Black Basta Fidye Yazılımı: Bir Siber Güvenlik Tehdidinin Ortaya Çıkışı
Fidye yazılımı saldırıları siber tehdit ortamının temel unsurlarından biri haline geldi ve en kötü şöhretlileri arasında Black Basta Fidye Yazılımı. Bu kötü amaçlı yazılım, Hermes, Ryuk ve Conti gibi önceki fidye yazılımı ailelerinin miraslarından yararlanarak hızla gelişmiştir. Black Basta, 2022'nin başlarında ortaya çıkmasından bu yana siber suç yeraltı dünyasında agresif bir şekilde tanıtıldı ve hızla dünya çapındaki siber güvenlik uzmanları ve kuruluşları için önemli bir endişe kaynağı haline geldi.
Black Basta Fidye Yazılımının Profili
Kökeni ve Evrimi
Black Basta sadece başka bir fidye yazılımı değil; yıllardır dijital dünyayı rahatsız eden siber tehditlerin sofistike bir evrimidir. Onun agresif tanıtım Siber suç topluluğu içinde, yaygın hasar verme ve önemli karlar elde etme niyetleri olan iyi organize olmuş bir grup anlamına gelir.
Hedef Endüstriler
Bazı sektörler, verilerinin hassas yapısı ve toplumda oynadıkları kritik rol nedeniyle Black Basta saldırılarına karşı daha savunmasızdır. Birincil hedefler şunlardır:
- Sağlık Hizmetleri
- Hükümet
- Finansal Hizmetler
- Eğitim
- Medya
Özellikle, Black Basta operatörleri, stratejik olarak, kendi ülkelerindeki kuruluşları hedef almaktan kaçınmaktadır. Bağımsız Devletler Topluluğu (BDT)Bu da operasyonlarının arkasında olası bir coğrafi köken ya da siyasi neden olduğunu düşündürmektedir.
Yayılım ve Teknik Detaylar
Enfeksiyon Vektörleri
Black Basta fidye yazılımı öncelikle şu yollarla yayılır Cobalt Strike veya benzer çerçeveler kullanarak ağlara sızmak için gelişmiş yeteneklerinden yararlanırlar. Ek olarak, e-posta oltalama kampanyaları yaygın bir doğum yöntemidir ve genellikle daha şiddetli atakların habercisi olarak hizmet eder.
Saldırı Metodolojisi
İlk enfeksiyon tipik olarak bir Qakbot makro tabanlı Microsoft Office belgeleri, ISO+LNK dropper'ları veya MSDTC uzaktan kod çalıştırma güvenlik açığı gibi güvenlik açıklarından yararlanan .docx belgeleri gibi çeşitli biçimlerde olabilen e-posta yoluyla dağıtım (CVE-2022-30190). Sisteme girdikten sonra, operatörler Qakbot arka kapısı aracılığıyla manuel keşif yapar ve genellikle yardımcı programları kök C:\ sürücüsündeki yanıltıcı olarak adlandırılmış dizinlere yerleştirir.
Ağ taraması SoftPerfect ağ tarayıcısı ve WMI hizmetleri gibi araçlar kullanılarak gerçekleştirilir ve şifrelemeden önce yaygın uç nokta güvenlik ürünlerini tespit edip devre dışı bırakmaya çalışır. Fidye yazılımı ayrıca aşağıdaki gibi bilinen istismarları kullanarak yerel ve etki alanı düzeyinde ayrıcalık yükseltme kullanır ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42287, CVE-2021-42278), ve PrintNightmare (CVE-2021-34527).
Tespit ve Hafifletme Stratejileri
Algılama
Black Basta'yı tespit etmek için kuruluşlar şunları kullanmalıdır antimalware yazılımı veya imzalar, sezgisel yöntemler veya makine öğrenimi algoritmaları aracılığıyla fidye yazılımlarını tanımlayıp engelleyebilen güvenlik araçları. Ağ trafiğinin tehlikeye girme göstergeleri ve olağandışı modeller açısından izlenmesi de çok önemlidir. Düzenli güvenlik denetimleri, güvenlik kontrollerinin etkinliğini daha da doğrulayabilirken, çalışanları siber güvenliğin en iyi uygulamaları konusunda eğitmek ilk savunma hattını oluşturmaya yardımcı olur.
Hafifletme
Black Basta gibi fidye yazılımlarının yarattığı riskleri azaltmak çok yönlü bir yaklaşım gerektirir. Çalışanların fidye yazılım riskleri ve güvenli uygulamalar hakkında eğitilmesi çok önemlidir. Kuruluşlar güçlü, benzersiz parolalar ve düzenli parola değişikliklerini zorunlu kılmalı ve çok faktörlü kimlik doğrulama (MFA)ve sistemleri en son yamalarla güncel tutun. Tesis dışı yedekleme depolaması ve yedekleme bütünlüğünün düzenli olarak test edilmesi dahil olmak üzere sağlam yedekleme ve felaket kurtarma süreçlerinin uygulanması, bir saldırı durumunda veri bütünlüğünün korunması için kritik öneme sahiptir.
SentinelOne Singularity XDR Platformu
Bu SentinelOne Singularity XDR Platformu Black Basta ile ilişkili kötü niyetli davranışları ve eserleri tespit etmek ve önlemek için tasarlanmıştır. Aşağıdaki gibi özellikler Onarım veya Geri Alma sistemleri saldırı öncesi durumlarına geri yükleyerek bu tür tehditlere karşı bir dayanıklılık katmanı sunabilir. Savunmalarını güçlendirmek isteyen kuruluşlar için SentinelOne demo talebi bu platformun yetenekleri hakkında daha fazla bilgi sağlayabilir.
Fidye Yazılımı ve Kripto Para
Black Basta da dahil olmak üzere fidye yazılımı grupları genellikle fidye ödemelerini kripto para birimleri. Bu dijital para birimlerinin sözde anonim doğası, işlemlerin daha zor izlenmesine olanak tanır ve geleneksel finans kurumlarına ihtiyaç duymadan sınır ötesi ödemeleri kolaylaştırır. Fidye yazılım operasyonlarının bu yönü, siber suçlar ve kripto para piyasaları arasındaki karmaşık ilişkinin altını çizmektedir.
Black Basta'nın Faaliyetlerine Derinlemesine Bakış
Yüksek Hedefli Saldırılar
Siyah Basta, lezzetleriyle tanınır. yüksek hedefli saldırılargenellikle spear-phishing kampanyaları yoluyla ihlalleri başlatmaktadır. Nisan 2022'de grup, sızma çabalarını kolaylaştırmak için ilk erişim aracılarıyla (IAB'ler) işbirliği yapmaya istekli olduğunu göstererek kurumsal ağ erişimi satın almaya çalıştı.
İkinci Aşama Saldırı Taktikleri
İlk erişim sağlandıktan sonra, Black Basta ikinci aşama saldırılar için çeşitli taktikler kullanır. Grubun şu yöntemleri kullandığı bilinmektedir QakBot hırsızı, MimiKatz ve kimlik bilgisi toplama için Windows Yönetim Araçları (WMI) API'si. Gibi araçlar PowerShell ve PsExec gibi güvenlik açıkları yanal ağ erişimi için kullanılırken ZeroLogon, NoPacve PrintNightmare ayrıcalık yükseltme için istismar edilir.
Kara Basta'ya karşı savunmayı daha da karmaşık hale getiren şey Kobalt Vuruş İşaretleri, kullanımı SystemBC komuta ve kontrol (C2) proxy'si için ve Rclone veri sızıntısı için.
Şifreleme Süreci
Black Basta'nın şifreleme süreci metodik ve yıkıcıdır. Antivirüs yazılımını devre dışı bırakmakla başlar, ardından PowerShell aracılığıyla şifreleme yükünü çalıştırır. Fidye yazılımı sistem gölge kopyalarını vssadmin.exe Veri kurtarmayı önlemek için gizleme ve rastgele dosya adları kullanan özel bir fidye yazılımı yükü kullanır. Başlangıçta Conti fidye yazılımına benzer olsa da, sonraki sürümler Crypto++ kütüphanesi ve çalışan XChaCha20 şifreleme ve anahtar yönetimi için Eliptik Eğri Kriptografisi (ECC).
Ek Teknikler
Kurtarma çabalarını daha da engellemek için Black Basta'nın DNS hizmetlerini devre dışı bıraktığı bilinmektedir. Grup ayrıca Linux tabanlı VMware ESXi sanal makinelerini hedef alan fidye yazılımları da geliştirerek saldırılarının kapsamını Windows ortamlarının ötesine taşımıştır.
Finansal Etki ve Aklama
Kazançlar ve Aklama
Elliptic ve Corvus Insurance'taki araştırmacılar, Black Basta'nın en az $107 milyon Bu rakam, grubun finansal etkisinin altını çizen şaşırtıcı bir rakam. Aklanan fidye ödemelerinin çoğu, ABD yaptırımları altında olan Rus kripto para borsası Garantex'e kadar izlendi. Garantex sözcüsünün borsanın siber suçlarla mücadeleye açık olduğunu belirtmesine rağmen, Black Basta'nın fidye ödemeleriyle olan ilişkisi önemli endişelere yol açıyor.
Conti Group Bağlantıları
Kanıtlar, Black Basta'nın feshedilmiş bir örgütle bağlantısı olduğunu gösteriyor. Conti GrupUkrayna'nın işgali ve ABD'nin liderlerine ödül koymasının ardından dağılmadan önce önde gelen bir fidye yazılımı çetesiydi. Birçok kişi Conti'den kişilerin şu anda Black Basta adı altında faaliyet gösterdiğine ve kazançlı siber gasp faaliyetlerini sürdürdüğüne inanıyor.
Uzlaşma Göstergeleri (IoC'ler)
Uzlaşma Göstergeleri, kuruluşların potansiyel Black Basta saldırılarını tespit etmesi için kritik öneme sahiptir. Bilinen IoC'lerden bazıları şunlardır:
- Fidye Notu:
readme.txt - Oluşturulan Dosyalar:
%Temp%\fkdjsadasd.ico,%Temp%\dlaksjdoiwq.jpg - Ortaya Çıkan Süreçler:
cmd.exeBirim Gölge Kopyalarını silmek için - Kayıt Defteri Anahtarı Oluşturuldu:
HKEY_CLASSES_ROOT\.basta
Black Basta Kötü Amaçlı Yazılımının Analizi
Black Basta kötü amaçlı yazılımının derin analizi, işleyişinin karmaşık ayrıntılarını ortaya koymaktadır. Bir örnek için SHA256 hash'i şöyledir ae7c868713e1d02b4db60128c651eb1e3f6a33c02544cc4cb57c3aa6c6581b6e. Fidye yazılımı, Birim Gölge Kopyalarını silmek, JPG ve ICO dosyaları oluşturmak, kayıt defteri anahtarlarını değiştirmek ve şifreleme işlemini başlatmak gibi bir dizi işlem gerçekleştirir. Fidye yazılımının kullanımı ChaCha20 algoritması Anahtar ve nonce RSA şifrelemeli şifreleme için, veri tehlikeye atmaya yönelik sofistike bir yaklaşıma işaret eder.
Haber Olayları ve Dış Gözlemler
Son zamanlarda meydana gelen olaylar Black Basta'nın faaliyetlerinin ciddiyetini gün ışığına çıkardı. Grubun Rusya ile olan şüpheli bağlantısı ve önemli fidye gelirleri araştırmacılar ve siber güvenlik uzmanları tarafından vurgulanmıştır. Fidye ödemelerinin yaptırım uygulanan kuruluşlar aracılığıyla aklanması, bu fidye yazılımıyla mücadelenin zorluğuna bir başka karmaşıklık katmanı daha ekliyor.
Sonuç
Black Basta fidye yazılımı, hedefli saldırıları, sofistike şifreleme yöntemleri ve önemli finansal etkisiyle siber güvenlik ortamında zorlu bir tehdidi temsil etmektedir. Kuruluşlar, SentinelOne Singularity XDR gibi gelişmiş güvenlik platformlarından yararlanarak ve en son tehdit istihbaratı hakkında bilgi sahibi olarak savunma stratejilerinde tetikte ve proaktif kalmalıdır.
Siber suçlular taktiklerini geliştirmeye devam ettikçe, siber güvenlik topluluğu da aynı çeviklik ve kararlılıkla uyum sağlamalı ve yanıt vermelidir. Farkındalık, eğitim ve sağlam güvenlik önlemleri, Black Basta gibi fidye yazılımı tehditlerine karşı etkili bir savunmanın temel taşlarıdır.
TR 
EN