmek yahut çökertmek için tasarlanmış özel bir makûs maksatlı yazılım çeşidiydi ve çoklukla güvenlik açığı olan bir şoförden faydalanılarak kullanılıyordu. RansomHub’ın EDRKillShifter isimli EDR katili, çete tarafından geliştirilen ve sürdürülen özel bir araç ve RansomHub iştiraklerine sunulmaktadır. Fonksiyonellik açısından, RansomHub operatörlerinin ihlal etmeyi amaçladıkları ağları korurken bulmayı umdukları çok çeşitli güvenlik tahlillerini hedefleyen tipik bir EDR katilidir. 

ESET,  EDR katillerine karşı tedbir alınması için uyarıyor 

ESET araştırmacısı Jakub Souček  açıklamalarına şöyle devam etti: “Bir katil uygulama ve bunu RaaS programının bir modülü olarak iştiraklere sunma kararı azdır. İştirakçiler çoklukla güvenlik eserlerinden kaçmanın yollarını bulmak için kendi başlarınadır. Kimileri mevcut araçları tekrar kullanırken daha teknik odaklı olanlar mevcut kavram delillerini değiştirir yahut karanlık web’de bir hizmet olarak bulunan EDR katillerini kullanır. ESET araştırmacıları EDRKillShifter kullanımında önemli bir artış olduğunu ve bunun yalnızca RansomHub olaylarında olmadığını gördüler. Gelişmiş EDR katilleri iki kısımdan oluşur: Düzenlemeden sorumlu bir kullanıcı modu bileşeni (katil kod) ve legal lakin savunmasız bir şoför. Uygulama çoklukla çok kolaydır; katil kod, ekseriyetle datalarına yahut kaynaklarına gömülü olan savunmasız sürücüyü yükler, güvenlik yazılımının süreç isimlerinin bir listesini yineler ve savunmasız şoföre bir komut verir, bu da güvenlik açığının tetiklenmesine ve sürecin çekirdek modundan öldürülmesine neden olur. EDR katillerine karşı savunma yapmak zordur. Tehdit aktörlerinin bir EDR katilini konuşlandırmak için yönetici ayrıcalıklarına gereksinimi vardır, bu nedenle ülkü olarak, bu noktaya ulaşmadan evvel varlıkları tespit edilmeli ve hafifletilmelidir.”

ESET, RansomHub’ın bağlı kuruluşlarının Play, Medusa ve BianLian olmak üzere üç rakip çete için çalıştığını keşfetti. RansomHub ve Medusa ortasında bir irtibat keşfetmek o kadar da şaşırtan değil zira fidye yazılımı iştiraklerinin ekseriyetle tıpkı anda birden fazla operatör için çalıştığı yaygın bir bilgi. Öte yandan, Play ve BianLian’ın EDRKillShifter’a erişimlerinin olmasını açıklamanın bir yolu, tıpkı RansomHub üyesini işe almış olmalarıdır ki her iki çetenin de kapalı yapısı göz önüne alındığında bu pek mümkün değildir. Daha akla yatkın bir diğer açıklama ise Play ve BianLian’ın sağlam üyelerinin, RansomHub üzere yeni ortaya çıkan rakiplerle iş birliği yapması ve daha sonra bu rakiplerden aldıkları araçları kendi akınlarında tekrar kullanmasıdır. Play, Kuzey Kore’ye bağlı Andariel kümesiyle bağlantılıdır.

Kaynak: (BYZHA) Beyaz Haber Ajansı