25 Nisan 2022 Pazartesi
FBI, Dünya Çapında 60'tan Fazla Kuruluşu İhlal Eden BlackCat Fidye Yazılımına Karşı Uyardı
ABD Federal Soruşturma Bürosu (FBI), geçen Kasım ayında ortaya çıkmasından bu yana Mart 2022 itibariyle dünya çapında en az 60 kuruluşu mağdur ettiğini söylediği BlackCat hizmet olarak fidye yazılımı (RaaS) için alarm veriyor.
ALPHV ve Noberus olarak da adlandırılan fidye yazılımı, bellek açısından güvenli olduğu bilinen ve gelişmiş performans sunduğu bilinen Rust programlama dilinde yazılmış ilk kötü amaçlı yazılım olmasıyla dikkat çekiyor.
FBI, geçen hafta yayınlanan bir danışma belgesinde, "BlackCat/ALPHV geliştiricilerinin ve kara para aklayıcılarının çoğu DarkSide/BlackMatter ile bağlantılıdır, bu da onların geniş ağlara ve fidye yazılımı operasyonları konusunda deneyime sahip olduklarını gösterir" dedi.
Açıklama, Cisco Talos ve Kasperksy'den gelen ikiz raporların, daha önce yalnızca BlackMatter ile ilgili etkinliklerde gözlemlenen Fendr adlı bir veri sızdırma aracının değiştirilmiş bir sürümünün kullanımı da dahil olmak üzere BlackCat ve BlackMatter fidye yazılımı aileleri arasındaki bağlantıları ortaya çıkarmasından haftalar sonra geldi.
AT&T Alien Labs bu yılın başlarında, "Rust'un sunduğu gelişen avantajların yanı sıra, saldırganlar genellikle tüm programlama dillerine uyarlanmayan statik analiz araçlarından daha düşük bir algılama oranından da yararlanıyor" dedi.
Diğer RaaS grupları gibi, BlackCat'in modus operandi'si, fidye yazılımının yürütülmesinden önce kurban verilerinin çalınmasını içerir ve kötü amaçlı yazılım, hedef sisteme ilk erişim sağlamak için genellikle güvenliği ihlal edilmiş kullanıcı kimlik bilgilerini kullanır.
Forescout'un Vedere Labs tarafından analiz edilen bir BlackCat fidye yazılımı olayında, bir VMware ESXi sanal çiftliğine taşınmadan ve şifrelemeden önce, ağa ilk erişim sağlamak için internete açık bir SonicWall güvenlik duvarına girildi. Fidye yazılımı dağıtımının 17 Mart 2022'de gerçekleştiği söyleniyor.
Emniyet teşkilatı, kurbanlara fidye yazılım olaylarını derhal bildirmelerini tavsiye etmenin yanı sıra, şifreli dosyaların kurtarılmasını sağlayacağına dair bir garanti olmadığı için fidye ödemeyi teşvik etmediğini de söyledi. Ancak mağdurların hissedarları, çalışanları ve müşterileri korumak için bu tür taleplere kulak vermeye zorlanabileceğini kabul etti.
Öneri olarak FBI, kuruluşları yeni veya tanınmayan kullanıcı hesapları için etki alanı denetleyicilerini, sunucuları, iş istasyonlarını ve aktif dizinleri gözden geçirmeye, çevrimdışı yedeklemeler almaya, ağ segmentasyonu uygulamaya, yazılım güncellemelerini uygulamaya ve hesapları çok faktörlü kimlik doğrulama ile korumaya çağırıyor.