Siber Güvenlik Şirketi, fidye Yazılım Çetesinin Sızıntılarını Ele Geçiriyor

Siber güvenlik şirketi Resecurity, BlackLock fidye yazılımına sızarak cesur bir operasyon düzenledi. Şirket, kritik bilgiler toplamak için bu fidye yazılımının sistemlerine sızdı ve bu bilgileri mağdurlara yardım etmek için ulusal ajanslarla paylaştı.

ITPro daha önce bildirmişti ki BlackLock fidye yazılımı, özel kötü amaçlı yazılım ve çifte şantaj yöntemlerini kullanması nedeniyle 2024 yılında %1425 oranında bir artış yaşadı. Uzman tahminlerine göre BlackLock fidye yazılımı, 2025 yılında fidye yazılım saldırılarını kontrol edecek belirtiler gösteriyor.

Resecurity, 2024 tatil döneminde BlackLock’un TOR-tabanlı Veri Sızıntı Sitesi’ (DLS) yanlış yapılandırmasını keşfetti. Güvenlik açığı, BlackLock’a, altyapılarını barındıran clearnet sunucularının tam IP adreslerini açıkladı.

Yerel Dosya Dahil Etme (LFI) zafiyeti aracılığıyla Resecurity, yapılandırma dosyaları ve kimlik bilgilerini içeren sunucu tarafı verilere erişim elde etti. Şirket, Resecurity’nin tehdit unsuru hesaplarına karşı çok sayıda saat boyunca hash çözme saldırıları gerçekleştirdiğini belirtti.

Hash-çözme saldırıları, hashlenmiş şifreleri veya verileri tersine mühendislik yapmayı veya çözmeyi deneme sürecini tanımlar. Hashleme süreci, düz metin şifrelerini şifreleme algoritmaları aracılığıyla belirli bir uzunlukta karakter dizisine dönüştürür.

Hash’lerin amacı, onları tersine çevrilemez hale getirmektir, böylece saldırganlar hashlenmiş formundan orijinal şifreyi bulamazlar. Resecurity ekibi, BlackLock’ın hesaplarına erişim sağlamak için hash-çözme yöntemlerini kullandı, bu da onların altyapılarını kontrol altına almalarını sağladı.

Resecurity tarafından yönetilen veri toplama çabaları aracılığıyla BlackLock operatörlerinin komut geçmişi bilgilerine ulaşıldı. Güvenlik olayı, kritik bir operasyonel güvenlik zayıflığını ortaya çıkaran kopyalanmış kimlik bilgilerini ortaya çıkardı.

BlackLock operatörü “$$$” tüm yönetilen hesaplarında aynı şifreyi yeniden kullandı, böylece grubun operasyonları hakkında daha fazla bilgi ortaya çıktı. Araştırmaları aracılığıyla Resecurity, BlackLock’ın veri hırsızlık faaliyetlerini gerçekleştirmek için Mega dosya paylaşım hizmetine bağımlı olduğunu keşfetti.

Suç örgütü, hem müşteri uygulamasını hem de rclone yardımcı programını kullanarak, kurbanların makinelerinden çalınan verileri Mega platformuna erişmek için sekiz e-posta hesabı işletti ve bunları kendi DLS’lerine taşıdı.

Suç örgütü bazen verileri kurban makinelerinden çalmak için Mega müşteri yazılımını kullandı, çünkü bu, verilerin dışa aktarılmasının daha az tespit edilebilir bir yöntemini sağladı.

Hedef, büyük olarak sınıflandırılan bir Fransız hukuk hizmetleri sağlayıcısıydı. Ağlarına erişim sağlayan Resecurity, BlackLock’un yaklaşan veri sızıntı operasyonları hakkında bilgi edindi ve bu, verilerin halka açık hale gelmesinden iki gün önce CERT-FR ve ANSSI’yi bilgilendirmelerini sağladı, bu durum The Register tarafından belirtildi.

Kanada Siber Güvenlik Merkezi ile istihbarat paylaşımı aracılığıyla Resecurity, Kanadalı bir kurbanı, veri sızıntısı konusunda 13 gün önceden uyarma imkanı buldu, diye The Register belirtti.

Resecurity’nin saldırılar hakkındaki erken uyarıları sayesinde mağdurlar, uygun savunma önlemleri geliştirmek için yeterli zaman kazandı. Şirket, dünya çapında suçlu siber operasyonları bozmak için aktif önlemlerin gerekliliğini vurguladı.

Mevcut bilgiler, BlackLock’ın Rusya ve Çin forumlarından faaliyet gösterdiğini ve BRICS ve CIS ülkelerini hedef almayı önlemek için kuralları takip ettiğini ve Mega hesapları için bu ülkelerden IP adreslerini kullandığını ortaya koyuyor.

Eylemleri aracılığıyla Resecurity, olası kurbanları zarardan korumak için fidye yazılım saldırılarıyla nasıl başa çıktığını ve saldırgan siber güvenlik operasyonlarının nasıl başarılı olduğunu gösteriyor.