REvil Ransomware Group’un Yeniden Ortaya Çıkışı Endişeleri Artırıyor

REvil Ransomware Group'un Yeniden Ortaya Çıkışı Endişeleri Artırıyor

Bazıları, bu yılın başlarında özellikle ABD hedeflerine yönelik birkaç korkunç saldırının ardından, kötü şöhretli Rusya merkezli REvil Ransomware grubunun tamamen istifa etmesi için baskı yapıldığını ummuştu.

Kötü şöhretli Rusça konuşan REvil fidye yazılımı grubunun yaklaşık iki ay önce olay yerinden aniden ve gizemli bir şekilde ortadan kaybolmasının kalıcı olacağı yönündeki beklentiler boşa çıktı.

Bu hafta CrowdStrike araştırmacıları, son hafızanın en üretken hizmet olarak fidye yazılımı (RaaS) operatörlerinden biri olarak kabul edilen grubun, aniden extortion web sitesini ve payment portal’ı 7 Eylül’de tekrar çevrimiçi hale getirdiğini bildirdi. Ekipler, grubun daha fazla kurban yakaladığını gösterecek hiçbir şey gözlemlemediğini söyledi. Ancak CrowdStrike, REvil’in “Happy Blog” sızıntı web sitesini hayata döndürme konusundaki bariz kararının, grubun iki aylık bir aradan sonra operasyonları yeniden başlatmaya hazır olduğunu gösterdiğini söyledi.

Perşembe günü yayınlanan bir blogda Flashpoint, “REvil” takma adını kullanan bir tehdit aktörünün bu hafta, REvil grubunun temsilcisi olduğunu iddia eden Exploit adlı bir Rus siber suç forumunda ortaya çıktığını söyledi. Flashpoint, kişinin REvil fidye yazılımı grubunun yedekleri kullanarak tüm işlemleri geri yüklemeyi başardığını iddia etti. 

Satıcı, “Tüm niyet ve amaçlar için, REvil aradan sonra tamamen çalışır durumda görünüyor” dedi.

CrowdStrike’ın istihbarattan sorumlu kıdemli başkan yardımcısı Adam Meyers, “CrowdStrike Intelligence , yaygın olarak REvil olarak bilinen PINCHY SPIDER’ın gasp sitelerini ve ödeme portallarını yeniden çevrimiçi hale getirdiğini gözlemledi ” dedi. “Şu anda herhangi bir yeni kurban gözlemlemedik, ancak sonuçta grup fidye yazılımı çok karlı olduğu için para kazanmaya geri döndü.” dedi.

Tehdit gruplarının, ya çok fazla dikkat çektikleri için ya da yeni bir kampanya başlatmadan önce saldırı kitlerini ve yeteneklerini yeniden gruplandırmak ve yenilemek istedikleri için operasyonlarına ara sıra ara vermeleri hiç de alışılmadık bir durum değil. REvil’in durumu biraz farklı çünkü pek çok kişi, grubun, kötü amaçlı yazılımın kullanımını içeren iki özel saldırıyla ilgili ABD’deki yaygın endişenin ardından Rusya’daki kolluk kuvvetleri tarafından operasyonları durdurmaya zorlandığına inanıyordu.

Bunlardan biri, dünyanın en büyük et tedarikçilerinden biri olan JBS’yi hedef alan Mayıs ayı sonlarında gerçekleşen bir fidye yazılımı saldırısıydı. Saldırı , şirketin ABD’deki tüm sığır eti fabrikalarını geçici olarak kapatmaya zorladı ve ABD’deki et tedariğinde önemli bir kesinti olacağı korkusunu gündeme getirdi. JBS, sistemlerine yeniden erişim sağlamak için 11 milyon dolar ödedi. 

Diğeri, BT yönetim yazılımı satıcısı Kaseya’ya Temmuz ayı başlarında düzenlenen ve düzinelerce yönetilen hizmet sağlayıcının sistemlerini ve dolayısıyla 1.000’den fazla müşterisini etkileyen bir saldırıydı . REvil daha sonra saldırıda şifrelenen sistemlerin kilidini açmak için şifre çözme anahtarı karşılığında 70 milyon dolarlık fidye talep etti.

İki saldırı, ABD’nin doğu sahilindeki petrol arzını geçici olarak kesintiye uğratan Colonial Pipeline’a yönelik daha da feci bir Mayıs fidye yazılımı saldırısına olası bir REvil bağlantısıyla birlikte, REvil Ransomware Grubunu aniden ulusal düzeyde bir güvenlik tehdidine yükseltti. Bu saldırılar, grubun sadece yetenekli olmadığını, kritik operasyon ağlarının ve ABD için stratejik ulusal öneme sahip hedeflerin peşinden gitmeye istekli olduğunu gösterdi – bir hat tehdidi grupları daha önce tepki korkusu nedeniyle geçmekte tereddütlüydü.

Kaseya saldırısından kısa bir süre sonra, ABD Başkanı Biden, ABD istihbarat teşkilatlarına saldırıyı soruşturması için talimat verdiğini ve soruşturmanın Rusya’nın katılımını göstermesi halinde ABD’nin yanıt vereceğini söyledi. Bir Reuters raporuna göre Başkan Biden, Rusya Devlet Başkanı Putin’i Haziran ayında Cenevre’de yaptığı toplantıda, ülkedeki bilgisayar korsanlığını engellemeye veya ABD’nin olası sonuçlarıyla yüzleşmeye çağırıyor.

Durdurma veya Gönüllü Mola Verme Baskısı Yapıldı mı?
Bu nedenle, Sodinokibi olarak da bilinen REvil Ransomware grubu, Temmuz ayında faaliyetlerini aniden durdurduğunda, birçok kişi grubun bunu Rus kolluk kuvvetlerinin veya başka bir üst düzey yetkilinin doğrudan baskısı altında yaptığını varsaydı. TOR altyapısı, Kaseya’nın REvil saldırısı tarafından tehlikeye atılan sistemlerin kilidini açmak için bir ana şifre çözme anahtarı aldığını söylemesinden kısa bir süre sonra gizemli bir şekilde karardı. Bazıları, tehdit grubunun bir şekilde şifre çözme anahtarlarını teslim etmesi için baskı yapıldığını düşünüyor. Ancak Flashpoint’e göre, bu hafta Exploit forumunda ortaya çıkan REvil temsilcisi, Kaseya şifre çözücü anahtarının yanlışlıkla kolluk kuvvetleri tarafından sızdırıldığını iddia etti.

CrowdStrike’dan Meyers, “E-suç aktörlerinin yaz tatili yapması yaygın olsa da, JBS/Kaseya olayının yakınında kaybolmanın zamanlaması, grubun güvenliği değerlendirmek ve kamu denetiminin dağılmasına izin vermek için operasyonları geçici olarak duraklatmış olabileceğini gösteriyor.” diyor.

Digital Shadows’ta siber tehdit istihbarat analisti Ivan Righi, en az bir yeni REvil kurbanı gibi görünen ayrıntıların, geri döndükten sonra grubun Happy Blog veri sızıntısı sitesinde yayınlandığını söylüyor. 

“Bu yeni kurban, 1 Mart 2021’de DoppelPaymer fidye yazılımının veri sızıntısı sitesi Dopple Leaks’te de yayınlandı” diyor.

Righi, REvil’in ortadan kaybolması için birden fazla olası açıklama olduğunu söylüyor. 

“Grup, Kaseya’ya yapılan saldırının ardından kolluk kuvvetleri tarafından yüksek miktarda baskıyla karşı karşıya kalmış olabilir veya grup, faaliyetlerine ara vermeyi veya ‘tatil’ yapmayı seçmiş olabilir” diyor. 

REvil tipik olarak açık sözlü bir grup olmuştur, bu nedenle son iki aydır neden ortadan kaybolduklarına biraz ışık tutacaklardır, diyor Righi.

İlginizi Çekebilecek Makaleler​

LLM (Large Language Models) Nedir?

Günümüzde yapay zeka ve makine öğrenmesi, teknolojinin birçok alanında devrim niteliğinde ilerlemeler kaydetmiştir. Bu ilerlemelerin merkezinde yer alan büyük dil modelleri (LLM – Large Language

Devamı »
Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »