Kaspersky arastirmasi: Cuba kaynakli fidye yazilimi yeni kötü amaçli yazilimlar yayiyorAbdulselam Durdak- Kaspersky Siber Güvenlik Uzmani Gleb Ivanov: - "Cuba gibi fidye yazilimi çeteleri evrim geçirip taktiklerini gelistirdikçe potansiyel saldirilari etkili bir sekilde azaltmak için bunlarin kullandiklari taktiklerin önüne geçmek çok önemli"
ISTANBUL (AA) - Kaspersky arastirmasina göre, Cuba, yakin zamanda gelismis tespitlerden kaçan zararli yazilimlar yaymaya devam etti ve dünya genelindeki kuruluslari hedef alarak arkasinda çesitli sektörlerde güvenligi ihlal edilmis sirketlerden olusan bir iz birakti.
Kaspersky, Cuba olarak bilinen taninmis fidye yazilimi grubunun faaliyetlerine iliskin yeni arastirmasini duyurdu.
Arastirmaya iliskin yapilan açiklamaya göre, söz konusu siber suç çetesi, yakin zamanda gelismis tespitlerden kaçan zararli yazilimlar yaymaya devam etti ve dünya genelindeki kuruluslari hedef alarak arkasinda çesitli sektörlerde güvenligi ihlal edilmis sirketlerden olusan bir iz birakti.
Kaspersky, Aralik 2022'de müsterilerinden birinin sisteminde süpheli bir olay tespit etti ve ardindan 3 süpheli dosyayi ortaya çikardi. Bu dosyalar, BUGHATCH olarak da bilinen "komar65" kütüphanesinin yüklenmesine yol açan bir dizi eylemi tetikliyordu.
BUGHATCH, bellekte konuslandirilan sofistike bir arka kapiya karsilik geliyor. Bu arka kapi çesitli islevler içeren Windows API'sini kullanarak kendisine tahsis edilen bellek alaninda gömülü bir kabuk kodu blogu çalistiriyor. Daha sonra bir komuta kontrol (C2) sunucusuna baglanarak siradaki talimatlari bekliyor. Bu yolla Cobalt Strike Beacon ve Metasploit gibi yazilimlari indirmek için komutlar alabiliyor. Saldirida Veeamp'in kullanilmasi, Cuba'nin bu ise dahil oldugu ihtimalini artiriyor.
Özellikle PDB dosyasi, Rusça "sivrisinek" anlamina gelen "komar" klasörüne atifta bulunarak grup içinde Rusça konusan üyelerin olasi varligina isaret ediyor. Kaspersky tarafindan yapilan ileri analizler, Cuba grubu tarafindan dagitilan ve zararli yazilimin islevselligini artiran ek modülleri de ortaya çikardi. Bu modüllerden birinin, HTTP POST istekleri araciligiyla bir sunucuya gönderilen sistem bilgilerini toplamaktan sorumlu oldugu görüldü.
Arastirmalarini derinlestiren Kaspersky, VirusTotal'de Cuba grubuna atfedilen yeni kötü amaçli yazilim örnekleri ortaya çikardi. Bu örneklerden bazilari diger güvenlik saglayicilari tarafindan tespit edilmekten kurtulmayi basarmisti. Bu örnekler, antivirüs tespitinden kaçmak için sifrelenmis veriler kullanan BURNTCIGAR kötü amaçli yaziliminin yinelemelerini temsil ediyor.
Açiklamada görüslerine yer verilen Kaspersky Siber Güvenlik Uzmani Gleb Ivanov, "Bulgularimiz, en son raporlara ve tehdit istihbaratina erisimin öneminin altini çiziyor. Cuba gibi fidye yazilimi çeteleri evrim geçirip taktiklerini gelistirdikçe potansiyel saldirilari etkili bir sekilde azaltmak için bunlarin kullandiklari taktiklerin önüne geçmek çok önemli. Siber tehditlerin sürekli degistigi bir ortamda, yeni ortaya çikan siber suçlulara karsi en büyük savunmamiz bilgi olacaktir." ifadelerini kullandi.
- Derleme zaman damgasini degistiriyor
Verilen bilgiye göre, Cuba, ek kütüphanelere ihtiyaç duymadan çalisabilmesi nedeniyle tespit edilmesi zor olan tek dosyali bir fidye yazilimi türü olusuyla dikkati çekiyor. Rusça konusan bu grup, Kuzey Amerika, Avrupa, Okyanusya ve Asya'da perakende, finans, lojistik, hükümet ve üretim gibi sektörleri hedef alan genis erisim agiyla taniniyor. Halka açik ve tescilli araçlarin bir karisimini kullaniyor, araç setlerini düzenli olarak güncelliyor ve BYOVD (Bring Your Own Vulnerable Driver) gibi taktiklerden yardim aliyor.
Operasyonlarin ayirt edici özelliklerinden biri de arastirmacilari yaniltmak için derleme zaman damgalarini degistirmesi olarak görülüyor. Örnegin, 2020'de bulunan bazi örneklerin derleme tarihi 4 Haziran 2020 iken, daha yeni sürümlerdeki zaman damgalari 19 Haziran 1992'den kalma gibi gösteriliyor. Grubun benzersiz yaklasimlari sadece verileri sifrelemeyi degil, ayni zamanda finansal belgeler, banka kayitlari, sirket hesaplari ve kaynak kodu gibi hassas bilgileri elde etmek üzere saldirilarin uyarlanmasini da içeriyor. Yazilim gelistirme firmalari özellikle risk altinda bulunuyor. Grup dinamik yapisini koruyor ve tekniklerini sürekli olarak gelistiriyor.