REvil'in Küllerinden Doğan Grup ''BlackMatter''

REvil'in Küllerinden Doğan Grup ''BlackMatter''

REvil Ransomware grubu 04.07.2021'de, Kaseya VSA müşterisi olan kuruluşları hedef alan bir fidye yazılımı saldırısı gerçekleştirdi. Saldırının arkasındaki REvil grup, başlangıçta 70 milyon dolarlık bir fidye talep etti (bir araştırmacıya göre fiyat daha sonra 50 milyon dolara indirilmiş) ve milyonlarca kuruluşun verilerini şifrelediğini iddia etti. Bu saldırı REvil'in aniden çevrimdışı olması, sunucularının bağlantısını kesmesi, forumları terk etmesi ve kurbanlarla iletişim kurmak için kullanılan Dark Web'deki sayfayı kapatmasından dokuz gün önceydi.

Kaseya VSA, 21.07.2021'de REvil fidye yazılımı saldırısının kurbanları için bir Universal Decryptor elde ettiği ve olaydan etkilenen müşterilerinin verilerini düzeltmek için çalıştığını bildirdi. Kaseya yaptığı açıklamada, saldırıdan etkilenen sistemlerin şifresini çözmek için siber güvenlik firması Emsisoft ile birlikte çalıştığını ve Emsisoft'un Universal Decryptor'un "etkili" olduğunu doğruladığını söyledi. Saldırılardan bir kaç hafta sonra gelen aracın ne kadar yardım sunacağı bilinmiyor. Kaseya Universal Decryptor'a nasıl ulaştığını tam olarak açıklamasa da üçüncü taraflardan elde etiğini söylüyor. Digital Shadows Cyber-threat intelligence analysti Ivan Righi, "Bu Universal Decryptor'un aniden ortaya çıkması, daha düşük bir fiyat için pazarlık edilmesi muhtemel olsa da, fidyenin ödenmiş olabileceğini gösteriyor" dedi. Fidyenin ödenip ödenmediği hakkında henüz net bir bilgi yok.

Biz bu saldırıyı, REvil grubunun final saldırısı olarak değerlendiriyoruz. Saldırıdan dokuz gün sonra REvil'in aniden çevrimdışı olması, sunucularının bağlantısını kesmesi, forumları terk etmesi, Dark Web sayfasını kapatması ve ortaya çıkan Universal Key bu değerlendirmeyi doğrular niteliktedir. Geçmişte GandCrab fidye yazılım grubunun kapatılmasından sonra kendini göstermeye başlayan REvil grubun, GandCrab'ın varisi olduğu söyleniyordu. Bu makalemizde Dark Side ve REvil'in küllerinden inşa olduğu söylenen BlackMatter Ransomware ailesi hakkında araştırmamızı konu alıyoruz.

Yeni Fidye Yazılım Ailesi BlackMatter

Recorded Future analistleri, kapanan Darkside ve REvil fidye yazılımı gruplarının en iyi özelliklerini birleştirdiğini iddia eden yeni bir fidye yazılımı grubunun faaliyete geçtiğini keşfetti. Kendisine BlackMatter adı veren yeni ransomware grubu, Dark Web'te yaptığı reklamlar aracılığıyla ortaklar ve işbirlikçiler işe alıyor. Recorded Future'daki uzmanların açıkladığı gibi BlackMatter çetesi, kurumsal ağlara yetkisiz erişim sağlayabilen ve daha sonra fidye yazılımı bulaştırılabilen "initial access brokers"(ilk erişim aracıları) işe almak için paylaşımlar yapıyor. BlackMatter ransomware grubu yaptığı paylaşımlarda, Amerika Birleşik Devletleri, İngiltere, Kanada ve Avustralya'da bulunan ve ağlarında 500 ila 15.000 arasında bilgisayara sahip olan büyük kuruluşlara saldırmak için iş ortakları aradığını dile getirdi. BlackMatter grubu açıklamalarında, yıllık geliri 100 milyon dolar ve üzeri olan şirketleri hedeflediklerini ve bu şirketlerin ağlarına erişim sağlayabilecek ortaklarla çalışmak istediğini belirtiyor. BlackMatter ransomware grubu, fidye miktarından pay için 3.000-100.000$ arasında bir ücret ödeyeceğini belirtiyor.. BlackMatter fidye yazılım grubu depozito olarak Exploit forumuna 4 BTC (120.000 $) yatırmış.

BlackMatter-forum-post.png

'Etik Kan Emiciler' Kendi ifadeleri ile etik kan emici BlackMatter ransomware grubu, aşağıda bulunan listedeki kurum ve kuruluşların peşine düşmeyeceğini belirtiyor.

  • Hastaneler
  • Kritik altyapı tesisleri (nükleer santraller, enerji santralleri, su arıtma tesisleri)
  • Petrol ve gaz endüstrisi (boru hatları, petrol rafinerileri)
  • Savunma Sanayii
  • Kar amacı gütmeyen kuruluşlar
  • Hükümetler

Bir fidye yazılım grubunun saldırmama sözüne güvenilmeyeceği bir gerçektir. Ancak BlackMatter fidye yazılım grubu, bu sektörlerden kurbanlar saldırıya uğrarsa, kurbanın verilerinin şifresini ücretsiz olarak çözeceğine söz verdi.

blackmatter-ransomware-successor-darkside-revil-1-1.png “İnsanları ortak bir çıkara göre birleştiren bir ekibiz – para”

Peki bu olay sizlere de tanıdık geliyor mu? Bunun nedeni, DarkSide fidye yazılım ailesinin de aynı prensibi sergilemesidir. Şimdi sizlere tanıdık gelecek bir prensipten daha bahsedelim; BlackMatter ransomware grubu, saldırıya uğrayan şirket dosyalarının şifresini çözmek için fidye ödemesi yapmayı kabul etmezse, kurbanlarından çaldıkları verileri yayınlamayı planlıyor. Evet REvil grup, fidye ödemesi yapmayan kurbanların verilerini paylaşmakla tehdit ederdi.

Emisosft CTO'su ve fidye yazılımı uzmanı Fabian Wosar paylaştığı tweette eline BlackMatter ransomware grubuna ait bir şifre çözücü geçtiğini ve şifre çözücüyü analiz ettikten sonra, yeni BlackMatter ransomware grubu, DarkSide ransomware grubunun saldırılarında kullandığı şifreleme yöntemlerini kullandığını doğruladı.

emsisoft.png

BlackMatter grubu tarafından kullanılan şifreleme rutinlerinin, DarkSide grubuna özgü özel bir Salsa20 matrisi de dahil olmak üzere hemen hemen aynı olduğunu söyledi. Bir geliştirici , Salsa20 şifreleme algoritmasını kullanarak verileri şifrelerken , on altı adet 32-bit kelimeden oluşan bir başlangıç ​​matrisi sağlar.

salsa-matrix.jpg

Dosyaları şifrelerken, şifrelenmiş her dosya için sabit dizeler, bir konum, ve anahtar kullanmak yerine Dark Side kelimeleri rastgele verilerle doldururdu. Bu matris daha sonra genel bir RSA anahtarıyla şifrelenir ve şifrelenmiş dosyanın alt bilgisinde saklanır. Salsa20 uygulaması daha önce yalnızca Dark Side tarafından kullanılıyordu. Aynı zamanda BlackMatter da Dark Side gibi şifreleyicilerine özgü bir RSA-1024 uygulaması kullanıyor.

Sonuç olarak yeni ransomware ailesi olan BlackMatter için REvil varisi veya Dark Side varisi demek için yeterli kanıt olmasa da eldeki bilgiler ile bunun mümkün olabileceğini söyleyebiliriz...

Destek

Herhangi bir veri kaybı yaşadığınızda, bulunduğunuz konuma en yakın DrDisk Lab çözüm ortağı ile iletişime geçebilirsiniz...

Yukarı