Black Basta Fidye Yazılımı

[alcalmc]

Bu fidye yazılımı varyantı şu ana kadar 500 hedefe karşı kullanıldı - işte bilmeniz gerekenler :

 

Güvenlik kurumları, kurbanlardan 100 milyon doların üzerinde para sızdırmak için kullanılan bir fidye yazılımı varyantı hakkında yeni bir uyarı yayınladı ve şu anda 500'den fazla kuruluşun bu tür kullanılarak saldırıya uğradığı konusunda uyardı.

FBI ve CISA, ABD Sağlık ve İnsan Hizmetleri Bakanlığı (HHS) ile birlikte Black Basta fidye yazılımı hakkında ortaklaşa bir uyarı yayınladı. Fidye yazılımının bu özel türünü kullanan çetelerin şu anda sağlık hizmetleri de dahil olmak üzere 16 kritik altyapı sektöründen en az 12'sinden verileri şifrelediğini ve çaldığını söylediler.

Bu kurumların şu anda bir uyarı yayınlamasına neyin neden olduğu tam olarak belli olmasa da, geçen hafta sağlık hizmetleri ağı Ascension, elektronik sağlık kayıt sistemlerinin yanı sıra test, prosedür ve ilaç siparişi vermek için kullanılan sistemleri de etkileyen bir fidye yazılımı saldırısına uğradı.

 

CNN, Black Basta'nın kullanılan fidye yazılımı çeşidi olduğunu bildirirken, Sağlık BT güvenlik grubu Health-ISAC, grubun son zamanlarda sağlık sektörüne yönelik saldırıları hızlandırdığını söyledi.

"Geçtiğimiz ay Avrupa'da ve Amerika Birleşik Devletleri'nde en az iki sağlık kuruluşu Black Basta fidye yazılımının kurbanı oldu ve ciddi operasyonel aksaklıklar yaşadı. Bu son gelişmeleri dikkate alan Health-ISAC, Black Basta'nın sağlık sektörü için önemli bir tehdit oluşturduğunu değerlendirmiştir" denildi.

 

Black Basta fidye yazılımı nedir?

Black Basta bir tür hizmet olarak fidye yazılımıdır (RaaS), yani saldırı başlatma kabiliyeti, onu kullanmak isteyen suçlulara etkin bir şekilde kiralanır. İlk olarak Nisan 2022'de tespit edildi ve o zamandan beri onu kullanan gruplar Kuzey Amerika, Avrupa ve Avustralya'da 500'den fazla kuruluşa saldırdı. Black Basta fidye yazılımının Windows ve Linux varyantları bulunmaktadır.

Geçen yıl Kasım ayında yayınlanan bir analize göre, grup ve bağlı kuruluşları 90'dan fazla kurbandan 100 milyon doların üzerinde para gasp etmişti. Alınan en büyük fidye ödemesi 9 milyon dolardı ve fidyelerin en az 18'i 1 milyon doları aşıyordu. Uzmanlara göre bu rakamlar şu anda çok daha yüksek olabilir.

 

Grup, Rusça konuşan RaaS tehdit grubu Conti'nin yeniden markalaşmış hali olabilir ve çok büyük miktarda hassas kişisel veriye sahip bir sektör olduğu için özellikle sağlık hizmetlerini hedef aldığına inanılıyor.

CISA ve FBI uyarısında, "Sağlık kuruluşları büyüklükleri, teknolojik bağımlılıkları, kişisel sağlık bilgilerine erişimleri ve hasta bakımı kesintilerinden kaynaklanan benzersiz etkileri nedeniyle siber suç aktörleri için cazip hedeflerdir" denildi.

Black Basta fidye yazılımını kullanan çeteler, kimlik avı gibi teknikler kullanmakta ve ağlara erişim sağlamak için yaması yapılmamış bilinen güvenlik açıklarından faydalanmaktadır.

Güvenlik şirketi Kroll'a göre Black Basta saldırganları, parola korumalı bir zip dosyası içinde e-posta ile gönderilen kötü niyetli bir belgeye bağlantı yoluyla ilk erişimi elde edebiliyor. Belge çıkarıldıktan sonra, arka kapı erişimi oluşturmak için Qakbot bankacılık truva atını yüklüyor ve ardından bir C2 sunucusuyla şifreli bir bağlantı kuruyor.

Black Basta genellikle yasal uzaktan erişim yazılım araçlarını kullanarak bir ağ üzerindeki hakimiyetini sürdürecektir.

Spearphishing saldırıların başlamasının tek yolu değildir. FBI ve CISA, Şubat 2024'ten itibaren Black Basta bağlı kuruluşlarının ConnectWise güvenlik açığı CVE-2024-1709'dan yararlanmaya başladığını belirtti.

Tehdit aktörleri bir ağa erişim sağladıktan sonra etrafta dolaşmaya başlar ve daha fazla sisteme erişim sağlamak için daha fazla kimlik bilgisi çalmaya ve ağ ayrıcalıklarını yükseltmeye çalışırlar. Uç nokta tespit ve müdahale araçları da dahil olmak üzere antivirüs ürünlerini devre dışı bırakmaya çalışırlar.

Bu sağlandıktan sonra, erişebildikleri dosyaları RSA-4096 genel anahtarlı bir ChaCha20 algoritması ile tamamen şifrelerler. Dosya adlarına .basta veya başka bir şekilde rastgele bir dosya uzantısı eklenir ve ele geçirilen sisteme readme.txt başlıklı bir fidye notu bırakılır.

 

FBI ve CISA, sistem kurtarma girişimlerini zorlaştırmak için saldırganların birim gölge kopyalarını da silmeye çalışacağını söyledi.

Benzer şekilde, sıklıkla çifte gasp modeli olarak adlandırılan modeli kullanırlar; bu da hem sistemleri şifreleyecekleri hem de verileri dışarı sızdıracakları anlamına gelir.

Fidye notları genellikle ilk fidye talebini veya ödeme talimatlarını içermez. Bunun yerine, notlar kurbanlara bir kod sağlar ve bir .onion URL'si aracılığıyla fidye yazılımı grubuyla iletişime geçmelerini söyler.

Fidye notları kurbanlara, fidye yazılımı grubu verilerini Black Basta sitesi Basta News'de yayınlamadan önce fidyeyi ödemek için pazarlık yapmaları için 10 ila 12 gün veriyor.

 

Kendinizi fidye yazılımlarından nasıl korursunuz?

FBI, CISA ve HHS, sağlık şirketleri ve diğer kritik altyapı kuruluşlarının Black Basta ve diğer fidye yazılımı saldırılarından etkilenme olasılığını azaltmak için bir dizi yöntem kullanmaları gerektiğini söyledi.

Bunlar şunları içerir:

    İşletim sistemleri, yazılımlar ve aygıt yazılımları için güncellemelerin yayınlanır yayınlanmaz, istismar edildiği bilinen güvenlik açıklarına öncelik verilerek yüklenmesi.
    Mümkün olduğunca çok sayıda hizmete kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulama eklemek
    Kullanıcıları kimlik avı girişimlerini tanımaları ve bildirmeleri için eğitmek
    Uzaktan erişim yazılımının güvenliğinin sağlanması ve cihazların onarılıp geri yüklenebilmesi için kritik sistemlerin ve cihaz konfigürasyonlarının yedeklerinin alınması.

Kurumlar ayrıca sağlık ve kritik altyapı kuruluşlarına özel bazı tavsiyelerde de bulunmuştur:

 

    Siber güvenlik uzmanları, kritik veri ve sistemlerin uygun şekilde korunduğundan emin olmak için tüm karşılıklı bağımlılıkları ve hangi yazılımların çalıştığını belirlemelidir.
    Kuruluşlar kötü amaçlı yazılımdan koruma yazılımı yüklemeli ve personel gömülü veya sahte köprülere dikkat etmelidir.
    Güvenlik açığının giderilmesi için, devam eden operasyonlar için en kritik olan veya etkilenmesi halinde iş sürekliliğini veya hassas kişisel bilgileri etkileyebilecek varlıklara öncelik verin.

FBI, CISA ve HHS'nin teşvik etmediklerini söyledikleri tek bir şey var, o da fidye ödemek, çünkü ödeme mağdur dosyalarının kurtarılacağını garanti etmiyor, dediler.

"Ayrıca, ödeme düşmanları başka kuruluşları hedef alma konusunda cesaretlendirebilir, diğer suç aktörlerini fidye yazılımı dağıtımına katılmaya teşvik edebilir ve/veya yasadışı faaliyetleri finanse edebilir" uyarısında bulundular.

 

Kaynak