BlackCat Ransomware çetesi dünya çapında 60'tan fazla kuruluşu ihlal etti

BlackCat Ransomware çetesi dünya çapında 60'tan fazla kuruluşu ihlal etti

ABD FBI tarafından yayınlanan bir flaş rapor, BlackCat fidye yazılımı tarafından dünya çapında en az 60 varlığın ihlal edildiği konusunda uyardı.

ABD Federal Soruşturma Bürosu (FBI), Kasım ayında faaliyetlerine başladığından beri dünya çapında en az 60 varlığın BlackCat fidye yazılımı (aka ALPHV ve Noberus) tarafından ihlal edildiğini belirten bir flaş rapor yayınladı.

"Federal Soruşturma Bürosu (FBI), dünya çapında en az 60 varlığı tehlikeye atan bir Hizmet Olarak Fidye Yazılımı olan BlackCat/ALPHV'yi içeren saldırılarla ilişkili güvenlik ihlali göstergelerini (IOC'ler) ayrıntılandıran bir Flash raporu yayınladı." flaş uyarısını okur. "CISA, kullanıcıları ve yöneticileri FBI Flash CU-000167-MW'deki IOC'leri ve teknik ayrıntıları gözden geçirmeye ve önerilen azaltmaları uygulamaya teşvik ediyor."

Çetenin kurbanlarının listesi Moncler, Swissport ve Inetum'u içeriyor.

BlackCat/ALPHV bir Fidye Yazılımı ilk olarak Aralık ayında Recorded Future ve MalwareHunterTeam'den kötü amaçlı yazılım araştırmacıları tarafından keşfedildi. Kötü amaçlı yazılım, Rust programlama dilinde yazılmış ilk profesyonel fidye yazılımı türüdür.

BlackCat, Windows, Linux ve VMWare ESXi sistemlerini hedefleyebilir, ancak şu anda kurbanların sayısı sınırlıdır. Popüler kötü amaçlı yazılım araştırmacısı Michael Gillespie, BlackCat fidye yazılımının "çok karmaşık" olduğunu söyledi.

Recorded Future uzmanları, ALPHV olarak bilinen BlackCat fidye yazılımının yazarının daha önce REvil fidye yazılımı operasyonlarına dahil olduğunu tahmin ediyor.

Uyarıya göre, çete için geliştiricilerin ve kara para aklayıcıların çoğu,
Darkside/Blackmatter operasyonları.

ALPHV, Aralık ayının başından beri XSS ve Exploit siber suç forumlarında BlackCat Hizmet Olarak Fidye Yazılımının (RaaS) reklamını yapıyor. Diğer fidye yazılımı grupları gibi, çete de kurbanlar ödeme yapmazsa çalınan verileri sızdırmakla tehdit eden bir çift gasp modeli uyguluyor.

ALPHV, faaliyetleri için bağlı kuruluşları işe almaya çalışıyor ve değerine bağlı olarak onlara nihai fidyenin %80 ila %90'ını sunuyor. BlackCat operasyonları şu anda ABD, Avustralya ve Hindistan'da yalnızca az sayıda kurbanı vurdu.

Fidye talepleri birkaç yüz binlerce ila 3 milyon dolar değerinde Bitcoin veya Monero arasında değişiyor.

Uyarı, Şubat 2022'nin ortalarından itibaren BlackCat/ALPHV ile ilişkili tehlike (IoC'ler) göstergelerini içerir.

FBI, BlackCat fidye yazılımı operasyonunun operasyonlarıyla ilgili paylaşılabilecek her türlü bilgiyi arıyor.

Aşağıda, uyarıya dahil edilen önerilen azaltıcı önlemler verilmiştir:

  • Yeni veya tanınmayan kullanıcı hesapları için etki alanı denetleyicilerini, sunucuları, iş istasyonlarını ve etkin dizinleri inceleyin.
  • Verileri, hava boşluğunu ve parola korumalı yedek kopyaları çevrimdışı olarak düzenli olarak yedekleyin. Kritik verilerin kopyalarının, verilerin bulunduğu sistemden değiştirilmek veya silinmek üzere erişilebilir olmadığından emin olun.
  • Tanınmayan zamanlanmış görevler için Görev Zamanlayıcı'yı gözden geçirin. Ayrıca, tanınmayan "eylemler" için işletim sistemi tarafından tanımlanan veya tanınan zamanlanmış görevleri manuel olarak gözden geçirin (örneğin: her zamanlanmış görevin gerçekleştirmesi beklenen adımları gözden geçirin).
  • Beklenmedik bir şekilde kapatıldıklarına dair belirtiler için virüsten koruma günlüklerini inceleyin.
  • Ağ segmentasyonunu uygulayın.
  • Yazılımı yüklemek için yönetici kimlik bilgileri gerektir.
  • Hassas veya tescilli verilerin ve sunucuların birden çok kopyasını fiziksel olarak ayrı, bölümlere ayrılmış, güvenli bir konumda (ör. sabit sürücü, depolama aygıtı, bulut) muhafaza etmek ve saklamak için bir kurtarma planı uygulayın.
  • Güncellemeler/yamalar yayınlanır yayınlanmaz güncellemeleri/yama işletim sistemlerini, yazılımları ve bellenimi yükleyin.
  • Mümkünse çok faktörlü kimlik doğrulamayı kullanın.
  • Ağ sistemleri ve hesaplarının parolalarını düzenli olarak değiştirin ve farklı hesaplar için parolaları yeniden kullanmaktan kaçının.
  • Parola değişiklikleri için kabul edilebilir en kısa zaman dilimini uygulayın.
  • Kullanılmayan uzaktan erişim/Uzak Masaüstü Protokolü (RDP) bağlantı noktalarını devre dışı bırakın ve uzaktan erişim/RDP günlüklerini izleyin.
  • Yönetici ayrıcalıklarına sahip kullanıcı hesaplarını denetleyin ve erişim denetimlerini en az ayrıcalık göz önünde bulundurarak yapılandırın.
  • Tüm ana bilgisayarlara virüsten koruma ve kötü amaçlı yazılımdan koruma yazılımı yükleyin ve düzenli olarak güncelleyin.
  • Yalnızca güvenli ağları kullanın ve halka açık Wi-Fi ağlarını kullanmaktan kaçının. Sanal bir özel ağ (VPN) kurmayı ve kullanmayı düşünün.
  • Kuruluşunuzun dışından alınan e-postalara bir e-posta başlığı eklemeyi düşünün.
  • Alınan e-postalardaki köprüleri devre dışı bırakın.