dit kümesinin son faaliyetlerini haritalandırarak yeni ScRansom fidye yazılımının konuşlandırıldığını belgeledi ve başka esaslı fidye yazılımı çeteleriyle temaslarını keşfetti. CosmicBeetle, bilhassa Avrupa ve Asya’daki küçük ve orta ölçekli işletmelere (KOBİ’ler) fidye yazılımı yayıyor. Siber hatalıların Türkçe fidye notu ve mail adresleri kullanmaları bu ziyanlı yazılımın arkasında bir Türk mü var kuşkusu uyandırdı.
ESET Research, tehdit aktörünün sızdırılan LockBit oluşturucusunu kullandığını ve LockBit’in fidye yazılımı prestijinden yararlanmaya çalıştığını gözlemledi. LockBit’in yanı sıra ESET, CosmicBeetle’ın muhtemelen Mart 2024’ten bu yana faal olan ve süratle artan faaliyetleriyle yeni bir fidye yazılımı çetesi olan hizmet olarak fidye yazılımı aktörü RansomHub’ın yeni bir iştiraki olduğuna inanıyor.
CosmicBeetle’ın son faaliyetlerini tahlil eden ESET araştırmacısı Jakub Souček, “Muhtemelen sıfırdan özel fidye yazılımı yazmanın getirdiği zorluklar nedeniyle CosmicBeetle temel fidye yazılımındaki problemleri maskelemek ve kurbanların ödeme yapma bahtını artırmak için LockBit’in prestijinden yararlanmaya çalıştı“ dedi.” Buna ek olarak, yakın vakitte ScRansom ve RansomHub yüklerinin yalnızca bir hafta ortayla birebir makineye yerleştirildiğini gözlemledik. RansomHub’ın bu formda çalıştırılması, ESET telemetrisinde gördüğümüz tipik olaylara kıyasla çok sıra dışıydı fakat CosmicBeetle’ın çalışma yoluna epey benziyordu. RansomHub’ın halka açık sızıntıları olmadığından bu durum, CosmicBeetle’ın onların yeni bir iştiraki olabileceğine inanmamıza yol açıyor” diye ekledi.
Saldırıların gerisinde bir Türk olabilir mi?
CosmicBeetle, muhtemelen son birkaç yılın en makus şöhretli fidye yazılımı çetesi olan ve kısa müddet evvel çökertilen LockBit’i taklit ederek bu meseleleri kısmen ele almaya ya da daha doğrusu gizlemeye çalıştı. LockBit ismini kullanarak kurbanları ödeme yapmaya daha kolay ikna etmeyi umuyordu. CosmicBeetle ayrıyeten Türkçe fidye notu içeren özel örneklerini oluşturmak için sızdırılan LockBit Black builder’ı kullandı. Zaufana Trzencia Strona analistleri yakın vakitte CosmicBeetle hakkında bir blog yazısı yayımlayarak CosmicBeetle’ı gerçek bir şahsa – bir Türk yazılım geliştiricisine – atfetmiş olsalar da ESET araştırmacıları bu atfın yanlışsız olduğunu düşünmüyor.
Saldırıdan etkilenen kesimler: Üretim, ilaç, hukuk, eğitim, sıhhat, teknoloji, konaklama-eğlence, finansal hizmetler ve lokal yönetimler
CosmicBeetle amaçlarına saldırmak için ekseriyetle kaba kuvvet yollarını benimser. Bunun yanı sıra bilinen çeşitli güvenlik açıklarını da berbata kullanır. Dünyanın dört bir yanındaki her türlü dikey daldan küçük ve orta ölçekli işletmeler, bu tehdit aktörünün en yaygın kurbanlarıdır zira etkilenen yazılımı kullanma mümkünlüğü en yüksek olan yahut sağlam yama idaresi süreçlerine sahip olmayan kesim budur. ESET Research, KOBİ’lere yönelik taarruzları şu bölümlerde gözlemledi: Üretim, ilaç, hukuk, eğitim, sıhhat, teknoloji, konaklama-eğlence, finansal hizmetler ve bölgesel idare.
ScRansom şifrelemenin yanı sıra etkilenen makinedeki çeşitli süreçleri ve hizmetleri de öldürebilir. CosmicBeetle değişik amaçları tehlikeye atmayı ve onlara büyük ziyan vermeyi başarmış olsa da ScRansom çok karmaşık bir fidye yazılımı değildir. Bunun nedeni çoğunlukla CosmicBeetle’ın fidye yazılımı dünyasında olgunlaşmamış bir aktör olması ve ScRansom’un dağıtımında yaşanan sıkıntılardır. ScRansom’dan etkilenen ve ödeme yapmaya karar veren kurbanlar dikkatli olmalıdır.
ESET Research, CosmicBeetle tarafından son şifreleme şeması için kullanılan bir şifre çözücü elde etmeyi başardı. ScRansom daima geliştiriliyor, bu da fidye yazılımları için asla yeterli bir işaret değil. Şifreleme (ve şifre çözme) sürecinin çok karmaşıklığı yanılgılara açık ve tüm evrakların geri yüklenmesini kuşkulu hale getirir. Başarılı bir şifre çözme süreci, şifre çözücünün düzgün çalışmasına ve CosmicBeetle’ın gerekli tüm anahtarları sağlamasına bağlıdır ve bu durumda bile kimi evraklar tehdit aktörü tarafından kalıcı olarak yok edilebilir. En uygun senaryoda bile şifre çözme süreci uzun ve karmaşıktır.
En az 2020’den beri faal olan CosmicBeetle, ESET araştırmacılarının 2023’te keşfettiği bir tehdit aktörüne verdiği isimdir. Bu tehdit aktörü en çok ScHackTool, ScInstaller, ScService ve ScPatcher’dan oluşan ve çoklukla Spacecolon olarak isimlendirilen özel Delphi araçları koleksiyonunu kullanmasıyla biliniyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı
