Güvenlik araştırmacıları, yakın zamanda ortaya çıkan saat 03:00 fidye yazılımı operasyonunun etkinliğini analiz eden Conti Syndicate ve Royal Ransomware Gang gibi rezil gruplarla yakın bağlantıları ortaya çıkardı.
3:00, ayrıca Threeam'i de heceledi, yeni bir gasp taktiği deniyor: Veri sızıntısının haberlerini kurbanın sosyal medya takipçileriyle paylaşmak ve X'teki (eski adıyla Twitter) veri sızıntılarına işaret eden yüksek rütbeli hesapları yanıtlamak için botları kullanmak .
Sabah 3:00 fidye yazılımı çetesinin aktivitesi ilk olarak, Broadcom'un bir parçası olan Symantec'teki tehdit avcı ekibi, Lockbit kötü amaçlı yazılımları dağıtamadıktan sonra Threeam fidye yazılımına geçtiklerini fark ettiklerini ortaya çıkardıkları Eylül ayı ortalarında kamuya açıklandı.
Fransız siber güvenlik şirketi Intrinsec'teki araştırmacılara göre, Threeam muhtemelen Conti sendikası içinde takım 2'nin eski üyeleri olan Blacksuit olarak yeniden markalanan Royal Fidyeware Group'a bağlı.
03:00 fidye yazılımı ve Conti sendikası arasındaki bağlantı, Grubun taktikleri, saldırılarda kullanılan altyapı ve iletişim kanallarını araştırmalarında ilerledikçe güçlendi.
BleepingComputer ile paylaşılan bir raporda Intrinsec, tehdit oyuncusu analizlerinin, iletişim kanalları, altyapı ve taktikler, teknikler ve prosedürler (TTP'ler) ve Conti sendikası arasında “önemli bir örtüşme” ortaya çıkardığını söylüyor.
Tehdit oyuncusu saldırısı hakkındaki raporlarında Symantec'in uzlaşmanın bir ağ göstergesi (185.202.0 [.] 111) olarak listelenen bir IP adresi kullanan Intrinsec, 2020'den beri tespit edilen kobalt grevini bırakmak için Virustotal A Powershell betiğinde bulundu.
Başka bir bulguda, IntrinSec, TCP bağlantı noktası 8000'de tipik olarak tünel iletişimi için kullanılan bir SOCKS4 proxy gözlemledi. Araştırmacılar, "Bu SOCKS4 hizmetiyle ilişkili imza, 2022'nin ortalarından beri böyle bir vekil ayırt edici özelliği gösteren iki IP adresinde görüntülendi."
"Bu etkinlik zaman çizelgesi, trend micro'ya göre Eylül 2022'de gözlemlenen ancak ilk olarak Ocak 2022'nin sonlarında daha önce yükselebilen Zeon fidye yazılımı için bilinenle uyumludur" - Intrinsec
Ayrıca, IntrinSec analistleri, "Desktop-TCRDU4C" adlı bir makinede bir RDP hizmeti için bir TLS sertifikası tespit ettiler, bu da bazıları Royal fidye yazılımlarından campaings'teki buzlu kötü amaçlı yazılım damlasını kullanan saldırılarla ilişkilidir.
Daha önce IcedID, kuantum ve Conti grupları olarak yeniden markalanan Xinglocker'dan fidye yazılımı teslim etmek için kullanıldı.
Araştırmacılar ayrıca, TOR ağındaki 3 AM'nin veri sızıntı sitesinden HTML içeriğinin, Shodan'ın İnternet bağlantılı sunucular için platformu tarafından dizine eklendiğini, yani net web üzerinden mevcut olduğunu buldular.
Shodan, “NGINX ürünü ile ilişkili bir IP adresi gösterdi.
İzin ardından Intrinsec, sunucudaki aynı Apache HTTPD afişinin, hepsi “UAB Kiraz Sunucuları” adlı bir kuruluş tarafından barındırılan diğer 27 sunucuda bulunduğunu fark etti.
Cherry Serverlar, nispeten düşük bir sahtekarlık riskine sahip bir Litvanya barındırma şirketidir, ancak Tehdit İstihbarat Hizmetleri, şirketin müşterilerinin Cobalt Strike gibi kötü amaçlı yazılımlara ev sahipliği yaptığını gördü.
Daha yakın bir analiz, 27 sunucunun altısının aynı bağlantı noktasını, protokolü, apache ürününü aynı sürüm, özerk sistem (AS16125), organizasyon ve “LLC” metnini bir 'sınırlı sorumluluk şirketi' gösterdiğini ortaya koydu.
Bunun dışında, analiz edilen IP adreslerindeki alanlarda Google Trust Services LLC'den TLS sertifikaları vardı ve CloudFlare'e aktarıldı.
IntrinSec, aynı IP alt ağını geçen Nisan ayında Siber Güvenlik ve Yönetilen Hizmetler Şirketi Bridewell'in bir raporunda buldu ve ALPHV/Blackcat Fidye Yazılımı Operasyonunun arka uç altyapısını sadece UAB kiraz sunucuları ISS'de barındırdığını, aynı alt ağda kullanılan IP adreslerini barındırdığını belirtti. Bunlardan, Conti saldırıları için kullanılan buzlu kötü amaçlı yazılımlarla ilişkilendirilmiştir.
Intrinsec'in teknik bulgusu, Alphv'in Conti Sendikasının bir parçası olmayan, ancak çeteye saldırılar yapmak için çeşitli şekillerde yardımcı olabilecek bir müttefik grup olduğunu söyleyerek Redsense'den tehdit istihbaratı ile uyumludur.
Threeam hakkında daha fazla kamuoyu bilgisi için kazı yapan Intrinsec’in siber tehdit istihbarat ekibi, çetenin başarılı saldırılarının haberlerini yayınlamak için X (eski adıyla Twitter) 'da otomatik yanıtları kullanarak yeni bir gasp tekniğini test ettiğini keşfetti.
Tehdit oyuncusu geçen yıl 10 Ağustos'ta bir X/Twitter hesabı kurdu ve kurbanlarından birinden bahseden ve veri sızıntı sitesine yönlendirerek “sayısız yanıt” bırakmayı kullandı.
03:00 Ransomware, Tor Network'teki 3 AM'lerin veri sızıntı sitesine bir bağlantı ile kurbandan tweetlere ve bazıları aşağıdaki örnek gibi yüz binlerce takipçiye sahip çeşitli hesaplara cevap verdi.
Bu taktik muhtemelen saldırı ve müteakip veri sızıntısının haberlerini yaymak ve otomatik ambalaj hizmetleri sunan bir ABD şirketi olan kurbanın iş itibarına zarar vermek için kullanılmıştır.
Intrinsec araştırmacıları, Threeam'in aynı mesajı otomatik bir şekilde kullandığını, kurbanın takipçilerinden bazılarının birden fazla tweet'e yanıt vermek için kullandığını belirledi.
Intrinsec, BleepingComputer ile paylaşılan özel raporda, “Bir X/Twitter botunun böyle bir isim ve utanç kampanyası yapmak için kullanıldığını güvenle değerlendiriyoruz” diye yazıyor.
Bu teoriye işaret etmek, bazen günde 86 kadar, gerçek bir kullanıcının ortalaması ve dakikada yaklaşık dört civarında threeam yanıtlarının artan hacmi ve sıklığıdır.
Bu taktiğin sadece bir 3:00 kurbanı ile kullanılmış gibi göründüğünü belirtmek gerekir, çünkü muhtemelen aktörün beklediği sonuçları vermedi.
Tor ağındaki 3 AM'nin veri sızıntısı sitesine bir bakış, fidye ödemeyen ve tehdit oyuncusu verileri sızdıran 19 kurbanın bir listesini göstermektedir. Şaşırtıcı bir şekilde, 3 AM Sitesi, Lockbit Ransomware işleminin kullandığı siteye çok benziyor.
Intrinsec, “Threeam izinsiz giriş setleri daha az sofistike bir kraliyet alt grubu gibi görünse de” ve çetenin daha az operasyonel güvenlik sergilemesi olduğunu belirtiyor.
Conti siber suç sendikası, 2020 yılları arasında ve Mayıs 2022'de Conti sızıntıları olarak bilinen bir veri ihlali sonrasında kapandığında en büyük ve en agresif fidye yazılımı operasyonuydu.
En üretken hackleme çılgınlığından biri sırasında, operasyonun iştirakleri bir aydan biraz daha kısa bir sürede 40'tan fazla kuruluşu tehlikeye attı, en hızlı saldırılar ilk erişimden sadece üç gün sürdü.
Sendika birden fazla hücreye ayrıldı ve fidye yazılımı markası çözüldü, ancak üyelerinin ve iştiraklerinin çoğu, hedef analiz ve başlangıç erişiminden müzakerelere, altyapı, geliştiricilere ve operatörlere kadar bir saldırının tüm aşamaları için deneyimli bireylere katkıda bulunarak diğer operasyonlarla ortaklık kurdu. .
Bir devam, Redsense siber tehdit istihbarat araştırmacısı Yelisey Bohuslavskiy'e göre, birbirlerini kişisel olarak bilen üyelerle kapalı bir operasyon olan Royal Fidyeware, “Conti'nin doğrudan varisi”.
Bir hacker forumundaki bir yazı nedeniyle, bazı araştırmacılar kraliyet grubunun liderlerinden birinin kendilerini Baddie adını veren bir tehdit aktörü olduğunu düşünüyor. Bununla birlikte, bu konuda kamuya açık olarak başka hiçbir kanıt açıklanmadı ve bu gün fidye yazılımı sürekli değişen bir sahne ve Baddie'nin hizmet olarak birden fazla fidye yazılımı (RAAS) operasyonu ile çalışabileceğini söylüyor.
Birden fazla RAAS grubuyla çalışan bağlı kuruluşlar kadar kaotik bir sahnede, belirli bir çetenin üyelerini izlemek veya bir operasyona bağlamak zordur.
Tietoevry fidye yazılımı saldırısı İsveç firmaları, şehirler için kesintilere neden olur
Vans, North Face sahibi fidye yazılımı ihlalinin 35 milyon kişiyi etkilediğini söylüyor
TeamViewer, yeni fidye yazılımı saldırılarında ağları ihlal etmek için istismar etti
TeamViewer aracılığıyla yüklenen sürpriz fidye yazılımı ve bellekten yürütülür
MGM Resorts Fidye yazılımı saldırısı 100 milyon dolarlık kayıp, veri hırsızlığına yol açtı
Kaynak: Bleeping Computer