OzzTech - REvil Ransomware Group’un Yeniden Ortaya Çıkışı Endişeleri Artırıyor

REvil Ransomware Group’un Yeniden Ortaya Çıkışı Endişeleri Artırıyor

REvil Ransomware Group'un Yeniden Ortaya Çıkışı Endişeleri Artırıyor

Bazıları, bu yılın başlarında özellikle ABD hedeflerine yönelik birkaç korkunç saldırının ardından, kötü şöhretli Rusya merkezli REvil Ransomware grubunun tamamen istifa etmesi için baskı yapıldığını ummuştu.

Kötü şöhretli Rusça konuşan REvil fidye yazılımı grubunun yaklaşık iki ay önce olay yerinden aniden ve gizemli bir şekilde ortadan kaybolmasının kalıcı olacağı yönündeki beklentiler boşa çıktı.

Bu hafta CrowdStrike araştırmacıları, son hafızanın en üretken hizmet olarak fidye yazılımı (RaaS) operatörlerinden biri olarak kabul edilen grubun, aniden extortion web sitesini ve payment portal'ı 7 Eylül'de tekrar çevrimiçi hale getirdiğini bildirdi. Ekipler, grubun daha fazla kurban yakaladığını gösterecek hiçbir şey gözlemlemediğini söyledi. Ancak CrowdStrike, REvil'in "Happy Blog" sızıntı web sitesini hayata döndürme konusundaki bariz kararının, grubun iki aylık bir aradan sonra operasyonları yeniden başlatmaya hazır olduğunu gösterdiğini söyledi.

Perşembe günü yayınlanan bir blogda Flashpoint, "REvil" takma adını kullanan bir tehdit aktörünün bu hafta, REvil grubunun temsilcisi olduğunu iddia eden Exploit adlı bir Rus siber suç forumunda ortaya çıktığını söyledi. Flashpoint, kişinin REvil fidye yazılımı grubunun yedekleri kullanarak tüm işlemleri geri yüklemeyi başardığını iddia etti. 

Satıcı, "Tüm niyet ve amaçlar için, REvil aradan sonra tamamen çalışır durumda görünüyor" dedi.

CrowdStrike'ın istihbarattan sorumlu kıdemli başkan yardımcısı Adam Meyers, "CrowdStrike Intelligence , yaygın olarak REvil olarak bilinen PINCHY SPIDER'ın gasp sitelerini ve ödeme portallarını yeniden çevrimiçi hale getirdiğini gözlemledi " dedi. "Şu anda herhangi bir yeni kurban gözlemlemedik, ancak sonuçta grup fidye yazılımı çok karlı olduğu için para kazanmaya geri döndü." dedi.

Tehdit gruplarının, ya çok fazla dikkat çektikleri için ya da yeni bir kampanya başlatmadan önce saldırı kitlerini ve yeteneklerini yeniden gruplandırmak ve yenilemek istedikleri için operasyonlarına ara sıra ara vermeleri hiç de alışılmadık bir durum değil. REvil'in durumu biraz farklı çünkü pek çok kişi, grubun, kötü amaçlı yazılımın kullanımını içeren iki özel saldırıyla ilgili ABD'deki yaygın endişenin ardından Rusya'daki kolluk kuvvetleri tarafından operasyonları durdurmaya zorlandığına inanıyordu.

Bunlardan biri, dünyanın en büyük et tedarikçilerinden biri olan JBS'yi hedef alan Mayıs ayı sonlarında gerçekleşen bir fidye yazılımı saldırısıydı. Saldırı , şirketin ABD'deki tüm sığır eti fabrikalarını geçici olarak kapatmaya zorladı ve ABD'deki et tedariğinde önemli bir kesinti olacağı korkusunu gündeme getirdi. JBS, sistemlerine yeniden erişim sağlamak için 11 milyon dolar ödedi. 

Diğeri, BT yönetim yazılımı satıcısı Kaseya'ya Temmuz ayı başlarında düzenlenen ve düzinelerce yönetilen hizmet sağlayıcının sistemlerini ve dolayısıyla 1.000'den fazla müşterisini etkileyen bir saldırıydı . REvil daha sonra saldırıda şifrelenen sistemlerin kilidini açmak için şifre çözme anahtarı karşılığında 70 milyon dolarlık fidye talep etti.

İki saldırı, ABD'nin doğu sahilindeki petrol arzını geçici olarak kesintiye uğratan Colonial Pipeline'a yönelik daha da feci bir Mayıs fidye yazılımı saldırısına olası bir REvil bağlantısıyla birlikte, REvil Ransomware Grubunu aniden ulusal düzeyde bir güvenlik tehdidine yükseltti. Bu saldırılar, grubun sadece yetenekli olmadığını, kritik operasyon ağlarının ve ABD için stratejik ulusal öneme sahip hedeflerin peşinden gitmeye istekli olduğunu gösterdi - bir hat tehdidi grupları daha önce tepki korkusu nedeniyle geçmekte tereddütlüydü.

Kaseya saldırısından kısa bir süre sonra, ABD Başkanı Biden, ABD istihbarat teşkilatlarına saldırıyı soruşturması için talimat verdiğini ve soruşturmanın Rusya'nın katılımını göstermesi halinde ABD'nin yanıt vereceğini söyledi. Bir Reuters raporuna göre Başkan Biden, Rusya Devlet Başkanı Putin'i Haziran ayında Cenevre'de yaptığı toplantıda, ülkedeki bilgisayar korsanlığını engellemeye veya ABD'nin olası sonuçlarıyla yüzleşmeye çağırıyor.

Durdurma veya Gönüllü Mola Verme Baskısı Yapıldı mı?
Bu nedenle, Sodinokibi olarak da bilinen REvil Ransomware grubu, Temmuz ayında faaliyetlerini aniden durdurduğunda, birçok kişi grubun bunu Rus kolluk kuvvetlerinin veya başka bir üst düzey yetkilinin doğrudan baskısı altında yaptığını varsaydı. TOR altyapısı, Kaseya'nın REvil saldırısı tarafından tehlikeye atılan sistemlerin kilidini açmak için bir ana şifre çözme anahtarı aldığını söylemesinden kısa bir süre sonra gizemli bir şekilde karardı. Bazıları, tehdit grubunun bir şekilde şifre çözme anahtarlarını teslim etmesi için baskı yapıldığını düşünüyor. Ancak Flashpoint'e göre, bu hafta Exploit forumunda ortaya çıkan REvil temsilcisi, Kaseya şifre çözücü anahtarının yanlışlıkla kolluk kuvvetleri tarafından sızdırıldığını iddia etti.

CrowdStrike'dan Meyers, "E-suç aktörlerinin yaz tatili yapması yaygın olsa da, JBS/Kaseya olayının yakınında kaybolmanın zamanlaması, grubun güvenliği değerlendirmek ve kamu denetiminin dağılmasına izin vermek için operasyonları geçici olarak duraklatmış olabileceğini gösteriyor." diyor.

Digital Shadows'ta siber tehdit istihbarat analisti Ivan Righi, en az bir yeni REvil kurbanı gibi görünen ayrıntıların, geri döndükten sonra grubun Happy Blog veri sızıntısı sitesinde yayınlandığını söylüyor. 

"Bu yeni kurban, 1 Mart 2021'de DoppelPaymer fidye yazılımının veri sızıntısı sitesi Dopple Leaks'te de yayınlandı" diyor.

Righi, REvil'in ortadan kaybolması için birden fazla olası açıklama olduğunu söylüyor. 

"Grup, Kaseya'ya yapılan saldırının ardından kolluk kuvvetleri tarafından yüksek miktarda baskıyla karşı karşıya kalmış olabilir veya grup, faaliyetlerine ara vermeyi veya 'tatil' yapmayı seçmiş olabilir" diyor. 

REvil tipik olarak açık sözlü bir grup olmuştur, bu nedenle son iki aydır neden ortadan kaybolduklarına biraz ışık tutacaklardır, diyor Righi.


İlginizi Çekebilecek Makaleler
FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

Trellix Adıyla 2 Dev şirket McAfee ve FireEye
Siber Güvenlik

Trellix Adıyla 2 Dev şirket McAfee ve FireEye

Ocak 20, 2022 10:56

Yeni birleştirilen güvenlik ekipleri McAfee ve FireEye yeni bir isim açıkladı: “Trellix”. Başka bir...

Zoho Kritik Kusur İçin Yama Yayınladı
Siber Güvenlik

Zoho Kritik Kusur İçin Yama Yayınladı

Ocak 20, 2022 10:56

Kurumsal yazılım üreticisi Zoho, Pazartesi günü Desktop Central ve Desktop Central MSP’de, tehdit aktörlerinin...

FortiWeb Kurulumu
Network

FortiWeb Kurulumu

Ocak 19, 2022 12:38

Bu yazı ile başlayarak sizlere FortiWeb kurulumu yaparken nelere dikkat etmeniz gerektiğini ve nasıl...

FortiWeb Nedir?
Siber Güvenlik

FortiWeb Nedir?

Ocak 19, 2022 9:42

FortiWeb, Fortinet’in web uygulamaları için oluşturduğu bir web firewall’udur (WAF). Fortiweb iş açısından son...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.