Microsoft, dağınık örümcek siber suçlu çetesinin Arsenal'e Qilin fidye yazılımı eklediğini ve şimdi saldırılarda kullandığını söylüyor.
Microsoft Pazartesi günü yaptığı açıklamada, "2024'ün ikinci çeyreğinde, en yakından izlenen fidye yazılımı tehdit oyuncusu olan finansal olarak motive edilen tehdit oyuncusu Octo Tempest, kampanyalardaki fidye yazılımı yüklerine Ransomhub ve Qilin'i ekledi." Dedi.
2022'nin başlarında ortaya çıktıktan sonra, bu tehdit grubu (Octo Tempest, UNC3944 ve 0KTAPUS olarak da izlendi), Microsoft, Binance, Coinbase, T-Mobile, Verizon Wireless gibi 130'dan fazla yüksek profilli kuruluşu hedefleyen 0kTapus kampanyalarını takiben kötü şöhrete ulaştı. AT&T, Slack, Twitter, Epic Oyunlar, Riot Oyunları ve Best Buy.
İngilizce konuşan çete, Blackcat/Alphv Fidyeware'e 2013 ortasında bir ortaklık olarak katıldıktan sonra MGM Resorts sistemlerini de şifreledi ve Symantec tarafından Hizmet Olarak Ransomhub Ransomware-a-Hizmet ile bağlandı.
Kasım ayında FBI ve CISA, dağınık örümcek taktiklerini, tekniklerini ve prosedürlerini (TTP'ler) vurgulayan bir danışma yayınladı. Bunlar, BT çalışanlarının müşteri hizmetleri personelini kimlik bilgileri sağlamak için kandırmaları veya uzaktan erişim araçlarını kullanarak hedeflerin ağlarında kalıcılık kazanmaları için taklit edilmesini içerir.
İlk ağ erişimi için kullandıkları bilinen diğer taktikler, kimlik avı, MFA bombalama (diğer adıyla MFA yorgunluğu) ve SIM değiştirme sayılabilir.
Ağustos 2022'de "gündem" adı altında ortaya çıkan dağınık Spider'a katılan Qilin fidye yazılımı operasyonu, ancak bir ay sonra Qilin olarak yeniden markalandı.
Son iki yılda, Qilin çetesi karanlık ağ sızıntı sitesinde 130'dan fazla şirket talep etti; Ancak, operatörleri 2023'ün sonuna doğru saldırılar alınana kadar aktif değildi.
Aralık 2023'ten bu yana, Qilin, kurumsal kuruluşların ışık kaynak ihtiyaçlarını tercih ettiği VMware ESXI sanal makinelerini hedeflemek için en gelişmiş ve özelleştirilebilir Linux şifrelemelerinden birini geliştirmektedir.
İşletmeleri hedefleyen diğer birçok fidye yazılımı grubu gibi, Qilin operatörleri de bir şirketin ağlarına sızar ve kurbanın sistemlerinde ilerlerken verileri çıkarır.
Yönetici kimlik bilgilerini aldıktan ve tüm hassas verileri topladıktan sonra, tüm ağ cihazlarını şifrelemek ve çift genişlemeli saldırılar yapmak için çalıntı verileri kullanmak için fidye yazılımı yüklerini dağıtırlar.
Şimdiye kadar, BleepingComputer, kurbanın büyüklüğüne bağlı olarak Qilin fidye taleplerinin 25.000 $ 'dan milyonlarca dolara kadar değiştiğini gördü.
Geçen ay, İngiltere'nin Ulusal Siber Güvenlik Merkezi (NCSC) CEO'su, Qilin'i Haziran ayı başlarında patoloji hizmetleri sağlayıcısı Synnovis'i vuran ve Londra'daki birkaç büyük NHS hastanesini etkileyen bir fidye yazılımı saldırısına bağladı ve onları yüzlerce operasyon ve randevuyu iptal etmeye zorladı.
Microsoft: Octo Tempest en tehlikeli finansal hack gruplarından biridir
Dağınık örümcek bilgisayar korsanları, veri hırsızlığı için odaklanmayı bulut uygulamalarına değiştirin
Ransomhub gasp çetesi şu anda yok olan Şövalye Fidye Yazılımına Bağlı
Londra Hastanelerine Saldırıya Bağlı Qilin Fidye Yazılımı Çetesi
Kötü şöhretli Fin7 hackerları EDR katilini diğer tehdit aktörlerine satıyor
Kaynak: Bleeping Computer