OzzTech - FIN12 Hacker Takımının Fidye Yazılımı Hedefinden Biri Sağlık

FIN12 Hacker Takımının Fidye Yazılımı Hedefinden Biri Sağlık

Fidye Yazılımı

Fidye yazılımı kazançlı bir suç girişimi olmasına rağmen, eğitim, sağlık gibi bazı sektörlerin etik nedenlerle listenin dışında tutulan hedefler olabileceğini düşünebilirsiniz. Ancak büyük bir fidye yazılımı oyuncuları olan FIN12 Hacker Takımı seçtikleri 5 kurbanlarından birisi sağlık sektörü.

Fidye yazılımının dağıtımı, doğrudan veri hırsızlığı, kripto hırsızlığı ve içeriden gelen tehditler gibi diğer suç türlerinden daha ağır basan potansiyel yıkıcı etkileri olan popüler ve üretken bir siber suç faaliyetidir.

Yalnızca bu yıl, fidye yazılımları, yaygın Microsoft Exchange Server bilgisayar korsanlığı çılgınlığı, ABD'de yakıt kıtlığına neden olan Koloni Boru Hattı saldırısı ve küresel et paketleyici JBS USA'ya ait sistemlerin tehlikeye girmesi nedeniyle tedarik zincirlerinin kesintiye uğraması gibi yüksek profilli vakalarda hasara yol açmak için kullanıldı.

KELA tarafından Ağustos ayında ilk erişim komisyoncusu (IAB) alanı üzerinde yürütülen araştırma, erişim sunan sağlık hizmetleriyle ilgili reklamların çok az sayıda olduğunu ve bu nedenle cenaze hizmetleri, hayır kurumları ve kritik hizmetlerin yanı sıra bu sektörün, fidye yazılımı grupları tarafından bölünebilir.

Ancak bu yıl, durumun her zaman böyle olmadığını gösteren İrlanda Sağlık Hizmetleri Yöneticisinin (HSE) fidye yazılımına düşmesi, kritik bakım hizmetlerinde haftalarca kesintiye neden olan bir güvenlik olayı sorunu yaşandı.

The Ponemon Institute ve Censinet tarafından yürütülen araştırmaya göre, bir fidye yazılımı salgını, önemli tıbbi kayıtlara, randevu ayrıntılarına, tedavi notlarına ve hasta verilerine erişimi kısıtlarsa, bu durum gecikmelere ve en kötü senaryoda ölüme sebep olabilir.

Perşembe günü Mandiant, siber güvenlik firması tarafından UNC1878'den yükseltilen FIN12'nin, yıllık ortalama geliri 6 milyar doların üzerinde olan kuruluşları hedefleyen finansal odaklı bir grup olduğunu söyledi. Tehdit grubunun kurbanlarının neredeyse tamamı en az 300 milyon dolar gelir elde ediyor.

Araştırmacılar, "Bu sayı, birkaç aşırı uç değer ve toplama yanlılığı tarafından şişirilebilir; ancak, FIN12 Hacker takımı genellikle ortalama fidye yazılımı ortaklığından daha büyük kuruluşları hedef alıyor gibi görünüyor" dediler.

ZDNet'e konuşan Mandiant'ın Baş Analisti Joshua Shilko, grubun kendisine "en büyük oyun avcıları arasında" bir yer kazandığını söyledi - Bunlar ise fidye ödemelerinde en büyük finansal ödülleri sunma olasılığı en yüksek olan hedeflere odaklanan operasyonlar .

Shilko, "Tüm önlemlerle FIN12, kimin yüksek değerli hedeflere odaklandığını takip ettiğimiz en üretken fidye yazılımı aktörü oldu." Ayrıca "FIN12 kurbanlarının yıllık ortalama geliri milyarlarca dolardı. FIN12 aynı zamanda en sık gözlemlenen fidye yazılımı dağıtım aktörümüz." dedi.

En az 2018'den beri aktif olan FIN12, eskiden yalnızca Kuzey Amerika'ya odaklanıyordu, ancak geçen yıl boyunca kurban aralığını Avrupa ve Asya Pasifik bölgesine kadar genişletti.

Tehdit aktörleri, çalışan kimlik bilgilerini, VPN erişimini veya istismar için olgunlaşmış bir yazılım güvenlik açığını bulma ayak işlerini ortadan kaldırmak için genellikle bir hedef sisteme ilk erişimi satın alınıyor.

"Fidye yazılımı operatörlerine ilk erişim sağlayan aktörler, genellikle kurban fidye ödemesini yaptıktan sonra fidyenin bir yüzdesi şeklinde ödeme alırlar, ancak aktörler de belirli bir fiyat karşılığında kurbanların ağlarına erişim satın alabilirler.

İlk erişim için ödenen yüzde muhtemelen çeşitli faktörlere bağlı olarak değişebilirken, FIN12'nin şüpheli bir ilk erişim sağlayıcısına fidye ödemesinin %30-35'ini ödediğine dair kanıtlar var.

Siber suçluların da ahlaki bir pusulası yok gibi görünüyor. Çünkü bu kurbanlarının %20'si sağlık sektörüne ait. Birçok hizmet olarak fidye yazılımı (RaaS) donanımı, hastanelerin hedef alınmasına izin vermiyor. Ancak başka yerlerdeki düşük talep nedeniyle FIN12'nin ilk erişimi satın almasının daha ucuz ve uygun olabilir.

Başkalarının sağlık hizmetini hedeflemeyi reddetmesinin, FIN12'nin bu sektörü hedeflemeye isteme arzusu ile doğrudan bir ilişkisi olduğunu düşünülmüyor. Bunun yerine FIN12, hastanelerin kritik sistemleri kurtarmak için aktörlerle müzakere etmek veya sorunu çözmek için haftalar harcamak yerine hızla fidye ödemeye daha istekli olduğunu düşünebilir. Sonuç olarak, sağladıkları hizmetlerin kritikliği yalnızca daha yüksek FIN12'nin kurbandan bir ödeme alma şansı, aynı zamanda daha hızlı bir ödeme sürecini oluşturuyor.

FIN12, siber suçlulara istismar ve kalıcılık araçları da dahil olmak üzere modüler seçenekler sunan bir botnet operasyonu olan Trickbot ile yakından bağlantılı. Altyapısı Microsoft tarafından kesintiye uğramasına rağmen, tehdit aktörleri son zamanlarda Kuzey Amerika'daki hukuk ve sigorta şirketlerine karşı kampanyalarla geri döndü.

Grubun ana hedefi, Ryuk fidye yazılımını dağıtmak. Ryuk, yalnızca fidye yazılımının tipik işlevlerini değil, aynı zamanda ek sistemleri yaymak ve virüs bulaştırmak için yeni solucan benzeri yetenekleri de içeren üretken ve tehlikeli bir kötü amaçlı yazılım türüdür.

FIN12'nin dilinin Rusça kökenli olduğundan şüpheleniyor ve şu anda tanımlanmış tüm Ryuk fidye yazılımı operatörleri bu dili konuşuyor. Ayrıca, FIN12 tarafından kullanılan ve Grimagent olarak adlandırılan şimdiye kadar herhangi bir başka tehdit grubuyla bağlantısı olmayan diğer kötü amaçlı yazılımlar da Rusça dosya ve bileşenler içeriyor.

FIN12 Hacker takımı ortalama fidye süresi, yıldan yıla artan hızıyla dört günün biraz altında olarak saptandı. Bazı durumlarda, başarılı bir fidye yazılımı kampanyası yalnızca iki buçuk günde yönetildi.

Gelecekte diğer arka kapıları test etmeleri ve hatta özel araçların geliştirilmesine sponsor olmaları mümkün olsa da, görünüşe göre, bellek yükleyicilerde; dövülebilir C2 profilleri kullanarak beacon faaliyetlerini gizleme ve ortak yüklerini bir dizi gizli bilgi ile gizleme modeline yerleştiler. Özellikle, aktörler bazen kamuya açık raporlamaya dayalı olarak değişiklikler yapıyor. Takımın ortaya konulan tüm raporlardan sonra değişiklik yapması hiç şaşırtıcı olmaz. Ancak, bu değişikliklerin daha büyük senaryoları yeniden düşünmek yerine büyük ölçüde algılamayı sınırlamaya odaklanacağı tahmin edilmektedir.

Fidye yazılımı nedir nasıl çözülür konulu yazımıza ulaşmak için tıklayabilirisiniz.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.