Ransomware Grupları

Ransomware Grupları

Uzunca bir süredir fidye grupları hakkında blog ve makaleler yazıyoruz. Fakat daha önce hepsi hakkında toplu ve kısa bilgilendirici bir içerik olmadığı için bunu yazmaya karar verdik. Sizin için derlediğimiz yazı dizisine şimdilik Conti ve Lockbit Ransomware grupları ile başlıyoruz.

Keyifli okumalar...

Conti

Adı : Conti Ransomware

Fidye Yazılım Ailesi : Conti

Uzantısı : " .CONTI", ".ITTZN", ".SYTCO" yanı sıra Conti ransomware tarafından şifrelenmiş dosyalar kendi benzersiz uzantılara sahiptir.

Fidye Yazılım Notu : "CONTI_README.txt", "readme.txt", "R3ADM3.txt"

Talep Edilen Fidye : Hedef kurum ve kuruluşlara özel fidye miktarı belirleniyor.

İletişim Adresi : mantiticvi1976@protonmail.com fahydremu1981@protonmail.com, frosculandra1975@protonmail.com, trafyralhi1988@protonmail.com, sanctornopul1986@protonmail.com, ringpawslanin1984@protonmail.com, liebupneoplan19@protonmail.com, stivobemun1979@protonmail.com, guifullcharti1970@protonmail.com, phrasitliter1981@protonmail.com, elsleepamlen1988@protonmail.com, southbvilolor1973@protonmail.com, glocadboysun1978@protonmail.com, carbedispgret1983@protonmail.com, listun@protonmail.com, mirtum@protonmail.com, maxgary777@protonmail.com, ranosfinger@protonmail.com, bootsdurslecne1976@protonmail.com, rinmayturly1972@protonmail.com, niggchiphoter1974@protonmail.com, lebssickronne1982@protonmail.com, daybayriki1970@protonmail.com

AV Algılaması : Avast (Win32:Malware-gen), BitDefender (deepscan:Generic.Ransom.Amnesiae.634), ESET-NOD32 (Generik.EBKALVO'nun bir varyantı), Kaspersky (Trojan.Win32.Delshad.cmo)

Conti Ransomware grubu, takip ettiğimiz onlarca ransomware grupları arasında en acımasızlarından biri olarak öne çıkıyor. Rus menşeli olduğu tespit edilen ve 2020 yılının ilk çeyreğinde gündeme gelen fidye yazılım grubu, hayatı tehdit edebilecek kuruluşlara saldırmak için bu kurumların BT altyapılarına sızmaya yönelik bir yıldan fazla araştırma yaptı. FBI raporlarına göre hastaneler, acil çağrı hattı, acil tıbbi hizmetler ve kolluk kuvvetleri gibi 16 devlet kurumuna saldırılar gerçekleştirdi. FBI'a bağlı siber ekipler, Conti ransomware grubu tarafından dünya çapında mağdur edilen 400'den fazla kuruluş olduğunu ve bunların arasında 300 civarı kuruluşun ABD'de bulunduğunu belirtti. Saldırıya uğrayan sağlık ve acil müdahale hizmeti veren kuruluşlar ilk sırada yer alması grubun hedef kitlesini anlamakta bizlere yardımcı oluyor. Mayıs ayı ortasında İrlanda Sağlık Bakanlığı'nın tüm bilgi teknolojileri ağının kapatılmasına neden olan, randevuların iptaline, X-ray sistemlerinin kapatılmasına sebebiyet verdi. COVID testlerinde gecikmelere yol açan saldırılar düzenleyen ve 700Gb dosya sızdıran Conti ransomware grubu, İrlanda Sağlık Bakanlığı'ndan şifrelenen dosyalarını kurtarabilmeleri için 19.999.000$ fidye talep etti.

Diğer tüm ransomware grupları göz önüne alındığında, Conti fidye virüsünün hepsinin toplamına yakın saldırıyı tek başına gerçekleştirdiği tespit edilmiştir.

conti_attack.png

Conti ransomware grubu, orta ila büyük ölçekli işletmeleri hedef alırken, fidye miktarlarını da kuruluşun büyüklüğüne ve ödeme kapasitesine göre belirliyor. Conti ransomware grubu ayrıca, İrlanda Sağlık Bakanlığı örneği gibi fidye taleplerin artmasına neden olan verileri sızdırması da bilinmektedir. Bunlara ek olarak fidye ödeyen ve verilerini kurtarabilmeyi bekleyen düzinelerce Conti kurbanı gördük. Bu bilgiler ile Conti ransomware grubunun da güvenilmez siber suç çetelerinden biri olduğunu söyleyebiliriz.

LOCKBİT 2.0

Adı : LockBit Ransomware

Fidye Yazılım Ailesi : LockBit

Uzantısı : .abcd ve .lockbit

Fidye Yazılım Notu : Restore-My-Files.txt

Talep Edilen Fidye : 5.000$ - 120.000$ (Bitcoin)

İletişim Adresi : goodmen@countermail.com , goodmen@cock.li

AV Algılaması : Win32:Fraudo [Trj], Gen:Heur.Ransom.Imps.1, Win32/Filecoder.NXQ, Trojan.Win32.DelShad.chy

LockBit 2.0 fidye yazılımı nedir?

LockBit fidye yazılımı, birçok otorite tarafından "LockerGoga ve MegaCortex" kötü amaçlı yazılım ailesinin bir parçası olarak kabul edilir. LockBit, diğer yaygın ismiyle de bilinen Lockbit2.0, ilk olarak MalwareHunterTeam tarafından keşfedilmiştir. Başlangıçta “.abcd virüsü” olarak adlandırılan LockBit zararlı yazılımı, ilk olarak Eylül 2019'da kullanılmaya başlandı. Coveware tarafından paylaşılan istatistiklere göre, LockBit fidye yazılımı saldırıları, 2020 yılının son çeyreğinde önemli ölçüde arttı. LockBit fidye yazılımı diğer fidye yazılımları arasında %7,5 pazar payı ile üçüncü sırada yer almaktadır. LockBit, diğer fidye virüsü gruplarına nazaran kendilerini en iyi ve en hızlı şifreleme yapan yazılımlara sahip olduklarını iddia etmektedir. Saldırının arkasındaki siber suçlular, şifre çözme araçlarını/yazılımlarını kurbanlara vermek için yüksek miktarlarda fidye talep ediyor. LockBit fidye yazılımı ile şifrelenen dosyalar “ .abcd veya .lockbit ” uzantılı olarak yeniden adlandırır . Bu işlemden sonra, etkilenen her klasöre bir metin dosyası (“ Restore-My-Files.txt ”) bırakılır. LockBit Ransomware, her dosyayı rastgele bir AES anahtarıyla şifreleyip, şifrelenmiş AES anahtarını da, dosyanın içindeki belirli bir ofsete ekler. Böylece hedef sistem içindeki her dosya farklı bir anahtarla şifrelenmiş olur. Şifrelenmiş verilerin çözülmesi için de RSA özel anahtarı gerekmektedir. (Lockbit, yayılım esnasında shadow copy leri de siliyor.)

Metin dosyasında, kurbanlara verilerinin şifrelendiğini bildiren ve verilerinin nasıl geri yükleneceği belirten talimatlar içerir.

LockBit.jpg

Restore-My-Files.txt ” içindeki mesaj, kişilerin verilen e-posta adresleri aracılığıyla saldırgan ile iletişime geçmesi gerektiğini belirtir (yeni varyantlarda gözlemlerimize göre Tor ağına yönlendiriyor). Mesajda kullanıcıların kişisel kimliklerini belirtmeleri talep edilir. Kimlik bilgileri, her kurban için ayrı ayrı oluşturulmuş ve '' Restore-My-Files.txt '' metin dosyasının içerisinde belirtilmiştir. Kurbanlardan e-postaya, 1 MB'tan büyük olmamak kaydı ile şifreli bir dosya eklemeleri de isteniyor. Saldırganlar, verileri kurtarabileceğine dair 'kanıt' olarak bu test dosyasının şifresini ücretsiz olarak çözüyor. Bu dosyanın şifresinin çözülmesi doğrulandıktan sonra miktarı belirlenen fidye talep edilip, ödemeleri de Bitcoin ile aktarılması talep ediliyor. Fidye ödemesi gerçekleştikten sonra, şifre çözme araçları/yazılımlarının kendilerine teslim edileceği vaat edilir! Yukarıda bahsettiğimiz gibi, fidye ödemenin kesin çözüm olmadığını bilmek gerekir. Saldırganların şifre çözme aracı olarak bir truva atı gönderdikleri durumlarla da karşılaşılmıştır. “ Restore-My-Files.txt ” içindeki mesaj, mağdurlara şifrelenmiş dosyaları yeniden adlandırmamaları veya üçüncü taraf yazılımlarla manuel şifre çözme girişiminde bulunmamaları konusunda uyarılar ve talimatlarla sona erer.

Lockbit fidye yazılımını kullanan gruplar, büyük kuruluşları hedef almalarıyla bilinir. Saldırganlar fidye taleplerini kurbanlarının yıllık gelirlerine göre özelleştirdiği tespit edilmiştir. Ortalama Lockbit fidye miktarı 33.000$ ile 120.000$ civarındadır.

lockbit_attack.png

Son dönemlerde LockBit ransomware grubunun, hedef kurum ve kuruluşların ağlarına sızmalarına ve verileri şifrelemelerine yardımcı olmak için kurum ve kuruluşların içerisinde ki çalışanlara iş teklifinde bulunduğu ortaya çıktı. Çalışanlara teklif edilen rakamlar milyon dolarlar ile ifade ediliyor. Fidye saldırıları sonrası yapılan fidye ödemeleri, grup ve gruba yardımcı olan iş ortakları arasında bölünüyor. Fidye yazılım grupları, ilk erişim saldırısı için bir süredir illegal iş ortakları kullanmaya başladı. LockBit fidye yazılım grubu da ilk erişim için, şirket içindeki aktif personelleri toplamaya çalıştığı ortaya çıktı. Bunun en büyük sebeplerinden biri de fidye saldırısında, grubun çalıştığı iş ortaklarının fidye ödemesinin %70 ila %80’ini alıyor olmasıdır. Şirket personelleriyle çalışmanın daha karlı olacağını düşünen LockBit fidye yazılım grubu, böyle bir yola başvurmuş olmalı.

Yakında yayına alınacak diğer gruplar;

REvil (Kısa bir süre önce Rus FSB ekiplerince çökertildi)

PYSA

Dopple Leaks

CLOP

Everest

Grief

CoomingProject

BlackMatter

Cuba

AvosLocker

Vice Society

HiveLeaks

Destek

Herhangi bir veri kaybı yaşadığınızda, bulunduğunuz konuma en yakın DrDisk Lab çözüm ortağı ile iletişime geçebilirsiniz...

Yukarı