Global Ransomware İstatistiği

Anasayfa

Global Ransomware İstatistiği

Saldırı istatistikleri

Küresel Fidye Yazılımı Saldırı İstatistikleri

Aylık, haftalık ve yıllık özetlerle saldırı trendlerini takip edebilir, her fidye yazılımı grubunun saldırı detaylarına ayrı ayrı ulaşabilirsiniz. Harita, saldırıların coğrafi dağılımını, başlangıç noktalarını analiz ederek küresel tehdit ortamını anlamanızı kolaylaştıracak şekilde tasarlandı.

En Çok Saldırı Alan Ülkeler

En Çok Saldırı Yapan Grublar

Aylık Saldırı Özeti

Yıllık Saldırı Özeti

Grup İstatistiği - Tüm Zamanlar

lockbit3
clop
alphv
play
ransomhub
bianlian
blackbasta
akira
8base
cactus
medusa
conti
pysa
hunters
qilin
incransom
everest
blacksuit
hiveleak
royal

Grup İstatistiği - Aylık

funksec
ransomhub
akira
dragonransomware
blackbasta
play
apt73/bashe
fog
helldown
lynx
qilin
meow
hunters
medusa
trigona
everest
8base
bianlian
kairos
killsec
Ransomware

Ransomware Tehditleri

En tehlikeli üç ransomware grubunu inceleyin ve güvenliğinizi güçlendirin.

Son Ransomware Saldırıları
Grup / Vaka

No data selected

Ziyaretçilerimiz, bu bültene ücretsiz abone olarak saldırı istatistiklerini ve analizlerini düzenli olarak e-posta yoluyla takip edebilir. Bu sayede güncel verilere her zaman kolayca erişebilirsiniz.

Ransomware Saldırı Bülteni

Son ransomware saldırılarından haberdar olmak için abone olun.

Haftalık bültenimize abone olun!

Firma bilgisi ve pozisyon bilgisi sizlere daha iyi hizmet verebilmek ve öneriler sunabilmek için gereklidir. Zorunlu değildir. Bilgilerimin saklanmasını ve tarafıma bülten gönderilmesi için kullanılmasını kabul ediyorum.
Ransomware

2024 Fidye Yazılımı Ekosistemi

2024 yılı, fidye yazılımı gruplarının faaliyetlerinde önemli değişimlerin yaşandığı bir dönem olarak dikkat çekmektedir. Özellikle LockBit ve RansomHub arasındaki rekabet, siber güvenlik dünyasında öne çıkmaktadır. Bu analizde, mevcut veriler ışığında fidye yazılımı ekosistemindeki gelişmeleri ve olası senaryoları değerlendireceğiz.

Genel Durum Yılın sonuna yaklaşırken, fidye yazılımı gruplarının saldırı sayıları şu şekilde: LockBit: 549 saldırı RansomHub: 529 saldırı Play: 347 saldırı Akira: 245 saldırı Hunters: 217 saldırı Medusa Blog: 202 saldırı Black Basta: 186 saldırı Bu veriler, fidye yazılımı gruplarının etkinliklerinde belirgin bir artış olduğunu gösteriyor. Özellikle LockBit ve RansomHub arasındaki farkın azalması, rekabetin kızıştığını işaret ediyor.

Mevcut Durum ve Grup Faaliyetleri

  • LockBit: Uzun süredir fidye yazılımı sahnesinde lider konumda olan LockBit, 2024 yılında da etkinliğini sürdürmüştür. Ancak, yıl içinde yaşanan uluslararası operasyonlar ve grubun altyapısına yönelik baskılar, faaliyetlerinde geçici düşüşlere neden olmuştur. Özellikle Şubat 2024'te gerçekleştirilen bir operasyon, LockBit'in etkinliğini etkilemiştir.

  • RansomHub: 2024 yılında hızla yükselen RansomHub, LockBit'in düşüşünden faydalanarak liderliği ele geçirmiştir. Şubat 2024'te faaliyetlerine başlayan grup, kısa sürede en aktif fidye yazılımı grubu haline gelmiştir. ESET'in H2 2024 Tehdit Raporu'na göre, RansomHub'ın bu yükselişi, eski LockBit ve BlackCat üyelerinin katılımıyla desteklenmiştir.

  • Diğer Gruplar: Play, Akira, Hunters International ve Medusa gibi gruplar da 2024 yılında faaliyet göstermiştir. Ancak, saldırı sayıları açısından lider grupların gerisinde kalmışlardır. Özellikle Play grubu, ABD'de en aktif ikinci fidye yazılımı grubu olarak öne çıkmıştır.

2024 Yılında Öne Çıkan Trendler

  • Fidye Yazılımı Saldırılarında Artış: Microsoft'un Dijital Savunma Raporu'na göre, fidye yazılımı bağlantılı olaylarda yıllık 2,75 kat artış gözlemlenmiştir. Ancak, şifreleme aşamasına geçen saldırıların oranı son iki yılda üç kat azalmıştır.

  • Endüstriyel Sistemlere Yönelik Saldırılar: Kaspersky'nin raporuna göre, fidye yazılımı etkinliğinin artmasıyla birlikte endüstriyel kontrol sistemleri (ICS) bilgisayarlarının fidye yazılımından etkilenme oranı bir önceki çeyreğe göre 1,2 kat artmıştır.

  • Sosyal Mühendislik Taktikleri: Black Basta gibi gruplar, sosyal mühendislik tekniklerini artırarak kuruluşların hassas sistemlerine erişim sağlamaktadır. Özellikle Microsoft Teams üzerinden sahte mesajlar ve kötü amaçlı QR kodları kullanarak saldırılar düzenlemektedirler.

Olası Senaryolar ve Gelecek Öngörüleri

  • RansomHub'ın Liderliği Sürdürmesi: Mevcut ivmesini koruyan RansomHub'ın, 2025 yılında da en aktif fidye yazılımı grubu olarak faaliyet göstermesi muhtemeldir. ESET'in raporuna göre, grubun eski LockBit ve BlackCat üyelerinden oluşması, deneyim ve kaynak açısından avantaj sağlamaktadır.

  • LockBit'in Yeniden Yapılanması: Uluslararası operasyonların baskısı altında kalan LockBit'in, yeni taktikler ve stratejiler geliştirerek sahneye geri dönme olasılığı bulunmaktadır. Ancak, artan kolluk kuvvetleri baskısı, grubun faaliyetlerini zorlaştırabilir.

  • Yeni Grupların Ortaya Çıkışı: Fidye yazılımı ekosistemindeki boşlukları doldurmak isteyen yeni grupların ortaya çıkması muhtemeldir. Özellikle CosmicBeetle gibi yeni gruplar, Mart 2024'ten bu yana artan etkinlik göstermektedir.

Siber Güvenlik İçin Öneriler

  • Proaktif Savunma Stratejileri: Kurumların, fidye yazılımı saldırılarına karşı proaktif savunma stratejileri geliştirmeleri önem taşımaktadır. Sürekli gelişen saldırı taktiklerine karşı güncel güvenlik önlemleri alınmalıdır.

  • Farkındalık ve Eğitim: Çalışanların sosyal mühendislik saldırılarına karşı bilinçlendirilmesi ve düzenli eğitimlerle farkındalıklarının artırılması gerekmektedir.

  • Yedekleme ve Kurtarma Planları: Kritik verilerin düzenli olarak yedeklenmesi ve olası bir saldırı durumunda hızlı bir şekilde kurtarma planlarının devreye sokulması hayati öneme sahiptir.

Sonuç olarak, 2024 yılı fidye yazılımı ekosisteminde önemli değişimlerin yaşandığı bir yıl olmuştur. LockBit ve RansomHub arasındaki rekabet, siber tehdit ortamının dinamik yapısını yansıtmaktadır. Kurumların, bu tehditlere karşı hazırlıklı olmaları ve güvenlik önlemlerini sürekli güncellemeleri gerekmektedir.

Siber Güvenlik

Tarım ve Orman Bakanlığı’na Ransomware Saldırısı

Bakanlıktan yapılan yazılı açıklamada, Tarım ve Orman Bakanlığının bilişim sistemlerine yapılan siber saldırı hakkında bilgi verildi.

Hacker grupları tarafından kamu kurumları ve özel sektörün bilişim sistemlerinin sürekli hedef alındığı hatırlatılan açıklamada şunlar kaydedildi:

“31 Temmuz saat 01.00 sıralarında itibarıyla Tarım ve Orman Bakanlığının domainlerinden birinde bulunan bazı sunucular siber saldırıya uğramış ve kullanılmaması için şifrelenmiştir. Bakanlığımızca sabah erken saatlerde bu durum fark edilmiş, sistem şifreleme protokolleri devreye girmiş ve Cumhurbaşkanlığı Dijital Dönüşüm Ofisi yetkileri ile koordineli olarak bir çalışma başlatılmış, gerekli tedbirler alınmıştır. Bu saldırıda Bakanlığımızın bir kısım sunucuları hedef alındığı için öncelikle tüm sistemin güvenliği kontrol altına alınmıştır.

Bu yapılan siber saldırıda Bakanlığımızın ana domainde olan sunucular etkilenmemiş olup Bakanlığımızda 3 ayrı yedekleme sistemi mevcuttur. Bu yedekleme sistemleri Bakanlığımızda ve özel bir veri merkezinde saklanmaktadır.”

Açıklamada, etkilenen sunucuların ve yedeklerinin kriminal inceleme için koruma altına alındığı belirtilerek, “Elimizde bulunan diğer sistemler üzerine yeniden yazımlar ve veri tabanı kurulmuştur. Sistemlere ilk müdahale eden pro​fesyonel ekip sistemleri koruma altına alıp internet bağlantılarını kestiği ve sunuculara hiçbir suretle müdahale edilmediği için kişilerin ne istediği ile ilgilenilmemiş ve doğrudan Bakanlığımız yedek sistemlerinin ayağa kaldırılması yoluna gidilmiştir. Sistemler, kurum dışındaki yedeklerden veri kaybı olmadan ayağa kaldırılmıştır. Konu adli makamlara iletilmiş olup gerekli inceleme başlatılmıştır.” ifadesi kullanıldı.

Grupla ilgili henüz kesin bir bilgiye ulaşılamamakla birlikte, genellikle vpn zafiyetlerinden faydalanan ve sahte e-mail (fishing) yöntemleri ile saldırı gerçekleştiren bir fidye virüsü grubu olduğu söyleniyor. Rus menşeli olduğu düşünülen bu ransomware grubunun, daha önce yabancı bir çok kuruma da bu tür saldırılar gerçekleştirdiği bilgisine ulaşılmıştır. Ransomware grupları arasında en çok konuşulan gruplar Revil, Conti, LockBit, Ragnarok, BlackMatter, RansomExx gibi kötülüğü ile ün salmış gruplardan birinin olduğu düşünülmektedir. Şifrelemenin, bakanlığın yaptığı açıklamada belirtildiği üzere, gece saatlerinde başladığı fakat sisteme daha önceden sızmış olan ransomware grubunun sistemi uzunca bir süre takip ettikten sonra kritik verileri tespit edip, daha sonra atağa geçtiği düşünülmektedir. Terabyte boyutundaki verilerin bir gecede şifrelenebilmesinin diğer türlü mümkün olmayacağı düşünülmektedir. Yurtiçinde, bu konuda uzman kişilerin görüşüne başvurulduğu, dışardan destek alınmaya çalışıldığı gelen bilgiler arasında. Aradan geçen zamana rağmen sistemlerde henüz iyileştirmenin tamamlanmadığı gözlemlenmiştir. Düzenli olarak kurum dışında alınan yedekler haricinde, kuruma ait yedekleme sunucularının da bu saldırıdan etkilendiği söyleniyor. Kurum dışında alınan yedeklerin sağlıklı bir şekilde çalışabilmesi için, kurum içerisinde yedeklenen verilerin çözülmesi gerektiği, aksi takdirde alınan yedeklerin kendi başına sistemin çalışmasını sağlayamayacağı düşünülmektedir.

Şu ana kadar edindiğimiz bilgiler bunlar olmakla birlikte, detaylara ulaşıldıkça konu hakkında bilgilendirmeler devam edecektir.

Ransomware

Revil Ransomware Grubu Çökertildi!

FSB, REvil Ransomware grubunu etkisiz hale getirmek için özel operasyonlardan birinin videosunu yayınladı. Rus siber cephesinde ilginç şeyler yaşanıyor…

Tarih 13.01.2022’yi gösterirken Ukrayna devlet kurumlarının (MFA ve MoD dahil) web sitelerine yapılan Rus siber saldırıları, şimdi ise Rusya’nın en büyük hacker gruplarından REvil’e FSB tarafından yapılan baskınlar siber dünyada büyük yankı topladı. Bir zamanlar “Fidye Virüsünün Veliahtı” olarak adlandırılan REvil, Kaseya tedarik zinciri saldırısından ve diğer birçok yüksek profilli saldırılardan sorumluydu. Rus özel servisinin uzun süredir takibe aldığı ve Kaseya saldırısı dahil olmak üzere bir çok saldırıda parmağı olan REvil fidye virüsü grubunun çökertilmesi, siber korsan camiasında şaşkınlığa sebep oldu. Bir çok siber tehdit aktörünün istihbarat servisleri ile birlikte hareket ettiği bilinen bir gerçek. Bu operasyon dolayısıyla REvil gibi bir hacker grubuna yönelik yapılan operasyon diğer gruplarda paniğe yol açtı. Bu güvenlik operasyonunda REvil’in 15 üyesi Rus yetkililer tarafından tutuklandı. Kripto para hesapları, 600 bin dolar, 500 bin avronun yanı sıra bilgisayar ekipmanları, kripto hesap cüzdanları ve suç parasıyla satın alınan 20 premium otomobil de dahil olmak üzere 25 adreste 426 milyon rublenin üzerinde para ele geçirildi.

Bu operasyondan bir gün önce de Ukrayna ve ABD siber ekipleri tarafından yapılan operasyonda RIP Ransomware grubuna yönelik operasyon gerçekleştirilmişti. Bu gurubun da 50’den fazla büyük şirkete saldırı gerçekleştirdiği ve bu saldırılardan 1 milyon doların üzerinde gelir elde ettiği düşünülüyor. Grubun organizatörü 36 yaşındaki Kievli, eşi ve üç arkadaşıyla birlikte yabancı şirketlere yönelik siber saldırılar düzenlediği tespit edildi. Gözaltına alınan zanlılar ifadelerinin ardından mahkemeye sevk edildi.

Ransomware

Conti Ransomware, Apple ve Tesla’nın Ürün Tedarikçisini Vurdu!

Conti Ransomware grubu, Tayvan’lı elektronik üretim devi, Apple ve Tesla gibi şirketlere güç bileşenleri tedarik eden Delta Electronics’e yönelik saldırı gerçekleştirdi.

Şirket tarafından borsa yetkilileriyle paylaşılan açıklamaya göre, saldırı geçtiğimiz Cuma günü, 21 Ocak’ta gerçekleşti. Delta Electronics, saldırının hemen tespit edildiğini ve güvenlik ekibinin enfekte sistemleri kontrol altına almak ve kurtarma operasyonlarına başlamak için müdahale ettiğini söyledi. Öncelikle güçlü UPS çözümleriyle tanınan Delta, saldırının üretim sistemlerini etkilemediğini söyledi.

Bununla birlikte, bugün yerel teknoloji haber sitesi CTWANT‘dan bir muhabir olan Liu Minggeng , saldırıya ait detaylı ve korkunç bir iç olay raporunun kopyasını elde ettiğini iddia ediyor. Delta Electronics’e ait 65.000 bilgisayardan oluşan bilgisayar ağı içerisindeki 1.500’den fazla sunucu ve 12.000’den fazla workstation saldırganlar tarafından şifrelendi. Bu rakam, bu zamana kadar yaşanmış en büyük Ransomware saldırılarından biri olarak tarihe geçti. Oluşan hasarı kontrol altına almak için Trend Micro ve Microsoft ile birlikte çalıştığı iddia edilen Delta’nın, şifrelemede kullanılan fidye yazılımının Conti Ransomware’e ait zararlı yazılım olduğu söyleniyor. Saldırganların Tayvan’lı elektronik üreticisinden 15 milyon dolar fidye talep ettiği iddia ediliyor. Şu ana kadar Delta’nın adı Conti’nin sızıntı sitesinde henüz belirtilmediği, bu da genellikle iki tarafın hala bir ödeme üzerinde pazarlık yaptığı anlamına geliyor. Olayla ilgili bilgi veren kaynağa göre, şirket henüz sistemlerinin çoğunu geri yükleyemedi ve resmi web siteleri çevrimdışı. Şirket, müşterileri ile iletişimde kalmak için alternatif bir web sunucusu kullanıyor.

Ransomware

LockBit Fidye Yazılım Grubu Rüşvet Teklif Ediyor !!!

LockBit Fidye Virüsü Nedir? başlıklı makalemizde LockBit ransomware grubu hakkında detaylı bilgi vermiştik. LockBit ransomware grubunun, hedef kurum ve kuruluşların ağlarına sızmalarına ve verileri şifrelemelerine yardımcı olmak için kurum ve kuruluşların içerisinde ki çalışanlara iş teklifinde bulunduğu ortaya çıktı. Çalışanlara teklif edilen rakamlar milyon dolarlar ile ifade ediliyor. Fidye saldırıları sonrası yapılan fidye ödemeleri, grup ve gruba yardımcı olan iş ortakları arasında bölünüyor. Fidye yazılım grupları, ilk erişim saldırısı için bir süredir illegal iş ortakları kullanmaya başladı. LockBit fidye yazılım grubu da ilk erişim için, şirket içindeki aktif personelleri toplamaya çalıştığı ortaya çıktı. Bunun en büyük sebeplerinden biri de fidye saldırısında, grubun çalıştığı iş ortaklarının fidye ödemesinin %70 ila %80’ini alıyor olmasıdır. Şirket personelleriyle çalışmanın daha karlı olacağını düşünen LockBit fidye yazılım grubu, böyle bir yola başvurmuş olmalı.

LockBit Fidye Yazılım Grubu Kurum Çalışanlarına Milyonlarca Dolar Vaat Ediyor!!

2021’in üçüncü çeyreğinde LockBit fidye yazılım grubu yeni varyant olarak LockBit 2.0 fidye yazılımının piyasaya sürüldüğünü duyurmuştu. LockBit ransomware ailesinin kurum çalışanlarına gönderdiği iş teklifinin bir örneği aşağıdaki gibidir;

“Milyonlarca dolar kazanmak ister misiniz?

Şirketimiz(!), çeşitli şirketlerin ağlarına veya kendi şirketinizin ağına erişimini ve bir şirketin en değerli verilerini çalmamıza yardımcı olmak için sizinle birlikte hareket etmek istiyor. Herhangi bir şirkete erişim için bize veri sağlayabilirsiniz. Örneğin, RDP, VPN, kurumsal e-posta vb. için oturum açma ve şifreler gibi kritik konularda destek olabilirsiniz.

Kurumsal e-postanıza gönderilen epostayı açın, siz ekte gönderilen virüsü şirketinizdeki herhangi bir bilgisayarda çalıştırın.

Şirketiniz, dosyaların şifresinin çözülmesi ve veri sızıntısının önlenmesi için bize fidye ödeyecektir.
Bizimle Tox messenger aracılığıyla iletişim kurabilirsiniz.

https://tox.chat/download[.]html 

Tox messenger kullanarak, gerçek adınızı asla bilmeyeceğiz ve gizliliğinizi garanti edildiği anlamına gelir.

Bizimle iletişime geçmek istiyorsanız, ToxID : ”ToxID” kullanın.

Yapılan tekliflerin özellikle sistem erişimlerine sahip olan BT departmanı personellerine yönelik olduğu belirlendi. Ancak bu ilk değil, ağustos 2020’de FBI, Tesla’nın Nevada Gigafactory ağına kötü amaçlı yazılım yerleştirmek için, bir Tesla çalışanını işe almaya çalışan Rus uyruklu bir fidye yazılım grubu üyesini tutuklamıştı.

Ransomware

REvil’in Küllerinden Doğan Grup ”BlackMatter”

REvil Ransomware grubu 04.07.2021’de, Kaseya VSA müşterisi olan kuruluşları hedef alan bir fidye yazılımı saldırısı gerçekleştirdi. Saldırının arkasındaki REvil grup, başlangıçta 70 milyon dolarlık bir fidye talep etti (bir araştırmacıya göre fiyat daha sonra 50 milyon dolara indirilmiş) ve milyonlarca kuruluşun verilerini şifrelediğini iddia etti. Bu saldırı REvil’in aniden çevrimdışı olması, sunucularının bağlantısını kesmesi, forumları terk etmesi ve kurbanlarla iletişim kurmak için kullanılan Dark Web’deki sayfayı kapatmasından dokuz gün önceydi.

Kaseya VSA, 21.07.2021’de REvil fidye yazılımı saldırısının kurbanları için bir Universal Decryptor elde ettiği ve olaydan etkilenen müşterilerinin verilerini düzeltmek için çalıştığını bildirdi. Kaseya yaptığı açıklamada, saldırıdan etkilenen sistemlerin şifresini çözmek için siber güvenlik firması Emsisoft ile birlikte çalıştığını ve Emsisoft’un Universal Decryptor’un “etkili” olduğunu doğruladığını söyledi. Saldırılardan bir kaç hafta sonra gelen aracın ne kadar yardım sunacağı bilinmiyor. Kaseya Universal Decryptor’a nasıl ulaştığını tam olarak açıklamasa da üçüncü taraflardan elde etiğini söylüyor. Digital Shadows Cyber-threat intelligence analysti Ivan Righi, “Bu Universal Decryptor’un aniden ortaya çıkması, daha düşük bir fiyat için pazarlık edilmesi muhtemel olsa da, fidyenin ödenmiş olabileceğini gösteriyor” dedi. Fidyenin ödenip ödenmediği hakkında henüz net bir bilgi yok.

Biz bu saldırıyı, REvil grubunun final saldırısı olarak değerlendiriyoruz. Saldırıdan dokuz gün sonra REvil’in aniden çevrimdışı olması, sunucularının bağlantısını kesmesi, forumları terk etmesi, Dark Web sayfasını kapatması ve ortaya çıkan Universal Key bu değerlendirmeyi doğrular niteliktedir. Geçmişte GandCrab fidye yazılım grubunun kapatılmasından sonra kendini göstermeye başlayan REvil grubun, GandCrab’ın varisi olduğu söyleniyordu. Bu makalemizde Dark Side ve REvil’in küllerinden inşa olduğu söylenen BlackMatter Ransomware ailesi hakkında araştırmamızı konu alıyoruz.

Recorded Future analistleri, kapanan Darkside ve REvil fidye yazılımı gruplarının en iyi özelliklerini birleştirdiğini iddia eden yeni bir fidye yazılımı grubunun faaliyete geçtiğini keşfetti. Kendisine BlackMatter adı veren yeni ransomware grubu, Dark Web’te yaptığı reklamlar aracılığıyla ortaklar ve işbirlikçiler işe alıyor. Recorded Future’daki uzmanların açıkladığı gibi BlackMatter çetesi, kurumsal ağlara yetkisiz erişim sağlayabilen ve daha sonra fidye yazılımı bulaştırılabilen “initial access brokers”(ilk erişim aracıları) işe almak için paylaşımlar yapıyor. BlackMatter ransomware grubu yaptığı paylaşımlarda, Amerika Birleşik Devletleri, İngiltere, Kanada ve Avustralya’da bulunan ve ağlarında 500 ila 15.000 arasında bilgisayara sahip olan büyük kuruluşlara saldırmak için iş ortakları aradığını dile getirdi. BlackMatter grubu açıklamalarında, yıllık geliri 100 milyon dolar ve üzeri olan şirketleri hedeflediklerini ve bu şirketlerin ağlarına erişim sağlayabilecek ortaklarla çalışmak istediğini belirtiyor. BlackMatter ransomware grubu, fidye miktarından pay için 3.000-100.000$ arasında bir ücret ödeyeceğini belirtiyor.. BlackMatter fidye yazılım grubu depozito olarak Exploit forumuna 4 BTC (120.000 $) yatırmış.

‘Etik Kan Emiciler’ Kendi ifadeleri ile etik kan emici BlackMatter ransomware grubu, aşağıda bulunan listedeki kurum ve kuruluşların peşine düşmeyeceğini belirtiyor.

  • Hastaneler
  • Kritik altyapı tesisleri (nükleer santraller, enerji santralleri, su arıtma tesisleri)
  • Petrol ve gaz endüstrisi (boru hatları, petrol rafinerileri)
  • Savunma Sanayii
  • Kar amacı gütmeyen kuruluşlar
  • Hükümetler

Bir fidye yazılım grubunun saldırmama sözüne güvenilmeyeceği bir gerçektir. Ancak BlackMatter fidye yazılım grubu, bu sektörlerden kurbanlar saldırıya uğrarsa, kurbanın verilerinin şifresini ücretsiz olarak çözeceğine söz verdi.

Peki bu olay sizlere de tanıdık geliyor mu? Bunun nedeni, DarkSide fidye yazılım ailesinin de aynı prensibi sergilemesidir. Şimdi sizlere tanıdık gelecek bir prensipten daha bahsedelim; BlackMatter ransomware grubu, saldırıya uğrayan şirket dosyalarının şifresini çözmek için fidye ödemesi yapmayı kabul etmezse, kurbanlarından çaldıkları verileri yayınlamayı planlıyor. Evet REvil grup, fidye ödemesi yapmayan kurbanların verilerini paylaşmakla tehdit ederdi.

Emisosft CTO’su ve fidye yazılımı uzmanı Fabian Wosar paylaştığı tweette eline BlackMatter ransomware grubuna ait bir şifre çözücü geçtiğini ve şifre çözücüyü analiz ettikten sonra, yeni BlackMatter ransomware grubu, DarkSide ransomware grubunun saldırılarında kullandığı şifreleme yöntemlerini kullandığını doğruladı.

BlackMatter grubu tarafından kullanılan şifreleme rutinlerinin, DarkSide grubuna özgü özel bir Salsa20 matrisi de dahil olmak üzere hemen hemen aynı olduğunu söyledi. Bir geliştirici , Salsa20 şifreleme algoritmasını kullanarak verileri şifrelerken , on altı adet 32-bit kelimeden oluşan bir başlangıç ​​matrisi sağlar.

Dosyaları şifrelerken, şifrelenmiş her dosya için sabit dizeler, bir konum, ve anahtar kullanmak yerine Dark Side kelimeleri rastgele verilerle doldururdu. Bu matris daha sonra genel bir RSA anahtarıyla şifrelenir ve şifrelenmiş dosyanın alt bilgisinde saklanır. Salsa20 uygulaması daha önce yalnızca Dark Side tarafından kullanılıyordu. Aynı zamanda BlackMatter da Dark Side gibi şifreleyicilerine özgü bir RSA-1024 uygulaması kullanıyor.

Sonuç olarak yeni ransomware ailesi olan BlackMatter için REvil varisi veya Dark Side varisi demek için yeterli kanıt olmasa da eldeki bilgiler ile bunun mümkün olabileceğini söyleyebiliriz…

Ransomware

CONTI RANSOMWARE

Conti Ransomware grubu, takip ettiğimiz onlarca ransomware grupları arasında en acımasızlarından biri olarak öne çıkıyor. Rus menşeli olduğu tespit edilen ve 2020 yılının ilk çeyreğinde gündeme gelen fidye yazılım grubu, hayatı tehdit edebilecek kuruluşlara saldırmak için bu kurumların BT altyapılarına sızmaya yönelik bir yıldan fazla araştırma yaptı. FBI raporlarına göre hastaneler, acil çağrı hattı, acil tıbbi hizmetler ve kolluk kuvvetleri gibi 16 devlet kurumuna saldırılar gerçekleştirdi. FBI’a bağlı siber ekipler, Conti ransomware grubu tarafından dünya çapında mağdur edilen 400’den fazla kuruluş olduğunu ve bunların arasında 300 civarı kuruluşun ABD’de bulunduğunu belirtti. Saldırıya uğrayan sağlık ve acil müdahale hizmeti veren kuruluşlar ilk sırada yer alması grubun hedef kitlesini anlamakta bizlere yardımcı oluyor. Mayıs ayı ortasında İrlanda Sağlık Bakanlığı’nın tüm bilgi teknolojileri ağının kapatılmasına neden olan, randevuların iptaline, X-ray sistemlerinin kapatılmasına sebebiyet verdi. COVID testlerinde gecikmelere yol açan saldırılar düzenleyen ve 700Gb dosya sızdıran Conti ransomware grubu, İrlanda Sağlık Bakanlığı’ndan şifrelenen dosyalarını kurtarabilmeleri için 19.999.000$ fidye talep etti.

Conti ransomware grubu, orta ila büyük ölçekli işletmeleri hedef alırken, fidye miktarlarını da kuruluşun büyüklüğüne ve ödeme kapasitesine göre belirliyor. Conti ransomware grubu ayrıca, İrlanda Sağlık Bakanlığı örneği gibi fidye taleplerin artmasına neden olan verileri sızdırması da bilinmektedir. Bunlara ek olarak fidye ödeyen ve verilerini kurtarabilmeyi bekleyen düzinelerce Conti kurbanı gördük. Bu bilgiler ile Conti ransomware grubunun da güvenilmez siber suç çetelerinden biri olduğunu söyleyebiliriz.

Adı : Conti Ransomware

Fidye Yazılım Ailesi : Conti

Uzantısı : ” .CONTI”, “.ITTZN”, “.SYTCO” yanı sıra Conti ransomware tarafından şifrelenmiş dosyalar kendi benzersiz uzantılara sahiptir.

Fidye Yazılım Notu : “CONTI_README.txt”, “readme.txt”, “R3ADM3.txt”

Talep Edilen Fidye : Hedef kurum ve kuruluşlara özel fidye miktarı belirleniyor.

İletişim Adresi : mantiticvi1976@protonmail.com fahydremu1981@protonmail.com, frosculandra1975@protonmail.com, trafyralhi1988@protonmail.com, sanctornopul1986@protonmail.com, ringpawslanin1984@protonmail.com, liebupneoplan19@protonmail.com, stivobemun1979@protonmail.com, guifullcharti1970@protonmail.com, phrasitliter1981@protonmail.com, elsleepamlen1988@protonmail.com, southbvilolor1973@protonmail.com, glocadboysun1978@protonmail.com, carbedispgret1983@protonmail.com, listun@protonmail.com, mirtum@protonmail.com, maxgary777@protonmail.com, ranosfinger@protonmail.com, bootsdurslecne1976@protonmail.com, rinmayturly1972@protonmail.com, niggchiphoter1974@protonmail.com, lebssickronne1982@protonmail.com, daybayriki1970@protonmail.com

AV Algılaması : Avast (Win32:Malware-gen), BitDefender (deepscan:Generic.Ransom.Amnesiae.634), ESET-NOD32 (Generik.EBKALVO’nun bir varyantı), Kaspersky (Trojan.Win32.Delshad.cmo)

CONTI fidye yazılımı olarak sınıflandırılan kötü amaçlı bir yazılımdır. Bu kötü amaçlı yazılım ile enfekte olan kurum ve kuruşların sistemlerindeki veriler şifrelenir ve fidye yazılım grubu şifrelenen dosyaların şifrelerini çözmek için kullanılacak şifre çözme araçları için fidye talep eder. Şifreleme işlemi sırasında, şifrelenen tüm dosyaların dosya uzantılarının sonuna “.CONTI” uzantısı eklenir. Örneğin, başlangıçta “1.xlsx” adlı bir excel dosyası şifreleme işleminden sonra “1.xlsx.CONTI olarak görünür.

Şifreleme işlemi tamamlandıktan sonra, saldırıya maruz kalan cihazlara bir metin dosyası (“CONTI_README.txt”) oluşturulur. (“CONTI_README.txt”) olarak oluşturulan metin dosyası kısadır ve basitçe sistemin kilitlendiğini belirtir. Verilerinin şifresini çözmek için, kullanıcılara Conti fidye yazılımlarının arkasındaki siber saldırganlar ile iletişim kurmaları talimatı verilir. Fidye notunda saldırganlarla iletişim kurmak için 2 adet e-mail adresi bulunur. Mesaj, kurbanların dosyalarını kurtarmak için üçüncü taraf şifre çözme araçlarını / yazılımlarını kullanmaması gerektiği uyarısıyla sona erer.

Fidye yazılımı enfeksiyonlarının çoğunda, şifre çözme neredeyse imkansızdır. Bu gibi durumlarda, diğer kaynaklardan elde edilen şifre çözme araçları kalıcı veri kaybına yol açabilir. Doğduran saldırganlarla iletişime geçmeyi kesinlikle tavsiye etmiyoruz. Bu tavsiye, dosyaların şifreli olarak kalmaması ve önemli finansal kayıp yaşamamaları için saldırı mağdurlarına verdiğimiz bir tavsiyedir. Mağdurların yaptığı panik hareketlerden fayda sağlayan saldırganlar, aldıkları ücret karşılığında sundukları vaatleri yerine getirmediği uzun çalışmalarımız sonucu elde ettiğimiz somut bir bilgidir. Ransomware saldırısına maruz kalındığında ilk yapılması gereken CONTI fidye yazılımının daha fazla şifreleme yapmasını önlemek için, işletim sisteminden kaldırılması gerekir, ancak bu zaten şifrelenmiş verileri geri yüklemez.

Ransomware saldırılarına maruz kaldıktan sonra yapılacak en uygulanabilir çözüm, enfeksiyondan önce yapılmış ve ayrı bir konumda saklanmış bir yedekten verilerinize ulaşmaktır. Eğer bir yedeğiniz yoksa yapılacak en iyi hareket paniğe kapılmadan profesyonel bir destek almaktır.

Talep edilen fidye ödemeleri için dijital para birimleri (örneğin kripto para birimleri, ön ödemeli kuponlar vb.) kullanılır, çünkü bu işlemlerin izlenmesi zor/imkansızdır. Veri bütünlüğünü sağlamak için, yedeklemeleri ağdan bağımsız sunucularda veya çevrimdışı depolama aygıtlarında tutmanız önerilir. Mümkünse, birkaç farklı konumda birden fazla yedek almanız sizleri bu gibi saldırılardan kayıpsız bir şekilde kurtaracaktır.

Conti Ransomware Grubu Sürekli Olarak Kendini Güncelliyor

2020 yılının ilk çeyreğinde kendini gösteren Conti ransomware grubu, 2020 Ağustos ayında yaptığı saldırılarda fidye ödemeyi reddeden kurum ve kuruluşların verilerini sızıntı sitesinde paylaşarak tehdit ettiği görülmüştür. Bazı tanınmış şirketler de dahil olmak üzere 20’den fazla kurbanın verilerini yükledikleri bilinmektedir.

Güncelleme sonrası yapılan bir saldırıda bırakılan fidye notunun “readme.txt” olarak değiştirildiği görülmüştür. Aşağıda “readme.txt” fidye notunun bir örneği bulunuyor.

İçinde sunulan metin:

Herhangi bir ek kurtarma yazılımı kullanmaya çalışırsanız - dosyalar zarar görmüş veya kaybolmuş olabilir.
Gerçekten verileri kurtarabildiğimizden emin olmak için - örneklerin şifresini çözmenizi öneriyoruz.
Web sitemiz üzerinden daha fazla bilgi için bizimle iletişime geçebilirsiniz:

TOR bağlantısı

 (önce TOR tarayıcısını indirip hxxps://----)

hxxp://-----

HTTPS VERSION:

hxxps://----

**SAKIN UNUTMAYIN!**

Her ihtimale karşı verilerinizi kendi sunucularımıza yükledik, bizi görmezden gelmeye çalışırsanız ve yanıt vermiyorsanız haber sitesinde yayınlamaya hazırız. Bu yüzden geç olamadan bizimle iletişime geçmeniz her iki taraf için de daha iyi olacaktır.

---BEGIN ID---

---END ID---

Conti ransomware grubu, sürekli olarak conti ransomware fidye yazılımın yeni varyantları yayınlıyor. Bu varyantlarinde fidye yazılımı şifrelenen dosyalara rastgele dosya uzantıları ekliyor. Örneğin; “. YZXXX”, “. YFSEK”, “. FMOPQ”, “. XMEYU”, “. WHAUN”, “. AWSAK”, “. QMIBK”, “. UWTJF”, “. TJMBK”, “. FBSYW”, “. KCWTT”, “. PMQHP”, “. MRBNY”, “. UBCGP”, “. WENWZ”, “. KSLHB”, “. IUAGT”, “. EXQED”, “. JVUAE”, “. RZQNV”, “. MABDG”, “. YTZTG”, “. MYURQ”, “. UQWZI”, “. GFYPK”, “. HJAWF”, “. ALNBR”, “. ICIQE”, “. BGQHM”, “. LCODG”, “. QTBHS”, “. ZXQSZ”, “. UHIPV”, “. AGKBR”, Ancak fidye notları aynı ifadelere yer veriyor. Değişiklik yalnızca e-posta adreslerinde ve metin dosyasının adı [“R3ADM3.txt”] farklıdır.

Conti Ransomware kötü amaçlı fidye yazılımın saldırı vektörleri :

Fidye yazılımı ve diğer kötü amaçlı yazılımların en yaygın bulaşma yöntemleri Truva atları, Phishing e-postaları, yasadışı etkinleştirme (“cracking”) araçları, sahte güncelleyiciler ve güvenilmeyen indirme kaynaklarıdır. Truva atları, zincirleme enfeksiyonlara neden olabilir.

“Phishing e-postaları” terimi, büyük ölçekte gönderilen binlerce aldatıcı / aldatmaca e-postasını tanımlar. Bu mesajlar genellikle “resmi”, “önemli”, “öncelik” vb. olarak hedeflenen kullanıcılara gönderilir. Sosyal mühendislik yapılarak e-postaların içeresinde bulunan kötü amaçlı yazılım hedef kullanıcının cihazına bulaştırılır.

Sahte güncelleyiciler, eski programların kusurlarından yararlanarak veya gerçek güncellemeler yerine kötü amaçlı yazılım yükleyerek sistemlere bulaşır. Resmi olmayan ve ücretsiz dosya barındırma sitelerinden, P2P paylaşım ağlar (BitTorrent, eMule, Gnutella, vb.) ve diğer üçüncü taraf platformlar gibi güvenilir olmayan indirme kanallarından yapılan indirmelerde dosyanın içerisine gizlenmiş olan kötü amaçlı yazılımı cihazınıza bulaştırabilirsiniz. Lisanslı ürünleri etkinleştirmek yerine, yasadışı etkinleştirme (“cracking”) araçları olarak yayınlanan araçların içerisine gizlenmiş olan kötü amaçlı yazılımları bir craking araç olarak cihazınıza indirebilirsiniz ve bu durum sisteminize kötü amaçlı yazılımın bulaşmasına neden olur.

  • Şüpheli veya alakasız e-postaları, özellikle bilinmeyen veya şüpheli adreslerden alınan e-postalar dikkate alınmamalıdır. Şüpheli postalarda bulunan ekler ve bağlantılar hiçbir zaman açılmamalıdır. Bu dosyalar ve bağlantılar olası bir saldırının ilk adımıdır.
  • Tüm indirmeler yalnızca resmi ve doğrulanmış kaynaklardan yapılmalıdır.
  • Programlar, meşru geliştiriciler tarafından sağlanan araçlarla etkinleştirilmeli ve güncellenmelidir. Yüksek riskli oldukları ve kötü amaçlı yazılım bulaşmalarına neden olabilecekleri için yasadışı etkinleştirme (“craking”) araçlarını veya üçüncü taraf güncelleyicileri kullanmayın.
  • Kaliteli bir Antivirüs yazılımı yükleyin ve güncel tutun.
  • Düzenli olarak sistem taramaları yapın ve algılanan tehditlerin/sorunların giderilmesi için bu yazılımı kullanın.
Ransomware

Yoğun Ransomware Saldırıları: Tehdit Altında Olabilirsiniz!!!

Son bir haftada Türkiye genelinde yaşanan yoğun Ransomware saldırıları, dijital güvenliğin önemini bir kez daha vurguluyor. Bu tür saldırılar, bilgisayar sistemlerini kilitleyerek dosyaları şifreleyen ve ardından fidye talep eden kötü amaçlı yazılımlardır. Yıl sonu devir işlemleri, hackerlar için potansiyel bir fırsattır. Bu dönemde kurumlar ve işletmeler, finansal hesaplamaları tamamlamak, raporları düzenlemek ve yeni yıla hazırlanmak için genellikle yoğun bir şekilde çalışırlar. Hackerlar da bu süreci hedef alarak çeşitli saldırı yöntemlerini devreye sokmaktadır.

Özellikle bu dönemde dikkat edilmesi gereken noktalar:

1. Fidye Yazılımları ve Sosyal Mühendislik Saldırıları: Hackerlar, yıl sonu devir işlemlerinin karmaşıklığından yararlanarak çalışanlara sahte e-postalar gönderebilir. Bu e-postalar, önemli belgeleri içeriyor gibi görünür ve çalışanları bu belgeleri açmaya yönlendirmeye çalışır.

2. Sahte Web Siteleri ve Phishing: Finansal işlemler için kullanılan sitelere benzeyen sahte web siteleri oluşturularak kullanıcı bilgileri ele geçirilmeye çalışılabilir. Bu siteler, gerçek sitelerle neredeyse aynı görünebilir ve kullanıcıları yanıltabilir.

3. Zayıf Güvenlik Duvarları: Yıl sonu devir işlemlerinde, saldırganlar zayıf güvenlik duvarlarını hedef alabilir ve bu açıklardan faydalanarak ağlara sızma girişiminde bulunabilirler

Nasıl Korunabilirsiniz?

  • Yazılım ve Güvenlik Güncellemelerini Yapın: İşletim sistemi ve güvenlik yazılımlarınızı düzenli olarak güncelleyin. Güvenlik açıklarını kapatarak saldırılara karşı direncinizi artırabilirsiniz.
  • Güçlü Şifreler Kullanın: Karmaşık, benzersiz şifreler oluşturun ve düzenli olarak değiştirin. İki faktörlü kimlik doğrulama gibi ek güvenlik katmanları da kullanın.
  • Bilinmeyen E-posta ve Bağlantılardan Kaçının: Bilinmeyen kaynaklardan gelen e-postalara veya bağlantılara tıklamaktan kaçının. Bu, kötü amaçlı yazılımların bulaşmasını engelleyebilir.
  • Yedeklemelerinizi Düzenli Olarak Alın: Verilerinizi düzenli olarak yedekleyin ve bu yedekleri güvende tutun. Bu sayede saldırı durumunda veri kaybınızı minimize edebilirsiniz.

Ne Yapmalısınız?

Ransomware saldırısına uğrarsanız:

  • Panik Yapmayın: Durumu sakin bir şekilde ele alın ve hemen profesyonel yardım alın.
  • Sistemlerinizi İzole Edin: Enfekte olmuş sistemleri ağınızdan izole edin ve diğer cihazlara yayılmasını engelleyin.
  • Yetkili Kurumlara Bildirin: Saldırıyı ilgili kurumlara (örneğin, KVKK) bildirin. Bu, saldırının kaydının tutulması ve önlemler alınması açısından önemlidir.

Ransomware saldırılarına karşı bilinçli olmak ve düzenli olarak güvenlik önlemleri almak, ciddi sonuçlardan korunmanıza yardımcı olur.

Sistem Yöneticileri İçin Önlemler: Daha Fazla Güvenlik ve Kontrol

Sistem yöneticileri, Ransomware saldırılarına karşı ek tedbirler almalı ve sürekli olarak güvenlik önlemlerini kontrol etmelidir.

1. Güvenlik Duvarı ve Yazılım Güncellemelerini Takip Edin: Sistem yöneticileri, güvenlik duvarlarını ve güncel yazılımları düzenli olarak kontrol etmeli ve gerekli güncellemeleri zamanında yapmalıdır. Bu, sistemlerin güncel tehditlere karşı daha dirençli olmasını sağlar.

2. Güçlü Yedekleme ve Sıklıkla Kontrol: Yedekleme işlemleri sistem yöneticileri için kritik öneme sahiptir. Düzenli olarak yedek alınmalı ve bu yedeklerin doğru şekilde çalıştığından emin olunmalıdır. Test edilmemiş yedekler, saldırı sonrası kurtarma sürecini zorlaştırabilir, kimi zaman imkansız hale getirebilir.

3. Kullanıcı Eğitimleri ve Bilinçlendirme: Çalışanlara, bilinmeyen e-postalardan gelen bağlantılara tıklamama, şüpheli dosyaları açmama gibi konularda eğitim verilmelidir. Bu, saldırıların önlenmesinde kritik bir rol oynar.

4. Erişim Kontrollerini Güçlendirin: Kullanıcıların erişebileceği sistem ve dosyalarda sıkı erişim kontrolü kurarak yetkilendirme süreçlerini iyileştirin. Böylelikle, saldırı durumunda zararın yayılması önlenir.

5. Acil Durum Planı Oluşturun ve Test Edin: Sistem yöneticileri, olası bir Ransomware saldırısına karşı acil durum planı hazırlamalı ve bu planı düzenli olarak test etmelidir. Ekiplerin saldırı anında ne yapacaklarını bilmeleri önemlidir.

Sistem yöneticileri için bu ek önlemler, kurumsal sistemlerin güvenliğini arttırır ve olası Ransomware saldırılarının etkilerini minimize etmeye yardımcı olur.

Ransomware

Fidye Ödeyenler Verilerini Alamıyor!

Fidye Yazılımı Şoku, ödeme yapanların %92’si verilerini geri alamıyor!

Apple, önemli bir siber suç çetesinin 50 milyon dolarlık fidye yazılımı saldırısına maruz kaldıktan sonra, kuruluşların ödeme yapsalar dahi verilerin geri alınma ihtimalinin ne kadar düşük olduğunu ortaya çıkardı. 23 Nisan’da, REvil fidye yazılımı operasyonunun arkasındaki siber suç çetesi, Apple’dan fidye talep etmek için Quanta Computer sunucularına sızıp henüz yayınlanmamış bazı modellerin çizimlerini ele geçirdi. Zararlı yazılım araştırmaları ile bilinen Bleeping Computer, REvil’in, Apple’a ait ele geçirilen bilgilerin DarkWeb üzerindeki sunuculardan silindiğini bildirdi. Bleeping Computer muhabiri, REvil ve Quanta Computer tarafından oluşturulan özel bir sohbet kanalında, görüşmelerin gerçekleşebilmesi için saldırganların muhabirlerle görüşmeyi bırakma sözü istediğini söyledi. Ayrıca, fidyenin 7 Mayıs’a kadar ödenmesi halinde 50 milyon dolardan 20 milyon dolara düşeceğini belirtti.

REvil, Apple tasarım üreticisi Quanta Computer’a ait bazı yeni Apple ürünlerinin şemalarını çaldığını söyledi. Ardından DarkWeb’de 9to5Mac’in 2021 MacBook Pro ile ilgili olduğunu iddia ettiği birkaç taslak yayınladı.

Siber güvenlik ile ilgili araştırmalar yapan firmalar süreci daha detaylı bir şekilde takibe almaya başladı. Bununla birlikte, ödeme yapılacak olsa bile, yeni araştırma bugün fidye yazılımının şok edici gerçekliğini ortaya koydu: Kuruluşların% 92’si tüm verilerini geri almıyor(!)

Fidye ödemeniz, verilerinizi kurtarmayı garanti etmiyor

Sophos State of Ransomware 2021 raporuna göre, fidye ödemeye karar veren kuruluşların sayısı geçen yıl %26 iken 2021’de bu oran %32’ye yükseldi. Aynı anket, ödeme yapmasına rağmen yalnızca %8’inin tüm verilerini geri aldığını belirtti. Ödeme yapanların yaklaşık üçte biri (% 29), şifrelenmiş verilerin yarısından fazlasına ulaşamadı. Raporda, verileri fidye yazılımı ile şifrelenen kuruluşların sayısı 2020’de %73 iken, 2021’de %54’e düştüğü güzel bir haber gibi görünse de, fidye saldırılarının her geçen gün değişmesi akıllarda sürekli soru işareti bırakıyor. Sophos’un baş araştırmacısı Chester Wisniewski, “”Saldırganların daha büyük ölçekli, genel, otomatik saldırılardan, insanların klavye dokunuşlarını içeren daha hedefli saldırılara doğru hareket ettiğini gördük.”” dedi. Wisniewski şöyle devam etti, “”ve bunun genel iyileştirme maliyetlerini ikiye katladığını ankete yansıdığını görüyoruz.””

Fidye yazılımı kurtarmanın maliyeti 12 ayda 2’ye katlandı

Sophos araştırmacısı, ortalama fidye yazılımı kurtarma maliyetlerinin, bir önceki yıla göre 761.106 dolardan 1.85 milyon dolara çıktığını belirtti. Fidyelerin tutarı, hedef alınan kuruluşun büyüklüğüne ve çalınan verilerin değerine bağlı olarak çok büyük farklılıklar gösterse de Sophos, ödenen fidyelerin ortalama 170.404$ olduğunu belirtti. Quanta ve Apple’dan talep edilen 50 milyon dolar veya Garmin’den talep edilen 10 milyon dolar gibi karşılaştığımız büyük rakamların, saldırılardan etkilenen firmaların fidye ödemeye karar vermeleri halinde ödenen ortalama fidye miktarının şaşırtıcı olmadığını belirtti. Fidye yazılımı bir iştir, kirli, illegal ama yine de bir iştir. Saldırıları gerçekleştiren çeteler iyi organize olmuş, müzakere sürecine alışmış, süreci de iyi kontrol ederek profesyonel olduklarını hissettiriyor.

Bir fidye yazılımı saldırısını neyin oluşturduğunun tanımı değişiyor. Saldırganların, çalınan bilgileri sızdırmamaları karşılığında fidye talep etmesi sıkça karşılaşılan bir durumdur. Ödeme yapmayı reddetmeniz durumunda, sizden ele geçirdikleri bilgileri yayarak itibarınızı hedef alacak yollar deneyebilirler. Ödeme yapmanız durumunda ise verilerinize %8 ihtimalle ulaşabileceksiniz…

Ransomware

Ragnarok (.hela uzantılı) Fidye Virüsü

Hela(Ragnarok) Fidye Virüsü Nedir?

Hela Ransomware, her dosyayı rastgele bir RSA-4096 ve AES-256 anahtarıyla şifreleyip, şifrelenmiş RSA-4096 ve AES-256 anahtarını da, dosyanın içindeki belirli bir ofsete ekler. Böylece hedef sistem içindeki her dosya farklı bir anahtarla şifrelenmiş olur. Şifrelenmiş verilerin çözülmesi içinde RSA özel anahtarı gerekmektedir. (hela fidye virüsü, yayılım esnasında shadow copy leri de siliyor.) Ragnarok fidye yazılım ailesiyle ”.ragnarok_cry”, ”.ragnarok”, ”.rgnk”, ”.odin” varyantlarıyla daha önce karşılaşmıştık. Ragnarok ransomware ailesinin yeni jenerasyonu ”.hela” ile tekrar karşımıza çıkıyor. Hela fidye virüsü sisteme bulaştıktan sonra bütün dosyaları şifreleyerek ulaşılmaz bir hale getirir. Hela fidye virüsü verileri RSA4096 ve AES-256 şifreleme algoritmaları kullanılarak şifreler. Şifreleme işlemi sırasında, etkilenen dosyalara ” .[random_numara].hela ” uzantısı eklenir . Örnek verecek olursak, orijinal olarak ” 1.jpg ” adlı bir fotoğraf dosyası, şifrelemenin ardından ” 1.jpg.08469.hela ” şeklinde bilgisayarınızdaki hiç bir programla açılamayacak bir dosya olarak görünür. Şifreleme işlemi tamamlandıktan sonra, Masaüstüne “!!Read_Me.[random_numara].html” (örn. “!!Read_me.08469.html”) – başlıklı bir fidye notu düşer. Fidye notunun içinde genellikle şifre çözme aracının satın alınmasıyla ilgili bir talimat bulunur. Bu şifre çözme aracı, fidye yazılımı geliştiricileri tarafından oluşturulmuştur. Fidye notu (“!!Beni Oku.[random_numara].html”), kurbanların verilerinin RSA4096 ve AES şifreleme algoritmaları kullanılarak şifrelendiğini bildirir. Ek olarak, fidye notu, özel ve şirketle ilgili içeriğin güvenliği ihlal edilmiş sistemden sızdırıldığını belirtir.

Fidye notu mağdurlara, şifre çözme için ödeme yapmaları gerektiği bildirilir. Siber suçlular, mağdurlara, değerli bilgiler içermeyen şifreli bir dosya göndererek veri kurtarmayı test edebileceklerini söylerler. Fidye notu, bir hafta içinde fidye talepleri yerine getirilmezse, çalınan veriler çevrimiçi olarak yayınlanacağını bildiren talimatlarla sona erer.

Adı : Hela Virüsü

Fidye Yazılım Ailesi : Ragnarok

Uzantısı : .[random_number].hela

Fidye Notu : !!Read_Me.[random_numara].html

Talep Edilen Fidye Tutarı : 40.000$ – 1200.000$ (1 BTC – 30 BTC)

İletişim : CHRISTIAN1986@TUTANOTA.COM ve melling@confidential.tips

AV Algısı : Win32:RansomX-gen [Ransom], Gen:Heur.Ransom.RentS.Gen.1, Win32/Kryptik.HGSY , HEUR:Trojan.Win32.DelShad , Ransom:Win32/Ragnarok.PC!MTB Örnek bir “!!Read_Me.[random_numara].html” dosyası:

Dear Sir
Your files are encrypted with RSA4096 and AES encryption algorithm.
But don't worry, you can return all your files!! follow the instructions to recover your files 
Cooperate with us and get the decrypter program as soon as possible will be your best solution.
Only our software can decrypt all your encrypted files.
What guarantees you have?
We take our reputation seriously. We reject any form of deception
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain any valuable information.
When hiring third-party negotiators or recovery companies. listen to what they tell you. try to think.
Are they really interested in solving your problems or are they just thinking about their profit and ambitions?
By the way. We have stolen lots of your company and your private data which includes doc,xls,pdf,jpg,mdf,sql,pst...
Here we upload sample files of your company and your private data on our blog :
hxxp://sushlnty2j7qdzy64qnvyb6ajkwg7resd3p6agc2widnawodtcedgjid.onion/
We promise that if you don't pay within a week, we will package and publish all of your company and your data on our website.
We also promise we can decrypt all of your data and delete all your files on internet after your payment.
Such leaks of information lead to losses for the company. fines and lawsuits. And don't forget that information can fall into the hands of competitors!
For us this is just business and to prove to you our seriousness.
Our e-mail:
CHRISTIAN1986@TUTANOTA.COM
Reserve e-mail:
melling@confidential.tips

Hela Ransomware Enjeksiyonu Nasıl Olur?

Hela uzantılı fidye virüsü, Phishing E-postaları ve Trojan olarak iki yol ile bulaştığı gözlemlenmiştir. E-postanızda, farklı faturalar ödemeniz veya paketinizi yerel FedEx departmanından almanız gerektiğini belirten birçok mesaj görebilirsiniz. Ancak tüm bu mesajlar, bu şirketlerin tanıdık resmi e-postalarından değil, bilinmeyen e-posta adreslerinden gönderilir. Tüm bu postalar, fidye yazılımı taşıyıcısı olarak kullanılan ekli dosyayı içerir. Bu dosyayı açtığınız anda sisteminize Hela fidye virüsü bulaşacaktır. Bazen Trojan virüsleri, kendilerini yasal programlar olarak gösterecek yöntemler kullanabilir ve fidye yazılımlarını önemli bir güncelleme veya programın düzgün çalışması için gerekli olan büyük bir uzantı paketi olarak indirilmek üzere aldatıcı yöntemler uygulayabilir. İndirdiğiniz dosya ile gelen Hela fidye virüsü dosyayı açtığınız anda sisteminize bulaşabilir.

Fidyeyi ödemeli miyim?

Fidye ödemelerini kesinlikle tavsiye etmiyoruz! Hela Ransomware en tehlikeli fidye virüslerinden biridir. Yalnızca verilerinizi şifrelemekle kalmaz, aynı zamanda bilgisayarınızı boş bir kutu haline getirir ve sizin için birkaç kritik soruna da neden olur. Bir an önce bu sorundan kurtulmak için para ödemeyi düşünüyorsanız, büyük bir hata yapmak üzeresiniz demektir. Fidye talebini yerine getirmek yapılacak en kötü şeydir. Bilgisayarınız zaten tehlikede, verileriniz yüksek risk altında ve suçluların talimatlarını körü körüne takip etmek onların ekmeğine yağ sürmek gibidir. Birçok kurban, işlem tamamlanır tamamlanmaz siber saldırganların kendilerine decryption key bile göndermeden tüm iletişim araçlarını sonlandırırlar.

Fidye ödemeleri, bilgisayar korsanlarının daha fazla suç işlemesine neden olmaktadır. Bilgisayar korsanları verilerinizin şifresini çözse bile, verilerinizin bir kısmı şifreleme esnasında çalıştığı için dosyalarınız bozulmuş olabilir. Bilgisayar korsanları fidye virüsünün güncellenmiş bir sürümünü yayınlar yayınlamaz sisteminize tekrar virüs bulaştırmak için backdoor kodlarını sisteminizin derinliklerinde bırakmış olabilirler. Ayrıca, tarayıcınızda ve diğer zararlı tehditler için arka kapı olarak çalışacak önemli sistem ayarlarında birkaç değişiklik yapar. Ödeme yaptığınızda bile dosyalarınızı geri alacağınızın veya bilgisayar korsanlarının sizi tehdit etmeyi bırakacağının garantisi yoktur.

Hela Fidye Virüsü Bulaştıktan Sonra Ne Yapmalıyım?

Sisteminizi ve önemli verilerinizi korumanın tek yolu .hela fidye virüsünden kurtulmaktır. Bu tehlikeli Ransomware sisteminizde kaldığı sürece verileriniz asla güvende değildir. Bu nedenle, bu tehdidi tüm gizli kodlarıyla birlikte sisteminizden en kısa sürede tamamen kaldırmayı denemelisiniz. Tüm şifrelenmiş dosyaların güvende olduğundan emin olun, çünkü verilerin şifresini çözmek için şifrelenmiş dosyalara ihtiyacınız olacaktır. Hela fidye virüsünün sisteminizden tamamen silindiğinden emin olduktan sonra, sisteminizi geri yükleyerek tüm önemli dosyaları yükleyebilirsiniz. Kullanılabilir bir yedekleme dosyası yoksa, dosyalarınızı güvenli bir şekilde geri yüklemek için bu konuda uzman kişilerle iletişime geçmeden hiç bir işlem yapmamaya dikkat etmeniz gerekmektedir.

Ransomware

LMAS Fidye Virüsü Nedir?

LMAS fidye virüsü, STOP/DJVU fidye virüsü ailesine ait, belgelerinizi şifreleyen ve daha sonra bunları çözmek için ödeme yapmaya zorlayan bir virüs çeşididir. Djvu/STOP fidye yazılımı ailesi, ilk olarak virüs analisti (Malware Hunter) Michael Gillespie tarafından keşfedildi).

LMAS virüsü temelde diğer DJVU ailesine benzer (fdcz, reig, ekvf, , Urnb, Ytbn) bir karakteristik bir yapıya sahiptir. Bu virüs, bilinen tüm yaygın dosya çeşitlerini şifreler ve tüm dosyalara özel “.lmas” uzantısını ekler. Örneğin, “1.jpg” dosyası “1.jpg.lmas”olarak değiştirir. Şifreleme başarıyla tamamlandıktan sonra, iletişim kurmak ve fidye talep etmek için her klasörün içerisine “_readme.txt” adında bir txt dosyası ekler.

Adı: LMAS Fidye Virüsü

Fidye yazılımı ailesi: DJVU/STOP

Uzantısı: .LMAS

Fidye yazılımı notu: _lmas.txt

Talep Edilen Fidye: 490$ – 980$ (Bitcoin cinsinden)

Iletişim: helpteam@mail.ch, helpmanager@airmail.cc

AV Algılaması: Trojan-Dropper.Win32.Scrop.huv, Win32:Unitrix, Truva Atı:Win32/Occamy.C8A

Belirtileri:

Dosyalarınızın çoğunu (fotoğraflar, videolar, belgeler) şifreler ve “.lmas” uzantısı ekler; Kurbanın verileri geri yükleme girişimlerini imkansız hale getirmek için gölge kopyalarını silebilir; Güvenlikle ilgili belirli sitelere erişimi engellemek için HOSTS dosyasına etki alanlarının listesini ekler; Azorult Spyware gibi sisteme şifre çalan Truva atı yükler.

DJVU/STOP virüsü tarafından kullanılan şifreleme algoritması AES-256’dır. Yani, belgeleriniz tamamen benzersiz olan çevrimiçi bir şifre çözme anahtarıyla şifrelendiyse, maalesef ki, benzersiz anahtar olmadan dosyaların şifresini çözmek imkansızdır. LMAS çevrimiçi modda çalıştıysa, AES-256 anahtarına erişmeniz imkansızdır. LMAS virüsünün çözme anahtarları siber korsanların sahip olduğu uzak bir sunucuda saklanır.

Şifre çözme anahtarını almak için 980$ fidye talep edilmektedir. Ödeme ayrıntılarını öğrenmek için, kurbanların e-posta yoluyla iletişime geçmeleri için yönlendirilir (helpteam@mail.ch).

LMAS fidye virüsüne ait örnek virüs notu aşağıdaki gibidir:

ATTENTION!

Don't worry. You can return all your files!

All your files like photos, databases, documents, and other important are encrypted with the strongest encryption and unique key.
The only method of recovering files is to purchase a decrypt tool and unique key for you.
This software will decrypt all your encrypted files.

What guarantees you have?

You can send one of your encrypted files from your PC, and we decrypt it for free.
But we can decrypt only 1 file for free. The file must not contain valuable information.

You can get and look video overview decrypt tool:

https://we.tl/t-WJa63R98Ku

The price of private keys and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's the price for you is $490.

Please note that you'll never restore your data without payment.

Check your e-mail "Spam" or "Junk" folder if you don't get an answer in more than 6 hours.

To get this software you need writes on our e-mail:

helpteam@mail.ch

Reserve an e-mail address to contact us:

helpmanager@airmail.cc

Your personal ID:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 

LMAS Fidye Virüsü için ödeme yapmadan önce mutlaka okuyun!

Kullanılabilir yedeklemeleri deneyin veya alanında uzman biriyle iletişime geçin!

_readme.txt dosyası içerisinde, şifrelenen dosyalar için 72 saat içerisinde LMAS zararlı yazılım sahipleri ile iletişime geçmeleri gerektiğini bellirten bir not bulunur. 72 saat içinde iletişime geçmeniz şartıyla, kurbanlara % 50 indirim uygulanacağı belirtilir. Böylece fidye miktarı 490$’a kadar indirilecektir). Ancak, fidyeyi ödemekten kesinlikle uzak durun!

Kesinlikle siber korsanlarla iletişime geçmemenizi ve ödeme yapmamanızı öneririz. Kayıp verileri kurtarmak için en gerçek çözümlerinden biri mevcut yedeklemeleri kullanarak veya alanında uzman bir ekiple iletişime geçmektir.

Şifrelenmiş verileriniz üzerinde bilinçsizce yapılacak işlemler verilerinize ulaşmanızı sağlamayacağı gibi kalıcı veri kayıplarına da sebebiyet verebilir. Değerli verilerinizin kaybolmasını önlemek için tek çözüm, önemli dosyalarınızın yedeklerini düzenli olarak fiziksel olarak harici bir ortamda saklamaktır. Örneğin, yedeklemelerinizi USB flash sürücü, ağdan gerektiğinde izole edilebilecek bir ağ depolama (NAS) cihazına veya başka bir harici sabit sürücü depolama alanında tutulabilirsiniz. İsteğe bağlı olarak, çevrimiçi (bulut) depolama çözümüne de başvurabilirsiniz.

Ransomware

WRUI Fidye Virüsü Nedir?

Wrui fidye virüsü, STOP/DJVU fidye virüsü ailesine ait, belgelerinizi şifreleyen ve daha sonra bunları çözmek için ödeme yapmaya zorlayan bir virüs çeşididir. Djvu/STOP fidye yazılımı ailesi, ilk olarak virüs analisti (Malware Hunter) Michael Gillespie tarafından keşfedildi).

Wrui virüsü temelde diğer DJVU ailesine benzer (, Urnb, Ytbn) bir karakteristik bir yapıya sahiptir. Bu virüs, bilinen tüm yaygın dosya çeşitlerini şifreler ve tüm dosyalara özel “.wrui” uzantısını ekler. Örneğin, “1.jpg” dosyası “1.jpg.wrui”olarak değiştirir. Şifreleme başarıyla tamamlandıktan sonra, iletişim kurmak ve fidye talep etmek için her klasörün içerisine “_readme.txt” adında bir txt dosyası ekler.

Adı: Wrui Virüs

Fidye yazılımı ailesi: DJVU/STOP fidye yazılımı

Uzantısı: .wrui

Fidye yazılımı notu: _readme.txt

Talep Edilen Fidye: 490$ – 980$ (Bitcoin cinsinden)

Iletişim: helpteam@mail.ch, helpmanager@airmail.cc

AV Algılaması: Win32/Keygen.AOO potansiyel olarak güvensiz, Ransom:Win64/DelShad! MSR, Win32:SwPatch [Wrm]

Belirtileri:

Dosyalarınızın çoğunu (fotoğraflar, videolar, belgeler) şifreler ve “.wrui” uzantısı ekler; Kurbanın verileri geri yükleme girişimlerini imkansız hale getirmek için gölge kopyalarını silebilir; Güvenlikle ilgili belirli sitelere erişimi engellemek için HOSTS dosyasına etki alanlarının listesini ekler; Azorult Spyware gibi sisteme şifre çalan Truva atı yükler.

DJVU/STOP virüsü tarafından kullanılan şifreleme algoritması AES-256’dır. Yani, belgeleriniz tamamen benzersiz olan çevrimiçi bir şifre çözme anahtarıyla şifrelendiyse, maalesef ki, benzersiz anahtar olmadan dosyaların şifresini çözmek imkansızdır. Wrui çevrimiçi modda çalıştıysa, AES-256 anahtarına erişmeniz imkansızdır. Wrui virüsünün çözme anahtarları siber korsanların sahip olduğu uzak bir sunucuda saklanır.

Şifre çözme anahtarını almak için 980$ fidye talep edilmektedir. Ödeme ayrıntılarını öğrenmek için, kurbanların e-posta yoluyla iletişime geçmeleri için yönlendirilir (helpteam@mail.ch).

Wrui fidye virüsüne ait örnek virüs notu aşağıdaki gibidir:

ATTENTION!

Don't worry, you can return all your files!

All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.

What guarantees you have?

You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.

You can get and look video overview decrypt tool:

https://we.tl/t-WJa63R98Ku

Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.

Please note that you'll never restore your data without payment.

Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:

helpteam@mail.ch

Reserve e-mail address to contact us:

helpmanager@airmail.cc

Your personal ID:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Wrui Fidye Virüsü için ödeme yapmadan önce mutlaka okuyun!

Kullanılabilir yedeklemeleri deneyin veya alanında uzman biriyle iletişime geçin!

_readme.txt dosyası içerisinde, şifrelenen dosyalar için 72 saat içerisinde Wrui zararlı yazılım sahipleri ile iletişime geçmeleri gerektiğini bellirten bir not bulunur. 72 saat içinde iletişime geçmeniz şartıyla, kurbanlara % 50 indirim uygulanacağı belirtilir. Böylece fidye miktarı 490$’a kadar indirilecektir). Ancak, fidyeyi ödemekten kesinlikle uzak durun!

Kesinlikle siber korsanlarla iletişime geçmemenizi ve ödeme yapmamanızı öneririz. Kayıp verileri kurtarmak için en gerçek çözümlerinden biri mevcut yedeklemeleri kullanarak veya alanında uzman bir ekiple iletişime geçmektir.

Şifrelenmiş verileriniz üzerinde bilinçsizce yapılacak işlemler verilerinize ulaşmanızı sağlamayacağı gibi kalıcı veri kayıplarına da sebebiyet verebilir. Değerli verilerinizin kaybolmasını önlemek için tek çözüm, önemli dosyalarınızın yedeklerini düzenli olarak fiziksel olarak harici bir ortamda saklamaktır. Örneğin, yedeklemelerinizi USB flash sürücü, ağdan gerektiğinde izole edilebilecek bir ağ depolama (NAS) cihazına veya başka bir harici sabit sürücü depolama alanında tutulabilirsiniz. İsteğe bağlı olarak, çevrimiçi (bulut) depolama çözümüne de başvurabilirsiniz.

Ransomware

PCQQ Fidye Virüsü Nedir?

PCQQ fidye virüsü, STOP/DJVU fidye virüsü ailesine ait, belgelerinizi şifreleyen ve daha sonra bunları çözmek için ödeme yapmaya zorlayan bir virüs çeşididir. Djvu/STOP fidye yazılımı ailesi, ilk olarak virüs analisti (Malware Hunter) Michael Gillespie tarafından keşfedildi).

Pcqq virüsü temelde diğer DJVU ailesine benzer (Lmas, Urnb, Ytbn, wrui, ) karakteristik bir yapıya sahiptir. Bu virüs, bilinen tüm yaygın dosya çeşitlerini şifreler ve tüm dosyalara özel “.pcqq” uzantısını ekler. Örneğin, “1.jpg” dosyası “1.jpg.pcqq “olarak değiştirir. Şifreleme başarıyla tamamlandıktan sonra, iletişim kurmak ve fidye talep etmek için her klasörün içerisine “_readme.txt” adında bir txt dosyası ekler.

Adı: PCQQ

Fidye yazılımı ailesi: DJVU/STOP

Uzantısı: .pcqq

Fidye yazılımı notu: _readme.txt

Talep Edilen Fidye: 490$ – 980$ (Bitcoin cinsinden)

Iletişim: helpteam@mail.ch, helpmanager@airmail.cc

AV Algılaması:

Belirtileri:

Dosyalarınızın çoğunu (fotoğraflar, videolar, belgeler) şifreler ve “.pcqq” uzantısı ekler; Kurbanın verileri geri yükleme girişimlerini imkansız hale getirmek için gölge kopyalarını silebilir; Güvenlikle ilgili belirli sitelere erişimi engellemek için HOSTS dosyasına etki alanlarının listesini ekler; Azorult Spyware gibi sisteme şifre çalan Truva atı yükler.

DJVU/STOP virüsü tarafından kullanılan şifreleme algoritması AES-256’dır. Yani, belgeleriniz tamamen benzersiz olan çevrimiçi bir şifre çözme anahtarıyla şifrelendiyse, maalesef ki, benzersiz anahtar olmadan dosyaların şifresini çözmek imkansızdır. Pcqq çevrimiçi modda çalıştıysa, AES-256 anahtarına erişmeniz imkansızdır. Pcqq virüsünün çözme anahtarları siber korsanların sahip olduğu uzak bir sunucuda saklanır.

Şifre çözme anahtarını almak için 980$ fidye talep edilmektedir. Ödeme ayrıntılarını öğrenmek için, kurbanların e-posta yoluyla iletişime geçmeleri için yönlendirilir (helpteam@mail.ch).

Pcqq fidye virüsüne ait örnek virüs notu aşağıdaki gibidir:

ATTENTION!

Don't worry, you can return all your files!

All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.

What guarantees you have?

You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.

You can get and look video overview decrypt tool:

https://we.tl/t-WJa63R98Ku

Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.

Please note that you'll never restore your data without payment.

Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:

helpteam@mail.ch

Reserve e-mail address to contact us:

helpmanager@airmail.cc

Your personal ID:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 

Pcqq Fidye Virüsü için ödeme yapmadan önce mutlaka okuyun!

Kullanılabilir yedeklemeleri deneyin veya alanında uzman biriyle iletişime geçin!

_readme.txt dosyası içerisinde, şifrelenen dosyalar için 72 saat içerisinde Pcqq zararlı yazılım sahipleri ile iletişime geçmeleri gerektiğini bellirten bir not bulunur. 72 saat içinde iletişime geçmeniz şartıyla, kurbanlara % 50 indirim uygulanacağı belirtilir. Böylece fidye miktarı 490$’a kadar indirilecektir). Ancak, fidyeyi ödemekten kesinlikle uzak durun!

Kesinlikle siber korsanlarla iletişime geçmemenizi ve ödeme yapmamanızı öneririz. Kayıp verileri kurtarmak için en gerçek çözümlerinden biri mevcut yedeklemeleri kullanarak veya alanında uzman bir ekiple iletişime geçmektir.

Şifrelenmiş verileriniz üzerinde bilinçsizce yapılacak işlemler verilerinize ulaşmanızı sağlamayacağı gibi kalıcı veri kayıplarına da sebebiyet verebilir. Değerli verilerinizin kaybolmasını önlemek için tek çözüm, önemli dosyalarınızın yedeklerini düzenli olarak fiziksel olarak harici bir ortamda saklamaktır. Örneğin, yedeklemelerinizi USB flash sürücü, ağdan gerektiğinde izole edilebilecek bir ağ depolama (NAS) cihazına veya başka bir harici sabit sürücü depolama alanında tutulabilirsiniz. İsteğe bağlı olarak, çevrimiçi (bulut) depolama çözümüne de başvurabilirsiniz.

Pcqq Bilgisayarıma Nasıl Bulaştı?

Pcqq, sisteminize bulaşabilmek için çeşitli yöntemlere sahiptir. Eğer sisteminize bir defa bulaştıysa hangi yöntemle bulaştığı artık önemli değildir.

Crackithub[.]com, kmspico10[.]com, crackhomes[.]com, piratepc[.]net — gibi fidye virüsü dağıtılmasına olanak sağlayan siteler başlıca sebepler arasında yer alır. Bu virüsler, belirtilen sitelerinden indirilen herhangi bir PC’ye bulaşabilir ve sistemlerinize zarar verebilir.

Belirtilen sitelerden örnek zararlı içerik barındıran linkler:

xxxxs://crackithub[.]com/adobe-acrobat-pro/ xxxxs://crackithub[.]com/easyworship-7-crack/ xxxxs://kmspico10[.]com/ xxxxs://kmspico10[.]com/office-2019-activator-kmspico/ xxxxs://piratepc[.]net/category/activators/ xxxxs://piratepc[.]net/startisback-full-cracked/

Pcqq fidye virüsü özelinde bundan sonraki süreçte cihazınıza fidye virüsü benzeri zararlı yazılımların bulaşmasını önlemek için ne yapmalısınız?

Sisteminizin zarar görmesini önlemek için% 100 garanti olmasa da, fidye virüsü, trojan, backdoor, worm vb zararlı yazılımlardan korunmak için size vermek istediğimiz bazı ipuçları var.

Kötü amaçlı yazılımlar kendisini gizlemek için bazı özel ayarlar kullanırlar. Mevcut çalışan programlarınızın listelendiği “Görev Yöneticisi”nde görünmeyecek şekilde kendisini gizleyecektir. Sıkça kullanılan sistem uygulamalarının isimlerine benzer isimlerle tespit edilebilirliğini azaltacaktır. Sisteminizi başlattığınız andan itibaren arka planda düzenli olarak çalışıp sisteminize zarar verecek kötü amaçlı aktivitelerini gerçekleştirmeye devam edecektir. Şüpheli e-postaları ve bunların eklerinde iletilen dosyaları açmayın. Bilinmeyen adreslerden ve güvenilirliğinden emin olmadığınız dosyaları açmayın. Mutlaka güncel bir antivirüs yazılımı kullanın ve iş ortamınıza uygun bir şekilde gerekli konfigürasyonları yetkili birine yaptırın.

Ransomware

IGVM Fidye Virüsü Nedir?

IGVM fidye virüsü, STOP/DJVU fidye virüsü ailesine ait, belgelerinizi şifreleyen ve daha sonra bunları çözmek için ödeme yapmaya zorlayan bir virüs çeşididir. Djvu/STOP fidye yazılımı ailesi, ilk olarak virüs analisti (Malware Hunter) Michael Gillespie tarafından keşfedildi).

Igvm virüsü temelde diğer DJVU ailesine benzer (Lmas, Urnb, Ytbn, wrui, pcqq ) karakteristik bir yapıya sahiptir. Bu virüs, bilinen tüm yaygın dosya çeşitlerini şifreler ve tüm dosyalara özel “.igvm” uzantısını ekler. Örneğin, “1.jpg” dosyası “1.jpg.igvm “olarak değiştirir. Şifreleme başarıyla tamamlandıktan sonra, iletişim kurmak ve fidye talep etmek için her klasörün içerisine “_readme.txt” adında bir txt dosyası ekler.

Adı: IGVM

Fidye yazılımı ailesi: DJVU/STOP

Uzantısı: .igvm

Fidye yazılımı notu: _readme.txt

Talep Edilen Fidye: 490$ – 980$ (Bitcoin cinsinden)

Iletişim: helpteam@mail.ch, helpmanager@airmail.cc

AV Algılaması: TROJAN-RANSOM.WİN32.CRYPTODEF

Belirtileri:

Dosyalarınızın çoğunu (fotoğraflar, videolar, belgeler) şifreler ve “.igvm” uzantısı ekler; Kurbanın verileri geri yükleme girişimlerini imkansız hale getirmek için gölge kopyalarını silebilir; Güvenlikle ilgili belirli sitelere erişimi engellemek için HOSTS dosyasına domain listesini ekler.

DJVU/STOP virüsü tarafından kullanılan şifreleme algoritması AES-256’dır. Yani, belgeleriniz tamamen benzersiz olan çevrimiçi bir şifre çözme anahtarıyla şifrelendiyse, maalesef ki, benzersiz anahtar olmadan dosyaların şifresini çözmek imkansızdır. Igvm çevrimiçi modda çalıştıysa, AES-256 anahtarına erişmeniz imkansızdır. igvm virüsünün çözme anahtarları siber korsanların sahip olduğu uzak bir sunucuda saklanır.

Şifre çözme anahtarını almak için 980$ fidye talep edilmektedir. Ödeme ayrıntılarını öğrenmek için, kurbanların e-posta yoluyla iletişime geçmeleri için yönlendirilir (helpteam@mail.ch).

Igvm fidye virüsüne ait örnek virüs notu aşağıdaki gibidir:

ATTENTION!

Don't worry, you can return all your files!

All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.

What guarantees you have?

You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.

You can get and look video overview decrypt tool:

https://we.tl/t-WJa63R98Ku

Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.

Please note that you'll never restore your data without payment.

Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:

helpteam@mail.ch

Reserve e-mail address to contact us:

helpmanager@airmail.cc

Your personal ID:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 

Igvm Fidye Virüsü için ödeme yapmadan önce mutlaka okuyun!

Kullanılabilir yedeklemeleri deneyin veya alanında uzman biriyle iletişime geçin!

_readme.txt dosyası içerisinde, şifrelenen dosyalar için 72 saat içerisinde Igvm zararlı yazılım sahipleri ile iletişime geçmeleri gerektiğini bellirten bir not bulunur. 72 saat içinde iletişime geçmeniz şartıyla, kurbanlara % 50 indirim uygulanacağı belirtilir. Böylece fidye miktarı 490$’a kadar indirilecektir). Ancak, fidyeyi ödemekten kesinlikle uzak durun!

Kesinlikle siber korsanlarla iletişime geçmemenizi ve ödeme yapmamanızı öneririz. Kayıp verileri kurtarmak için en gerçek çözümlerinden biri mevcut yedeklemeleri kullanarak veya alanında uzman bir ekiple iletişime geçmektir.

Şifrelenmiş verileriniz üzerinde bilinçsizce yapılacak işlemler verilerinize ulaşmanızı sağlamayacağı gibi kalıcı veri kayıplarına da sebebiyet verebilir. Değerli verilerinizin kaybolmasını önlemek için tek çözüm, önemli dosyalarınızın yedeklerini düzenli olarak fiziksel olarak harici bir ortamda saklamaktır. Örneğin, yedeklemelerinizi USB flash sürücü, ağdan gerektiğinde izole edilebilecek bir ağ depolama (NAS) cihazına veya başka bir harici sabit sürücü depolama alanında tutulabilirsiniz. İsteğe bağlı olarak, çevrimiçi (bulut) depolama çözümüne de başvurabilirsiniz.

Igvm Bilgisayarıma Nasıl Bulaştı?

Igvm, sisteminize bulaşabilmek için çeşitli yöntemlere sahiptir. Eğer sisteminize bir defa bulaştıysa hangi yöntemle bulaştığı artık önemli değildir. Fakat başlıca sebepleri arasında güvenilir kaynaklardan elde edilmeyen uygulamalarla birlikte gelen gizli kurulum, özellikle ücretsiz paylaşılan crackli yardımcı programlar başlıca bulaşma sebepleri arasındadır. Bilgisayar kullanıcılarının çevrimiçi ücretsiz ve crackli yazılım elde etmek için kullandığı yasa dışı eşler arası (P2P) kaynakları da fidye virüslerinin bulaşması noktasında yaygın olarak görülen sebeplerdir. Bunun haricinde kurumsal firmalara yönelik, Igvm virüsünü yüklemeye ikna etmek için oluşturulan spam e-postalardır.

Crackithub[.]com, kmspico10[.]com, crackhomes[.]com, piratepc[.]net — gibi
fidye virüsü dağıtılmasına olanak sağlayan siteler başlıca sebepler arasında yer alır.
Bu virüsler, belirtilen sitelerden indirilen herhangi bir
PC’ye bulaşabilir ve sistemlerinize zarar verebilir.

Belirtilen sitelerden örnek zararlı içerik barındıran linkler:

xxxxs://crackithub[.]com/adobe-acrobat-pro/ xxxxs:
//crackithub[.]com/easyworship-7-crack/ xxxxs://kmspico10[.]com/ xxxxs://kmspico10[.]com/
office-2019-activator-kmspico/ xxxxs://piratepc[.]net/category/activators/
xxxxs://piratepc[.]net/startisback-full-cracked/

Igvm fidye virüsü özelinde bundan sonraki süreçte cihazınıza fidye virüsü benzeri zararlı yazılımların bulaşmasını önlemek için ne yapmalısınız?

Sisteminizin zarar görmesini önlemek için% 100 garanti olmasa da, fidye virüsü, trojan, backdoor, worm vb zararlı yazılımlardan korunmak için size vermek istediğimiz bazı ipuçları var.

Kötü amaçlı yazılımlar kendisini gizlemek için bazı özel ayarlar kullanırlar. Mevcut çalışan programlarınızın listelendiği “Görev Yöneticisi”nde görünmeyecek şekilde kendisini gizleyecektir. Sıkça kullanılan sistem uygulamalarının isimlerine benzer isimlerle tespit edilebilirliğini azaltacaktır. Sisteminizi başlattığınız andan itibaren arka planda düzenli olarak çalışıp sisteminize zarar verecek kötü amaçlı aktivitelerini gerçekleştirmeye devam edecektir. Şüpheli e-postaları ve bunların eklerinde iletilen dosyaları açmayın. Bilinmeyen adreslerden ve güvenilirliğinden emin olmadığınız dosyaları açmayın. Mutlaka güncel bir antivirüs yazılımı kullanın ve iş ortamınıza uygun bir şekilde gerekli konfigürasyonları yetkili birine yaptırın.

Şayet “IGVM” uzantılı fidye virüsü saldırısına maruz kaldıysanız bu konuda destek isteyebilir ve dosyalarınızın analizini talep edebilirsiniz.

Ransomware

Jessy Uzantılı Fidye Virüsü Nedir?

“.jessy” uzantılı fidye virüsü, “Dharma” ransomware ailesine ait bir fidye yazılım çeşididir. Bir sisteme bulaştıktan sonra dosyaları şifreler, yeniden adlandırır ve iletişim kurabilmek için genellikle her klasörün içerisine bir txt doyası oluşturur. Bulaştığı her cihaz için bir ID oluşturur ve iletişim kurmak, ücret talep etmek vb işlemleri için bu ID numarasını baz alır. Oluşturulan her ID’nin sonuna iletişim için jessymail26@aol.com e-posta adresini ekler. Dosyaları şifreledikten sonra dosya adlarına “.jessy” uzantısını ekleyerek dosyaları yeniden adlandırır. Örneğin, “local.txt” dosyasını “local.txt.id[jessymail26@aol.com].Jessy olarak yeniden adlandırır. Bulaştığı sistemlerde aşağıdakine benzer virüs notu olarak tabir ettiğimiz notu bırakarak iletişime geçmenizi ister;

All your files have been encrypted! All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail jessymail26@aol.com Write this ID in the title of your message XXXXXX In case of no answer in 24 hours write us to theese e-mails:jessymail26@aol.com You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. Free decryption as guarantee Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) How to obtain Bitcoins The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click ‘Buy bitcoins’, and select the seller by payment method and price. hxxps://localbitcoins[dot]com/buy_bitcoins Also you can find other places to buy Bitcoins and beginners guide here: hxxps://www.coindesk[dot]com/information/how-can-i-buy-bitcoins/ Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Tüm dosyaları şifreyip uzantılarını değiştirdikten sonra her klasör içerisine “info.txt” veya “info.hta” ismi ile bir bilgilendirme dosyası oluşturur. Bu dosya içerisinde saldırgan ile nasıl iletişime geçeceğiniz, ödemeyi hangi şekilde yapacağınız, şifrelenen dosyalara müdahale etmemeniz gerektiği vb notlar bırakılır. Bırakılan not içerisinde saldırgan ile belirtilen mail adresleri üzerinden iletişime geçilmesi gerektiği, 24 saat içerisinde cevap verilmediği takdirde “TOR BROWSER” aracılığıyla belirtlen link ile iletişime geçilmesini belirten notlar bıraklıyor. İletişime geçtikten sonra, güven sağlamak amacıyla istedikleri miktarda fidyeyi alabilmek için bir kısım dosyayı ücretsiz olarak çözme “hizmeti” veriyor. Unutulmamalıdır sistemlerinize fidye virüsü bulaştırıp sizden ücret talep eden siber korsanlar, ödemeyi aldıktan sonra sizinle iletişimi kesebilirler. Fidye yazılımı geliştiricilerinin ödemeden sonra bile şifre çözme araçları / anahtarları göndermediğini unutmayın. Daha önce yaşanmış bir çok vakada olduğu gibi siber korsanlara güvenen kişiler genellikle dolandırılıyor. Fidye virüsüne maruz kalmadan önce mutlaka çalışan bir yedeğiniz olduğundan emin olun. Fidye virüsü saldırılarından minimum düzeyde etkilenmenin yolu her zaman çalışan ve güncel bir yedeğinizin olmasıdır.

Şayet “.jessy” uzantılı fidye virüsü saldırısına maruz kaldıysanız bu konuda destek isteyebilir ve dosyalarınızın ücretsiz olarak analizini talep edebilirsiniz.

Ransomware

Lockbit Ransomware Güncel Saldırılar

LockBit fidye yazılımı grubu, FBI ve diğer uluslararası kolluk kuvvetleri tarafından gerçekleştirilen bir operasyonda kısa süreliğine zayıflatılmıştı. Fakat grup, beklenmedik bir şekilde hızlı bir toparlanma göstererek saldırılarına aralıksız devam ediyor. Bu durum siber güvenlik uzmanları tarafından endişeyle karşılanıyor.

Operasyonun Etkileri:

  • Operasyon sonucunda LockBit’in altyapısı ele geçirilerek fidye yazılımı anahtarları ele geçirildi.
  • Bu sayede birçok kurumun şifrelenen sistemleri ücretsiz olarak kurtarıldı.
  • LockBit’in liderlerinden biri de Ukrayna’da tutuklandı.

Hızlı Toparlanma:

  • LockBit, kısa sürede yeniden faaliyete geçti.
  • Grup, saldırılarını daha da çeşitlendirerek ve yeni yöntemler kullanarak devam ediyor.
  • LockBit’in arkasındaki suç örgütünün oldukça geniş ve organize olduğu düşünülüyor.

Endişeler:

  • LockBit’in hızlı toparlanması, fidye yazılımı ile mücadelenin ne kadar zor olduğunu gösteriyor.
  • Bu tür operasyonlar, suçluları caydırmada yetersiz kalabiliyor.
  • Siber güvenlik uzmanları, kurumların fidye yazılımı saldırılarına karşı daha proaktif olması gerektiği konusunda uyarıyor.

Tarih: 2024-02-28

Lockbit ransomware grubunun 28 Şubat 2024 tarihinde 3 yeni firmayı daha kurban listesine eklediği tehdit istihbaratı ekiplerimizce tespit edilmiştir.

Saldırıya Uğrayan Firmalar:

  • Sundbirsta (sundbirsta.com): İsveç menşeli bir bilişim teknolojileri danışmanlık firması.
  • Vertdure (vertdure.com): ABD menşeli bir tarım teknolojisi şirketi.
  • BMC-CPA (bmc-cpa.com): ABD menşeli bir muhasebe ve danışmanlık firması.

Saldırı Hakkında Bilgiler:

  • Saldırıların detayları ve hangi tür verilerin çalındığı hala tam olarak bilinmemektedir.
  • Lockbit, kurbanlardan fidye talep etmektedir ve fidyenin ödenmemesi halinde çalınan verileri yayınlamakla tehdit etmektedir.
  • Saldırıların etkisi ve firmaların ne tür adımlar atacağı henüz netlik kazanmadı.

Öneriler:

  • Siber saldırılara karşı her zaman tetikte olmak ve gerekli güvenlik önlemlerini almak son derece önemlidir.
  • Güçlü ve benzersiz parolalar kullanmak, güncellemeleri takip etmek ve verileri yedeklemek gibi temel adımlar siber güvenliğinizi arttıracaktır.
  • Saldırıya uğrayan firmaların gerekli mercilere ve siber güvenlik uzmanlarına başvurması tavsiye edilir.
  • LockBit’in yeniden yükselişi, fidye yazılımı tehdidinin hala devam ettiğini ve bu alandaki mücadelede daha fazla çaba gösterilmesi gerektiğini gösteriyor. Kurumlar, bu tür saldırılara karşı gerekli önlemleri alarak risklerini en aza indirmelidir.
Ransomware

OYAK Savunma ve Güvenlik Sistemlerine Ransomware Saldırısı

Olay:

2024-03-15 tarihinde OYAK Savunma ve Güvenlik Sistemleri, LockBit fidye grubu tarafından gerçekleştirilen bir ransomware saldırısına maruz kaldı. Saldırıda 720 GB büyüklüğünde veri ele geçirildi.

Özet:

  • OYAK Savunma ve Güvenlik Sistemleri, LockBit fidye grubu tarafından ransomware saldırısına uğradı.
  • Sızdırılan verilerin büyüklüğü yaklaşık 720 GB.
  • Fidyeyi 22 Mart’a kadar ödemezlerse veriler kamuya açık hale getirilecek.
  • Sızdırılan veriler arasında bütçeler, bilançolar, sözleşmeler, kimlik fotoğrafları ve daha fazlası var.

Detaylar:

  • Saldırı: OYAK Savunma ve Güvenlik Sistemleri, LockBit fidye grubu tarafından ransomware saldırısına uğradı. Saldırıda 720 GB’lık verinin ele geçirildiği belirtildi.
  • Fidye: LockBit, fidyenin 22 Mart 2024 tarihine kadar ödenmemesi halinde tüm verileri kamuya açık bir şekilde paylaşacağını bildirdi.
  • Sızdırılan Veriler: Sızdırılan veriler arasında 2024 yılı planlanan bütçe, departman bütçeleri, gelir tabloları, bilanço bilgileri, KDV bilgileri, varlık ve kaynak bilgileri, SGK payları, ortak giderler, hak edişler, bütçe tahminleri, sözleşme ve teklif bilgileri, gider bilgileri, proje bilgileri ve kimlik fotoğrafları yer alıyor.

Saldırının Nedenleri ve Sonuçları:

Saldırının nedenleri tam olarak bilinmemekle birlikte, siber güvenlik zaafiyetleri veya insan hatası gibi faktörlerin rol oynamış olması muhtemeldir. Saldırının olası sonuçları arasında veri kaybı, finansal kayıp, itibar zedelenmesi gibi sonuçlar yer almaktadır.

Benzer Saldırıların Önlenmesi için Önlemler:

Benzer saldırıların önlenmesi için aşağıdaki önlemlerin alınması önemlidir:

  • Siber güvenlik sistemlerini ve prosedürlerini güncel tutmak
  • Çalışanlara siber güvenlik bilinci eğitimi vermek
  • Verileri düzenli olarak yedeklemek
  • Güçlü şifreleme algoritmaları kullanmak
  • Uzaktan erişimi güvenli hale getirmek
  • Siber saldırılara karşı hızlı ve etkili bir şekilde müdahale edebilecek bir ekibe sahip olmak

Riskler:

  • Sızdırılan verilerin kötüye kullanılması, OYAK’ın ticari itibarını ve mali durumunu zedeleyebilir.
  • Veriler arasında hassas bilgiler olduğu için, çalışanlar ve müşteriler kimlik hırsızlığı ve diğer siber saldırılara karşı risk altına girebilir.
  • Saldırı, OYAK’ın savunma ve güvenlik sistemlerine olan güveni zedeleyebilir.

LockBit’in Tepkisi:

OpCronos operasyonundan sonra LockBit, saldırılarını daha da yoğunlaştırarak hızlı bir şekilde toparlanmayı başardı. 2024 yılında LockBit, aşağıdakiler de dahil olmak üzere birçok yüksek profilli saldırı gerçekleştirdi:

LockBit’in Başarısının Sebepleri:

LockBit’in OpCronos operasyonundan sonra hızlı bir şekilde toparlanmasının ve saldırılarını daha da yoğunlaştırmasının birkaç sebebi var:

  • Modüler Yapı: LockBit, kolayca güncellenebilen ve uyarlanabilen modüler bir yapıya sahiptir. Bu sayede, kolluk kuvvetlerinin operasyonlarına karşı hızlı bir şekilde adapte olabiliyor.
  • Farklı Ransomware Türleri: LockBit, farklı işletim sistemlerine ve platformlara yönelik farklı ransomware türleri geliştirmiştir. Bu sayede, geniş bir hedef yelpazesine sahiptir.
  • Çift Şantaj: LockBit, verileri şifrelemenin yanı sıra, fidye ödenmezse verileri sızdırmakla da tehdit ediyor. Bu sayede, mağdurları fidye ödemeye zorlayabiliyor.

LockBit’e Karşı Önlemler:

LockBit ve diğer ransomware saldırılarına karşı korunmak için aşağıdaki önlemleri almanız önerilir:

  • Güçlü şifreler kullanın ve çok faktörlü kimlik doğrulama kullanın.
  • Yazılımlarınızı ve işletim sisteminizi güncel tutun.
  • Antivirüs ve güvenlik duvarı gibi güvenlik yazılımı kullanın.
  • Verilerinizi düzenli olarak yedekleyin.
  • Siber güvenlik farkındalığını artırın ve çalışanlarınıza eğitim verin.
Ransomware

SOCOTRA Ransomware

Giriş:

Bu belge, Socotra Ransomware olarak bilinen fidye yazılımı grubunun faaliyetleri ve teknik özellikleri hakkında bilgi vermektedir. Ayrıca, bu grupla ilişkili riskleri ve korunma yollarını da ele almaktadır.

Grup Hakkında:

  • Socotra Ransomware, VMware ESXi sistemlerine sızan ve sanal makinaları şifreleyen bir fidye yazılımı grubudur.
  • Grup ayrıca NAS sunucularına ait disklerin RAID yapılarını bozarak ve farklı türde RAID konfigürasyonlarıyla yeniden biçimlendirerek verileri imha etmektedir.
  • Grup DrDisk Lab tarafından ilk olarak 21.03.2024’te tespit edildi.
  • Darkweb’de ve DeepWeb’de gruba ait bilinen bir site bulunmamaktadır.

Teknik Özellikler:

  • Socotra Ransomware’in ESXi sunucularına sızmak için kullandığı vektörler tam olarak bilinmiyor.
  • Grubun, sanal makinaları şifrelemek için AES-256 gibi güçlü şifreleme algoritmaları kullandığı tespit edilmiştir.
  • Grubun, NAS sunucularına ait disklerin RAID yapılarını bozarak şifreleme sonrasında backuptan sistemin geri yüklenebilmesini engelliyor .

Etki:

  • Socotra Ransomware saldırıları, kuruluşların kritik verilerine erişimini kaybetmesine ve ciddi itibar kayıplarına neden olur.
  • Bu durum, iş kesintilerine ve finansal kayıplara yol açar.

Korunma Yolları:

  • ESXi sunucularınızı güncel tutmak.
  • Güçlü parolalar ve iki faktörlü kimlik doğrulama kullanmak.
  • Verilerinizin düzenli olarak yedeğini almak.
  • Fidye yazılımı saldırılarına karşı bir koruma çözümü kullanmak.

Öneriler:

  • Fidye yazılımı saldırılarına karşı korunmak için kuruluşların proaktif bir yaklaşım benimsemesi önemlidir.
  • Bu kapsamda, kuruluşlar siber güvenlik farkındalık eğitimleri düzenlemeli, sistemlerini güncel tutmalı ve katı kurallı veri yedekleme prosedürleri uygulamalıdır.
  • Ayrıca, fidye yazılımı saldırılarına karşı koruma sağlayan güvenlik çözümleri de kullanılmalı ve bunlar düzenli olarak takip edilmelidir.

Socotra Ransomware saldırısına maruz kalan kuruluşlar, DrDisk Lab’tan teknik destek alabilir. DrDisk Lab, fidye yazılımı saldırılarının çözümü konusunda uzmanlaşmış bir siber güvenlik ve veri kurtarma firmasıdır.

Drdisk Lab’ın sunduğu teknik destek hizmetleri şunlardır:

  • Saldırının kapsamının belirlenmesi
  • Şifrelenmiş verilerin kurtarılması
  • Sistemlerin fidye yazılımından temizlenmesi
  • Saldırının tekrarlanmasını önlemek için güvenlik önlemleri önerilmesi
Veri Güvenliği

Cryptolocker Virüsüne Karşı Önlem ve Müdahale Rehberi

Cryptolocker, dosyaları şifreleyen ve kurtarma için fidye talep eden son derece tehlikeli bir fidye yazılımıdır. Bu rehber, Cryptolocker virüsüne karşı korunmak ve saldırı durumunda nasıl müdahale edileceğini detaylandırmaktadır.

A. Bilgilendirme ve Farkındalık Artırma:

  • Eğitim ve Farkındalık Programları: Kullanıcılara, e-posta dolandırıcılığı, sosyal mühendislik ve zararlı yazılım saldırıları gibi siber tehditler hakkında kapsamlı eğitim verilmelidir. Bu programlar, potansiyel tehditleri nasıl tanıyacakları ve bunlardan nasıl kaçınacakları konusunda kullanıcıları bilinçlendirmeye odaklanmalıdır.
  • Gerçekçi Örnekler Kullanımı: Eğitim programları, kullanıcıların günlük hayatta karşılaşabilecekleri gerçekçi siber saldırı örneklerini içermelidir. Bu sayede, tehditlerin somutlaşması ve farkındalık artması sağlanır.
  • Güncel Bilgilere Erişim: Kullanıcıların, siber tehditler ve güvenlik güncellemeleri ile ilgili en son bilgilere erişimi olmalıdır. Bu amaçla, şirket içi veya kamuya açık siber güvenlik kaynakları kullanılabilir.

B. Güvenlik Yazılımları ve Güncellemeler:

  • Çok Katmanlı Güvenlik: Kapsamlı bir koruma için, antivirüs ve anti-malware yazılımlarının yanı sıra, güvenlik duvarı, uygulama beyaz listeleme ve davranışsal analiz gibi ek güvenlik araçları da kullanılmalıdır.
  • Otomatik Güncellemeler: İşletim sistemleri, yazılımlar ve güvenlik araçları için otomatik güncellemeler etkinleştirilmelidir. Bu sayede, yeni ortaya çıkan güvenlik açıklarına karşı hızlı bir şekilde korunma sağlanır.
  • Güvenilir Kaynaklardan Yazılım İndirme: Yazılım indirmek için yalnızca resmi ve güvenilir kaynaklar kullanılmalıdır. Bilinmeyen veya şüpheli kaynaklardan indirilen yazılımlar, virüs ve diğer zararlı yazılımlar içerebilir.

C. Yedekleme Stratejileri:

  • Düzenli Yedekleme: Tüm önemli dosyaların ve verilerin düzenli olarak yedeklenmesi hayati önem taşır. Yedeklemeler, hem yerel depolama hem de bulut tabanlı çözümler kullanarak yapılmalıdır.
  • 3-2-1 Yedekleme Kuralı: Verilerin güvenliğini en üst düzeye çıkarmak için 3-2-1 yedekleme kuralı uygulanmalıdır. Bu kurala göre, verilerin üç kopyası oluşturulmalı, iki kopyası farklı ortamlarda saklanmalı ve bir kopyası ise soğuk yedek (cold backup) olmalıdır.
  • Yedekleme Testleri: Yedekleme sistemlerinin düzenli olarak test edilmesi ve yedekten geri dönme işlemlerinin başarıyla gerçekleştirilebildiğinden emin olunmalıdır.

D. Eylem Planı:

  • Hızlı Tepki: Bir saldırı tespit edildiğinde, gecikmeden harekete geçilmelidir. Bu, virüsün daha fazla dosyayı şifrelemesini ve daha fazla hasara yol açmasını engeller.
  • Bağlantıların Kesilmesi: Saldırıya uğramış sistem, internet ve diğer ağlardan derhal izole edilmelidir. Bu sayede, virüsün diğer cihazlara yayılması önlenir.
  • Uzman Yardımı: Virüsün kaldırılması ve dosyaların kurtarılması için bu konuda tecrübeli ve güvenilir bir firmayla iletişime geçilmelidir.

E. İletişim ve Eylem:

  • Yetkililerle İşbirliği: Saldırı yetkililere bildirilmeli ve siber suç soruşturmasında yardımcı olunmalıdır.
  • Ödeme Yapmaktan Kaçınma: Şifrelenmiş dosyaların kurtarılması için asla fidye ödenmemelidir. Bu durum, saldırganları teşvik eder ve daha fazla saldırıya yol açar.
  • Diğer Mağdurlarla İletişim: Saldırıya uğramış diğer kullanıcılarla iletişime geçmek, bilgi ve deneyim paylaşımı yoluyla sorunun daha hızlı çözülmesine yardımcı olabilir.

Ek Öneriler:

  • Kişisel Bilgileri Korumak: Kişisel bilgiler ve hassas veriler, şifreli depolama çözümleri kullanılarak korunmalıdır.
  • Güvenli Ağ Bağlantıları Kullanmak: Halka açık Wi-Fi ağlarına bağlanırken dikkatli olunmalı ve VPN gibi güvenli bağlantı araçları kullanılmalıdır.
  • Yazılım Açıklarını Takip Etmek: Kullanılan yazılımların güncel versiyonlarını kullanmak ve geliştiriciler tarafından yayınlanan güvenlik güncellemelerini takip etmek önemlidir.
  • Siber Güvenlik Haberlerine Dikkat Etmek: Siber saldırılar ve yeni tehditler hakkında güncel bilgilere sahip olmak, korunma düzeyini artırır. DrDisk Lab, düzenli olarak bu konuda bilgilendirmeler yapmaktadır.
  • Güçlü Parolalar Kullanın ve Bunları Düzenli Değiştirin: Tüm hesaplarınız için güçlü ve benzersiz parolalar kullanın ve bunları en az 6 ayda bir değiştirin. Karmaşık parolalar oluşturmak için büyük ve küçük harfler, rakamlar ve semboller kullanın. Parolalarınızı asla kimseyle paylaşmayın ve parola yöneticisi kullanmayı değerlendirin.

Sosyal Mühendislik Saldırılarından Haberdar Olun: Sosyal mühendislik, insanları kandırarak kişisel bilgilerini veya hassas verilerini ifşa etmelerini sağlayan bir siber saldırı türüdür. Kimlik avı e-postaları, sahte web siteleri ve telefon dolandırıcılıkları yaygın sosyal mühendislik saldırıları arasındadır. Bu tür saldırılara karşı dikkatli olun, şüpheli görünen e-postalara veya web sitelerine tıklamayın ve kişisel bilgilerinizi asla telefonla veya internette kim olduğunuzu bilmediğiniz kişilere vermeyin.

Yazılımlarınızı Güncel Tutun: İşletim sisteminiz, tüm uygulamalarınız ve antivirüs yazılımınız dahil olmak üzere tüm yazılımlarınızı güncel tutun. Yazılım güncellemeleri genellikle güvenlik açıklarını ve hataları düzeltir ve sisteminizi daha az savunmasız hale getirir.

Bilgisayarınızı Gözetimsiz Bırakmayın: Bilgisayarınızı asla gözetimsiz bırakmayın, özellikle de bir oturum açtıysanız. Bilgisayardan ayrılırken her zaman oturumu kapatın ve şifrenizi girmeden asla geri dönmeyin.

Mobil Cihazlarınızı Güvende Tutun: Akıllı telefon ve tabletleriniz gibi mobil cihazlarınızı da fidye yazılımlarına karşı korumayı unutmayın. Bu cihazlar için güvenlik yazılımı yükleyin, güçlü parolalar kullanın ve yalnızca resmi uygulama mağazalarından uygulama indirin.

Şüpheli Aktiviteleri Bildirin: Bilgisayarınızda veya ağınızda şüpheli bir aktivite fark ederseniz, derhal yetkililere bildirin. Bu, virüsün yayılmasını önlemeye ve hızlı müdahale için yardımcı olacaktır.

Verilerinizi Yedekleyin: Verilerinizin düzenli yedeklerini alarak, bir saldırı durumunda dosyalarınızı kurtarma şansınızı artırabilirsiniz. Yedeklerinizi çevrimdışı bir ortamda saklamayı unutmayın, böylece virüs tarafından şifrelenemezler.

Bilinçli Olun ve Kendinizi Güncel Tutun: Siber tehditlerle ilgili en son bilgilerden haberdar olmak için siber güvenlik haberlerini ve bloglarını takip edin. Bu, yeni tehditlere karşı hazırlıklı olmanıza ve kendinizi ve sisteminizi korumak için gerekli adımları atmanıza yardımcı olacaktır.

Cryptolocker virüsü ve diğer fidye yazılımları, günümüzde en yaygın siber tehditlerden biridir. Bu rehberde sunulan önlem ve müdahale planları, kullanıcıların ve kuruluşların bu tehdide karşı korunmasına ve saldırı durumunda hızlı ve etkili bir şekilde müdahale etmesine yardımcı olmayı amaçlamaktadır.

Unutmayın: Siber güvenlik, sürekli bir süreçtir. Bu rehberdeki adımları takip etmek ve güncel kalmak, bilgisayar sistemlerinizi ve verilerinizi korumak için en iyi yoldur.

Ransomware

BABARAP RANSOMWARE

BABARAP RANSOMWARE, son zamanlarda siber suç dünyasında öne çıkan bir ransomware grubudur. Karmaşık şifreleme algoritmaları ve hedef odaklı saldırı stratejileriyle bilinirler. Hızlı bir şekilde tanınırlık kazandılar ve genellikle sunucuları hedef almalarıyla ün kazandılar.

Grup Tipi: Ransomware

Hedef Sistemler: BABARAP RANSOMWARE, özellikle kurumsal sunucuları ve büyük ölçekli işletme ağlarını hedef alır. Sunucular genellikle yüksek değerli veriler barındırdığından, grup bu sistemleri hedeflemektedir.

Hedef Sektörler: Finans, sağlık, teknoloji, e-ticaret ve üretim gibi çeşitli sektörlerde faaliyet gösteren kuruluşları hedef alırlar. Bu sektörler genellikle hassas verilere sahip olduklarından, BABARAP’ın saldırıları büyük zararlara yol açmaktadır.

Etki Alanı: BABARAP ransomware grubu, işletme ağlarını ve sunucuları hedef alarak geniş bir etki alanına saldırı düzenlemektedir. Sunucuların şifrelenmesiyle birlikte, kurbanlar veri kaybı, iş sürekliliği bozulması ve itibar kaybı gibi ciddi sonuçlarla karşı karşıya kalabilirler.

Saldırı Yöntemleri: BABARAP, saldırılarını gerçekleştirmek için çeşitli yöntemler kullanır. Bunlar arasında şunlar yer alır:

  • Kimlik avı saldırıları: Kurbanları, hassas bilgileri ele geçirmek için sahte e-postalara veya web sitelerine tıklamaya ikna etmek.
  • Zayıflık taramaları: Kurumsal ağlarda zafiyetleri belirlemek ve bunlardan yararlanmak için otomatik tarayıcılar kullanmak.
  • Hedefli saldırılar: Belirli kuruluşları veya sektörleri özel olarak hedef almak için istihbarat toplamak ve gelişmiş saldırı teknikleri kullanmak.

Fidye Talepleri: BABARAP, şifrelenmiş verilere erişim karşılığında fidye ödemeleri talep eder. Ancak, fidye ödemek genellikle önerilmeyen bir çözümdür çünkü veri erişimini garanti etmez ve suç faaliyetlerini teşvik edebilir.

Grup Hakkında Bilgiler:

  • Hedefler: Kritik altyapıya sahip kurumlar ve kuruluşlar (örneğin hastaneler, bankalar, devlet kurumları)
  • Hedef Sistemler: Esxi sunucuları (sanal sunucuları, yedekleme sunucuları ve bulut sunucuları dahil)
  • Saldırı Yöntemleri: Bilinen bir zafiyetten yararlanarak sunucuya sızma ve şifreleme yazılımı yükleme
  • Motivasyon: Fidye talep etme
  • Tehdit Seviyesi: Yüksek

Grubun Saldırı Yöntemleri:

Grup, bilinen bir zafiyetten yararlanarak Esxi sunucularına sızıyor ve ardından şifreleme yazılımı yüklüyor. Bu zafiyet, VMware vCenter Server ve önceki sürümlerini etkileyen CVE-2021-21972 olarak bilinir. Bu zafiyet, saldırganların kimlik doğrulama olmadan sunucuya kök ayrıcalıkları elde etmesine olanak tanımaktadır.

Grubun Motivasyonu: Grubun temel motivasyonu, şifrelenmiş verilere erişim karşılığında fidye talep etmektir. Kurbanlar, verilerini kurtarmak için fidye ödemeye zorlanır.

Tehdit Seviyesi:

Bu grubun saldırıları kritik altyapıya sahip kurumlar ve kuruluşlar için önemli bir tehdit oluşturmaktadır. Sunucuların şifrelenmesi, iş kesintilerine, veri kaybına ve mali kayıplara yol açabilir.

Virüs Notu: “Go to https://getsession.org/; download & install; then add 05c5dbb3e0f6c173dd4ca479587dbeccc1365998ff********************** to your contacts and send a message with this codename —> BABARAP ”

Kendinizi Korumak: BABARAP gibi ransomware gruplarına karşı kendinizi korumak için yapabileceğiniz birkaç şey var:

Kendinizi Korumak İçin İpuçları:

  • ESXi sunucularınızı en son sürüme güncelleyin.
  • Güçlü parolalar kullanın ve bunları sık sık değiştirin.
  • Güvenlik duvarı ve antivirüs yazılımı gibi güvenlik çözümleri kullanmanın yanısıra sıkı güvenlik prosedürlerini işletin.
  • Verilerinizi düzenli olarak yedekleyin. Yedeklediğiniz verileri belli periyotlarla kontrol edin ve backuptan dönme senaryolarını işletin.
  • Saldırılara karşı tetikte olun ve herhangi bir şüpheli etkinlik belirtisi görürseniz yetkililere bildirin.
  • Güçlü parolalar kullanın ve bunları sık sık değiştirin.
  • Yazılımlarınızı güncel tutun.
  • Güvenlik duvarı ve antivirüs yazılımı gibi güvenlik çözümleri kullanın.
  • Çalışanlarınıza siber güvenlik bilinci eğitimi verin.

Saldırıya Uğradıysanız: BABARAP tarafından saldırıya uğradıysanız, aşağıdakileri yapmanız önemlidir:

  • Saldırıyı derhal yetkililere bildirin.
  • Şifrelenmiş verilerinizin yedeklerini kontrol edin.
  • Fidye ödemeyin.
  • Uzmanlardan yardım alın.

BABARAP, siber suç dünyasında yeni olan bir gruptur. Karmaşık saldırı teknikleri ve hedef odaklı stratejileri nedeniyle önemli bir tehdit oluşturmaktadırlar. Kendinizi korumak için yukarıdaki adımları takip etmeniz ve saldırıya uğradıysanız doğru adımları atmanız önemlidir.

Veri Güvenliği

Fidye yazılımı operatörleri, şifreleme için yeni bir ESXi güvenlik açığını istismar ediyor

Microsoft araştırmacıları, birden fazla ransomware operatörünün, domaine bağlı ESXi hipervizörlerinde tam yönetici izinleri elde etmek için yararlandığı bir güvenlik açığını keşfetti. ESXi hipervizörleri, ağdaki kritik sunucuları içerebilecek sanal makineleri barındırır. Bir ransomware saldırısında, bir ESXi hipervizöründe tam yönetici iznine sahip olmak, tehdit aktörünün dosya sistemini şifreleyebileceği anlamına gelir ve bu, barındırılan sunucuların çalışmasını ve işlev görmesini etkileyebilir. Ayrıca, tehdit aktörünün barındırılan sanal makinelerine erişmesine ve muhtemelen verileri dışarı çıkarmasına veya ağ içinde yatay olarak hareket etmesine olanak tanımaktadır.

CVE-2024-37085 olarak tanımlanan bu güvenlik açığı, üyelerine varsayılan olarak uygun doğrulama olmadan ESXi hipervizörüne tam yönetici erişimi verilen bir etki alanı grubunu içerir. Microsoft, bulguları VMware’e Microsoft Güvenlik Açığı Araştırmaları (MSVR) aracılığıyla koordine edilen güvenlik açığı açıklaması (CVD) yoluyla bildirdi ve VMware bir güvenlik güncellemesi yayınladı. Microsoft, ESXi sunucu yöneticilerine VMware tarafından yayınlanan güncellemeleri uygulamalarını ve blog yazımızda sağladığımız azaltma ve koruma yönergelerini takip etmelerini önerir. Bu sorunu ele almak için VMware’e iş birliği için teşekkür ederiz.

Bu blog yazısı, CVE-2024-37085’in analizini ve Microsoft tarafından güvenlik açığından yararlanarak gerçekleştirilen bir saldırının ayrıntılarını sunmaktadır. Bu araştırmayı, araştırmacılar, satıcılar ve güvenlik topluluğu arasında iş birliğinin önemini vurgulamak amacıyla paylaşıyoruz.

Microsoft güvenlik araştırmacıları, ransomware operatörleri Storm-0506, Storm-1175, Octo Tempest ve Manatee Tempest tarafından birçok saldırıda kullanılan yeni bir sonrası saldırı tekniği tespit etti. Birçok durumda, bu tekniğin kullanımı Akira ve Black Basta fidye yazılımlarının dağıtımına yol açtı. Teknik, aşağıdaki komutları çalıştırmayı ve etki alanında “ESX Admins” adlı bir grup oluşturmayı ve bir kullanıcı eklemeyi içerir:

  • net group “ESX Admins” /domain /add
  • net group “ESX Admins” username /domain /add

Microsoft araştırmacıları, saldırıları ve tarif edilen davranışı araştırırken, tehdit aktörlerinin bu komutu kullanma amacının, tehdit aktörünün ESXi hipervizöründe tam yönetici erişimine yükseltmesine olanak tanıyan bir güvenlik açığından yararlanmak olduğunu keşfetti. Bu bulgu, bu yılın başlarında VMware’e bir güvenlik açığı bildirimi olarak rapor edildi.

Güvenlik açığının daha fazla analizi, bir Active Directory domaine katılan VMware ESXi hipervizörlerinin, varsayılan olarak “ESX Admins” adlı bir etki alanı grubunun herhangi bir üyesine tam yönetici erişimi verdiğini ortaya çıkardı. Bu grup, Active Directory’de yerleşik bir grup değildir ve varsayılan olarak mevcut değildir. ESXi hipervizörleri, sunucu bir domaine katıldığında böyle bir grubun varlığını doğrulamaz ve yine de bu isimle bir grubun herhangi bir üyesine tam yönetici erişimi sağlar, grup başlangıçta mevcut olmasa bile. Ayrıca, gruptaki üyelik adla belirlenir, güvenlik tanımlayıcısıyla (SID) değil.

Microsoft araştırmacıları bu güvenlik açığından yararlanmanın üç yöntemini belirledi:

  • Bu yöntem, yukarıda belirtilen tehdit aktörleri tarafından aktif olarak kullanılmaktadır. Bu yöntemde, “ESX Admins” grubu yoksa, grup oluşturma yeteneğine sahip herhangi bir etki alanı kullanıcısı, böyle bir grup oluşturarak ve kendilerini veya kontrol ettikleri diğer kullanıcıları gruba ekleyerek, domaine bağlı ESXi hipervizörlerinde tam yönetici erişimine yükseltebilir.
  • Bu yöntem birincisine benzer, ancak bu durumda tehdit aktörü, bazı rastgele grupları yeniden adlandırma yeteneğine sahip bir kullanıcıya ihtiyaç duyar ve bunlardan birini “ESX Admins” olarak yeniden adlandırır. Daha sonra bir kullanıcı ekleyebilir veya grupta zaten mevcut olan bir kullanıcıyı kullanarak tam yönetici erişimine yükseltebilir. Bu yöntem, Microsoft tarafından vahşi doğada gözlemlenmemiştir.
  • Ağ yöneticisi, etki alanındaki herhangi bir grubu ESXi hipervizörü için yönetim grubu olarak atasa bile, “ESX Admins” grubunun üyelerine verilen tam yönetici ayrıcalıkları hemen kaldırılmaz ve tehdit aktörleri bunu hala kötüye kullanabilir. Bu yöntem, Microsoft tarafından vahşi doğada gözlemlenmemiştir. Başarılı bir istismar, ransomware operatörlerinin hipervizörün dosya sistemini şifreleyerek barındırılan sunucuların çalışmasını ve işlev görmesini etkileyebileceği anlamına gelir. Ayrıca, tehdit aktörünün barındırılan sanal makinelerine erişmesine ve muhtemelen verileri dışarı çıkarmasına veya ağ içinde yatay olarak hareket etmesine olanak tanır.

ESXi hipervizörleri hedefleyen ransomware operatörleri;

Son bir yılda, ransomware aktörlerinin birkaç tıklama ile toplu şifreleme etkisini kolaylaştırmak için ESXi hipervizörlerini hedeflediğini gördük, bu da ransomware operatörlerinin hedefledikleri kuruluşlar üzerindeki etkiyi artırmak için sürekli olarak saldırı tekniklerini yenilediğini gösteriyor.

ESXi, birçok kurumsal ağda popüler bir üründür ve son yıllarda ESXi hipervizörlerinin tehdit aktörleri için tercih edilen bir hedef haline geldiğini gözlemledik. Bu hipervizörler, ransomware operatörleri Güvenlik Operasyon Merkezi’nin (SOC) radarında kalmak istiyorsa uygun hedefler olabilir, çünkü:

  • Birçok güvenlik ürünü, bir ESXi hipervizörü için sınırlı görünürlük ve korumaya sahiptir.
  • Bir ESXi hipervizör dosya sistemini şifrelemek, tek tıklamayla toplu şifreleme sağlar, çünkü barındırılan sanal makineler etkilenir. Bu, ransomware operatörlerine her cihazda yan hareket ve kimlik bilgisi hırsızlığı için daha fazla zaman ve karmaşıklık sağlayabilir. Bu nedenle, birçok ransomware tehdit aktörü Storm-0506, Storm-1175, Octo Tempest, Manatee Tempest ve diğerleri Akira, Black Basta, Babuk, Lockbit ve Kuiper gibi ESXi şifreleyicilerini destekler veya satar (Şekil 1). Microsoft Olay Yanıtı (Microsoft IR) katılımlarının, ESXi hipervizörlerini hedefleyen ve etkileyen olaylar son üç yılda iki katından fazla arttı.

Karanlık webde satılan ESXi yetkisiz kabuğuna ait bir gönderinin ekran görüntüsü Şekil 1. Karanlık webde satılan ESXi yetkisiz kabuğu Storm-0506 Black Basta ransomware dağıtımı Bu yılın başlarında, Kuzey Amerika’da bir mühendislik firması, Storm-0506 tarafından Black Basta ransomware dağıtımı ile etkilendi. Bu saldırı sırasında tehdit aktörü, kuruluş içindeki ESXi hipervizörlerine yükseltilmiş ayrıcalıklar elde etmek için CVE-2024-37085 güvenlik açığını kullandı.

Tehdit aktörü, Qakbot enfeksiyonu yoluyla kuruluşa ilk erişimi elde etti, ardından etkilenen cihazlarda ayrıcalıklarını yükseltmek için bir Windows CLFS güvenlik açığını (CVE-2023-28252) kullandı. Tehdit aktörü daha sonra Cobalt Strike ve Pypykatz (Mimikatz’ın bir Python versiyonu) kullanarak iki etki alanı yöneticisinin kimlik bilgilerini çaldı ve dört etki alanı denetleyicisine yan hareketle ilerledi.

Kompromize edilmiş etki alanı denetleyicilerinde, tehdit aktörü özel araçlar ve bir SystemBC implantı kullanarak kalıcılık mekanizmaları kurdu. Aktör ayrıca, başka bir yan hareket yöntemi olarak birden fazla cihaza Uzaktan Masaüstü Protokolü (RDP) bağlantılarını brute force ile zorlamaya çalıştı ve ardından tekrar Cobalt Strike ve SystemBC kurdu. Tehdit aktörü daha sonra Microsoft Defender Antivirus’ü tespit edilmekten kaçınmak için çeşitli araçlar kullanarak karıştırmaya çalıştı.

Microsoft, tehdit aktörünün etki alanında “ESX Admins” grubunu oluşturduğunu ve yeni bir kullanıcı hesabı eklediğini gözlemledi; bu eylemlerin ardından, Microsoft, bu saldırının ESXi dosya sisteminin şifrelenmesi ve ESXi hipervizöründeki barındırılan sanal makinelerin işlevselliğini kaybetmesiyle sonuçlandığını gözlemledi. Aktör ayrıca, ESXi hipervizöründe barındırılmayan cihazları şifrelemek için PsExec kullanımı da gözlemlendi. Microsoft Defender Antivirus ve Microsoft Defender for Endpoint’deki otomatik saldırı kesintisi, Defender for Endpoint’in birleşik ajanının yüklü olduğu cihazlarda bu şifreleme girişimlerini durdurmayı başardı.

Storm-0506 tarafından bir saldırının başlangıç erişiminden ESXi güvenlik açığının istismarına ve Black Basta ransomwarenın dağıtımına ve ESXi hipervizöründeki sanal makinelerin toplu şifrelenmesine kadar birden fazla kötü niyetli eylemi takip eden saldırı zinciri diyagramı

Şekil 2. Storm-0506 saldırı zinciri

Microsoft, domaine bağlı ESXi hipervizörlerini kullanan kuruluşlara, CVE-2024-37085’i ele almak için VMware tarafından yayınlanan güvenlik güncellemesini uygulamalarını önerir. Aşağıdaki yönergeler, kuruluşların ağlarını saldırılardan korumasına da yardımcı olacaktır:

  • Yazılım güncellemelerini yükleyin
  • Tüm domaine bağlı ESXi hipervizörlerinde VMware tarafından yayınlanan en son güvenlik güncellemelerini yüklediğinizden emin olun.

Yazılım güncellemelerini yüklemek mümkün değilse, riski azaltmak için aşağıdaki önerileri kullanabilirsiniz:

  • Etki alanında “ESX Admins” grubunun var olduğunu doğrulayın ve sertleştirin.
  • Bu grubun ESXi hipervizörüne erişimini manuel olarak reddederek ESXi hipervizöründe ayarları değiştirin.

Active Directory ESX yöneticileri grubunun tam yönetici erişimi istenmiyorsa, bu davranışı şu gelişmiş ana bilgisayar ayarını kullanarak devre dışı bırakabilirsiniz:

‘Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd’.

  • Yönetici grubunu ESXi hipervizöründe farklı bir gruba değiştirin.
  • Yeni grup adı için XDR/SIEM’de özel tespitler ekleyin.
  • ESXi günlüklerini bir SIEM sistemine gönderin ve şüpheli tam yönetici erişimini izleyin.
  • Kimlik bilgisi hijyeni
  • Farklı güvenlik açığı yöntemlerini kullanmak için tehdit aktörlerinin kuruluşta yüksek ayrıcalıklı bir kullanıcıyı kontrol etmeleri gerekir.

Bu nedenle, kuruluşta diğer etki alanı gruplarını yönetebilecek yüksek ayrıcalıklı hesapları koruduğunuzdan emin olmanız önerilir:

  • Tüm hesaplarda çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılın, MFA’dan muaf kullanıcıları kaldırın ve her zaman, her cihazdan, her konumdan kesinlikle MFA isteyin.
  • Şifresiz kimlik doğrulama yöntemlerini (örneğin, Windows Hello, FIDO anahtarları veya Microsoft Authenticator) şifresiz destekleyen hesaplar için etkinleştirin. Hala şifre gerektiren hesaplar için, MFA için Microsoft Authenticator gibi kimlik doğrulama uygulamalarını kullanın. Farklı kimlik doğrulama yöntemleri ve özellikleri için bu makaleye başvurun.
  • Üretkenlik hesaplarından ayrıcalıklı hesapları izole edin ve ortamın yönetici erişimini koruyun. En iyi uygulamaları anlamak için bu makaleye başvurun.
  • Kritik varlıkların durumunu iyileştirin
  • Ağdaki kritik varlıklarınızı, örneğin ESXi hipervizörlerini ve vCenter’ları (VMware vSphere ortamlarını kontrol eden merkezi bir platform) belirleyin ve en son güvenlik güncellemeleri, uygun izleme prosedürleri ve yedekleme ve kurtarma planlarıyla korunduklarından emin olun. Daha fazla bilgi için aşağıdaki makaleye başvurun.
  • Güvenlik açıklarını belirleyin
  • Microsoft Defender portalı aracılığıyla SNMP kullanarak ağ cihazlarının kimlik doğrulamalı taramalarını dağıtın ve ESXi gibi ağ cihazlarındaki güvenlik açıklarını belirleyin ve güvenlik önerileri alın.

Microsoft Defender for Endpoint ESXi güvenlik açıkları ve istismarlarıyla ilişkili tehdit etkinliklerini belirlemek için aşağıdaki uyarılar kullanılabilir:

  • ESX Admins grubunda şüpheli değişiklikler
  • Şüpheli bir şekilde yeni grup eklendi
  • Şüpheli Windows hesap manipülasyonu
  • Kompromize edilmiş hesap klavye başında saldırı gerçekleştiriyor

Aşağıdaki uyarılar tehdit etkinliklerini belirlemek için kullanılabilir:

  • ESX grubunun şüpheli oluşturulması

Müşteriler, tehdit aktörleri ve ilgili etkinlikler hakkında güncel bilgiler almak için aşağıdaki raporlara başvurabilirler:

  • Storm-0506
  • Storm-1175
  • Octo Tempest
  • Manatee Tempest
  • Akira
  • Black Basta

Ağdaki ilgili etkinlikleri belirlemek için müşteriler aşağıdaki sorguları kullanabilir:

  • Kuruluştaki ESXi hipervizörlerini tanımlama:
DeviceInfo
| where OSDistribution =~ “ESXi”
| summarize arg_max(Timestamp, *) by DeviceId 
  • Active Directory’de ESX Admins grubu değişikliklerini tanımlama:
IdentityDirectoryEvents
| where Timestamp >= ago(30d)
| where AdditionalFields has (‘esx admins’)
  • Microsoft Defender Zafiyet Yönetimi bilgileriyle keşfedilen ESXi’yi değerlendirme:
DeviceInfo
| where OSDistribution =~ “ESXi”
| summarize arg_max(Timestamp, *) by DeviceId
| join kind=inner (DeviceTvmSoftwareVulnerabilities) on DeviceId
DeviceInfo
| where OSDistribution =~ “ESXi”
| summarize arg_max(Timestamp, *) by DeviceId
| join kind=inner (DeviceTvmSecureConfigurationAssessment) on DeviceId
Ransomware

RANSOMHUB

Siber güvenlik dünyasında, her geçen yıl daha karmaşık ve tehlikeli tehditler ortaya çıkmaktadır. 2024 yılında ortaya çıkan RansomHub ransomware grubu, siber suç ekosisteminde hızla yükselen bir tehdit haline gelmiştir. RansomHub, LockBit ve ALPHV/BlackCat gibi köklü grupların yerini almış ve kısa sürede önemli saldırılara imza atmıştır. Bu makalede, RansomHub’ın çalışma yöntemleri, teknik altyapısı, hedef aldığı sektörler ve savunma stratejileri detaylı şekilde ele alınacaktır.

RansomHub, 2024 yılında faaliyet göstermeye başlamış bir ransomware-as-a-service (RaaS) grubudur. RaaS modeli, ransomware yazılımını geliştiren ve dağıtan çekirdek bir ekip ile bu yazılımı kullanarak saldırılar düzenleyen iş ortaklarından (affiliate) oluşur. Bu iş modeli, ransomware saldırılarının yayılmasını hızlandırır ve saldırı tekniklerinin daha geniş bir yelpazeye ulaşmasına olanak tanır. RansomHub, bu yapı ile kısa sürede dikkat çekmiştir.

RansomHub’ın bu denli kısa sürede yükselmesinin birkaç temel nedeni vardır:

  • LockBit’e Yönelik Operasyonlar: 2024 Şubat ayında LockBit grubuna yönelik uluslararası operasyonlar, bu grubun altyapısına ciddi zararlar vermiştir. Bu durum, birçok LockBit iş ortağının RansomHub gibi alternatif RaaS gruplarına yönelmesine neden olmuştur.
  • ALPHV/BlackCat İş Ortakları: ALPHV grubu, iş ortaklarını dolandırdıktan sonra bu iş ortakları RansomHub’a geçmiştir. Bu durum, RansomHub’ın iş gücünü ve kaynaklarını artırmıştır.

RansomHub, özellikle kritik altyapı sektörlerine odaklanmıştır. Bu sektörler şunları içerir:

  • Sağlık
  • Su yönetimi
  • Finansal hizmetler
  • Kamu hizmetleri
  • Ulaşım ve iletişim
  • Acil servisler Grup, bu tür kritik hizmetleri hedef alarak kuruluşları hem iş sürekliliği hem de veri güvenliği açısından büyük baskı altına sokmaktadır.

RansomHub, belirli ülkeleri hedef almamaktadır. Bunlar:

  • CIS (Rusya’nın başını çektiği Bağımsız Devletler Topluluğu)
  • Küba
  • Kuzey Kore
  • Çin Bu sınırlamalar, grubun muhtemelen Rusya veya Rusya’ya dost ülkelerde faaliyet gösterdiğini işaret eder. Rusya’nın siber suçlara karşı gösterdiği esneklik, bu tür grupların daha rahat hareket etmelerini sağlamaktadır.

RansomHub, ransomware saldırılarında yaygın olarak kullanılan teknik ve yöntemleri benimsemektedir. Saldırı aşamaları genellikle şu şekilde ilerler:

İlk erişim genellikle iki yöntemle sağlanır:

  • Phishing (Kimlik Avı): RansomHub, geniş çaplı phishing kampanyaları ile hedeflerine ulaşır. Bu kampanyalarda zararlı bağlantılar veya ekler kullanılarak kurbanın kimlik bilgileri ele geçirilir veya zararlı yazılımlar sisteme bulaştırılır.
  • Zafiyetlerin İstismarı: Bilinen güvenlik açıklarını kullanarak sisteme erişim sağlama, RansomHub’ın başlıca yöntemlerinden biridir. Örneğin, CVE-2023-3519 (Citrix), CVE-2023-27997 (Fortinet) gibi kritik zafiyetler sıkça kullanılmaktadır.

Sisteme erişim sağlandıktan sonra RansomHub, ağ içinde keşif yaparak lateral hareket eder. Mimikatz gibi araçlarla kimlik bilgilerini ele geçiren grup, PsExec ve Remote Desktop Protocol (RDP) gibi tekniklerle ağda hareket eder.

Veri şifreleme işlemi, RansomHub’ın fidye taleplerinin merkezindedir. Curve25519 ve AES algoritmaları kullanılarak veriler şifrelenir. Bu işlem sırasında kurbanın verilerine erişimini tamamen engellemek amacıyla Volume Shadow Copy silinir. Ayrıca, RansomHub, fidye ödenmezse hassas bilgileri yayınlamakla tehdit ederek baskıyı artırmak için çifte fidye stratejisi uygular.

RansomHub, geleneksel şifreleme yöntemlerinden farklı olarak intermittent encryption (aralıklı şifreleme) kullanır. Küçük dosyalar tamamen şifrelenirken, daha büyük dosyalar belirli aralıklarla şifrelenir. Bu teknik, şifreleme sürecini hızlandırırken saldırının etkisini artırır.


We are the RansomHub.

Your company Servers are locked and Data has been taken to our servers. This is serious.

Good news: – your server system and data will be restored by our Decryption Tool; – for now, your data is secured and safely stored on our server; – nobody in the world is aware about the data leak from your company except you and RansomHub team;

FAQs: Who we are? – Normal Browser Links: https://ransomxifxwc5eteopdobynonjctkxxvap77yqifu2emfbecgbqdw6qd.onion.ly/ – Tor Browser Links: http://ransomxifxwc5eteopdobynonjctkxxvap77yqifu2emfbecgbqdw6qd.onion/

Want to go to authorities for protection? – Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined <This will be a huge amount,Read more about the GDRP legislation:https://en.wikipedia.org/wiki/General_Data_Protection_Regulation>,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!

Think you can handle it without us by decrypting your servers and data using some IT Solution from third-party “specialists”? – they will only make significant damage to all of your data; every encrypted file will be corrupted forever. Only our Decryption Tool will make decryption guaranteed;

Think your partner IT Recovery Company will do files restoration? – no they will not do restoration, only take 3-4 weeks for nothing; besides all of your data is on our servers and we can publish it at any time; as well as send the info about the data breach from your company servers to your key partners and clients, competitors, media and youtubers, etc. Those actions from our side towards your company will have irreversible negative consequences for your business reputation.

You don’t care in any case, because you just don’t want to pay? – We will make you business stop forever by using all of our experience to make your partners, clients, employees and whoever cooperates with your company change their minds by having no choice but to stay away from your company. As a result, in midterm you will have to close your business.

So lets get straight to the point.

What do we offer in exchange on your payment: – decryption and restoration of all your systems and data within 24 hours with guarantee; – never inform anyone about the data breach out from your company; – after data decryption and system restoration, we will delete all of your data from our servers forever; – provide valuable advising on your company IT protection so no one can attack your again.

Now, in order to start negotiations, you need to do the following: – install and run ‘Tor Browser’ from https://www.torproject.org/download/ – use ‘Tor Browser’ open http:// ***************************************************.onion/ – enter your Client ID: ***************************************************

There will be no bad news for your company after successful negotiations for both sides. But there will be plenty of those bad news if case of failed negotiations, so don’t think about how to avoid it. Just focus on negotiations, payment and decryption to make all of your problems solved by our specialists within 1 day after payment received: servers and data restored, everything will work good as new.


Ransomware

BlackBasta – Karanlık İhale!

Geçtiğimiz günlerde ransomware alanında faaliyet gösteren siber saldırganların, artık ne derece kurumsallaşıtığını ve güçlendiğini gösteren ilginç bir haberle karşlılaştık. BlackBasta isimli grup, dark webde bir ihale ilanı yayınladı.

Bu ilana göre grup; özellikle Windows sistemleri için aktif olarak RCE (uzaktan kod yürütme) 0Day açıkları arıyor. CVE ID’leri veya demo sürümleri talep ediyorlar ve yerel ağları hedefleyenler de dahil olmak üzere kullanıcı etkileşimi gerektirmeyen istismarları satın almayı teklif ediyorlar. Bu meselede asıl haber değeri olan şey, grupların artık elde ettikleri ekonomik gücü adeta yatırım için kullanma becerilerin geldiği tehlikeli bir noktaya işaret ediyor.

Peki bu durumda yapabileceğimiz neler var?

Uzaktan kod yürütme saldırıları çeşitli güvenlik açıklarından faydalanabilir, bu nedenle bunlara karşı korunmak çok yönlü bir yaklaşım gerektirir. İşte RCE saldırılarını tespit etmek ve azaltmak için bazı en iyi uygulamalar:

  1. Veri Girişlerini sterilize edin -saldırganlar RCE gerçekleştirmek için genellikle deserializasyon ve enjeksiyon açıklarından yararlanır. Uygulamanın kullanmasına izin vermeden önce kullanıcı tarafından sağlanan girdiyi doğrulamak ve sterilize etmek, çeşitli RCE saldırı türlerini önlemeye yardımcı olacaktır.
  2. Belleği güvenli bir şekilde yönetin-saldırganlar arabellek taşmaları gibi bellek yönetimi sorunlarından faydalanabilir. Bir saldırgan RCE gerçekleştirmeden önce sorunları gidermek için arabellek taşması ve bellekle ilgili güvenlik açıklarını belirlemek üzere tüm uygulamalar için düzenli güvenlik açığı taramaları yapmak önemlidir.
  3. Trafiği inceleyin-RCE saldırıları, saldırganların kurumsal bir sisteme erişmek için kod açıklarından yararlanarak ağ trafiğini manipüle etmesini içerir. Kuruluşlar, sistemlerine uzaktan erişimi ve kontrolü tespit eden ve güvenlik açığı olan uygulamaların istismar girişimlerini engelleyen bir ağ güvenliği çözümü uygulamalıdır.
  4. Erişimi kontrol edin-RCE, saldırganlara hedef ağda erişimi genişletmek ve daha zarar verici saldırılar gerçekleştirmek için kullanabilecekleri bir dayanak noktası sağlar. Ağ segmentasyonu, sıfır güven politikaları ve erişim yönetimi platformları gibi erişim kontrolleri ve teknikleri, yanal hareketin önlenmesine yardımcı olarak saldırganların hedef sisteme ilk erişimi sağladıktan sonra bir saldırganı yükseltememesini sağlayabilir.
  5. Güvenlik duvarı politikalarınızı sıkılaştırın. Mümkünse XDR özellikli güvenlik çözümlerini tercih edin.

Black Basta (AKA BlackBasta), ilk olarak 2022’nin başlarında ortaya çıkan ve hemen dünyadaki en aktif RaaS tehdit aktörlerinden biri haline gelen, faaliyetinin ilk birkaç ayında 19 önde gelen kurumsal kurban ve 100’den fazla doğrulanmış kurban toplayan bir fidye yazılımı operatörü ve Hizmet Olarak Fidye Yazılımı (RaaS) suç girişimidir. Black Basta, ABD, Japonya, Kanada, Birleşik Krallık, Avustralya ve Yeni Zelanda’daki kuruluşları, püskürtme ve püskürtme yaklaşımı kullanmak yerine son derece hedefli saldırılarla hedef alıyor. Grubun fidye taktikleri, kurbanlarının kritik verilerini ve hayati sunucularını şifreleyerek ve hassas verileri grubun halka açık sızıntı sitesinde yayınlamakla tehdit ederek çifte şantaj taktiği kullanıyor.

Black Basta’nın çekirdek üyeliğinin, kötü amaçlı yazılım geliştirme, sızıntı siteleri ve müzakere, ödeme ve veri kurtarma için iletişim yaklaşımlarındaki benzerlikler nedeniyle feshedilmiş Conti tehdit aktörü grubundan ortaya çıktığı düşünülmektedir. Black Basta ayrıca özel Uç Nokta Tespit ve Yanıt (EDR ) kaçırma modüllerindeki benzerlikler ve komuta ve kontrol (C2) operasyonları için IP adreslerinin örtüşen kullanımı nedeniyle FIN7 (AKA Carbanak) tehdit aktörü ile de ilişkilendirilmiştir.