İki Kötü Şöhretli Bilgi Hırsızı Kötü Amaçlı Yazılım Operasyonu Çevrimdışı Bırakıldı
İki büyük bilgi hırsızı kötü amaçlı yazılım türüne bağlı altyapı, ortak bir kolluk kuvveti operasyonunda ele geçirildi
Dünya çapında kolluk kuvvetlerinin ortak operasyonuyla, iki önemli bilgi hırsızı kötü amaçlı yazılımın operasyonları çökertildi .
Operasyon Magnus, Hollanda Ulusal Polisi, FBI ve Avustralya, Belçika, Portekiz ve İngiltere‘den kurumların işbirliğiyle yürütülen ve RedLine ve Meta bilgi hırsızlarının altyapısını hedef alan bir operasyondu.
RedLine ve Meta , web formlarında saklanan oturum açma kimlik bilgilerinin yanı sıra adresler, telefon numaraları, kripto para cüzdanları ve e-posta adresleri gibi verileri çalıyor .
Araçlar ayrıca tehdit aktörleri tarafından kimlik doğrulama çerezlerini ve diğer sistem bilgilerini çalarak çok faktörlü kimlik doğrulamayı (MFA) aşmak için de kullanılabilir .
Avrupa Birliği Ceza Adaleti İşbirliği Ajansı’nın açıklamasına göre, “Kişisel verileri ele geçirdikten sonra, bilgi hırsızları bilgileri suç pazarları aracılığıyla diğer suçlulara sattı. Kişisel verileri satın alan suçlular, bunları para, kripto para çalmak ve ardından gelen bilgisayar korsanlığı faaliyetlerini yürütmek için kullandı. “
Açıklamada, iki kötü amaçlı yazılım operasyonuna yönelik soruşturmaların, mağdurların ortaya çıkması ve bir güvenlik şirketinin yetkililere kampanyayla bağlantılı olabilecek Hollanda’daki sunucuları bildirmesinin ardından başlatıldığı belirtildi.
Yetkililer daha sonra onlarca ülkede 1.200’den fazla sunucuda bu kötü amaçlı yazılımın çalıştırıldığını keşfetti.
Uluslararası kuruluşların oluşturduğu koalisyon, 28 Ekim’de Hollanda‘da üç sunucuya, iki alan adına el koydu ve Belçika’da iki kişiyi gözaltına aldı.
Kolluk kuvvetleri ayrıca RedLine ve Meta’ya ait müşteri veri tabanını da ele geçirdi ve bu veri tabanının, çalınan verileri gelecekteki saldırılarda kullanmaya çalışan suçlulara yönelik gelecekteki soruşturmalarda kullanılacağını belirttiler.
Tarih, siber suçluların her zaman bir yol bulacağını gösteriyor
ABD Adalet Bakanlığı, engelleme çabalarıyla birlikte RedLine’ın geliştiricilerinden ve yöneticilerinden biri olan Maxim Rudometov’a yönelik gizli suçlamaları da gündeme getirdi.
Teksas Batı Bölgesi Savcılığı’na göre Rudometov, suçlu bulunması halinde erişim aygıtı dolandırıcılığı, bilgisayar saldırısı düzenleme komplosu ve kara para aklama suçlamalarıyla karşı karşıya kalarak en fazla 35 yıl hapis cezasına çarptırılabilir.
Bu, dünyanın dört bir yanındaki yüksek profilli siber suç gruplarının operasyonlarını aksatmayı amaçlayan kolluk kuvvetleri tarafından gerçekleştirilen bir dizi operasyonun ardından gerçekleşti.
ABD yetkilileri, Aralık 2023‘te son yılların en üretken fidye yazılımı kolektiflerinden biri olan ALPHV/BlackCat‘in sızıntı sitesini ele geçirdi ve bu durum operasyona önemli bir darbe olarak karşılandı.
Ancak bundan sadece iki ay sonra, Şubat 2024’te CISA, ABD‘deki sağlık kuruluşlarını hedef aldığı gözlemlenen grubun fidye yazılımı deposunun yeni bir sürümü hakkında güncellenmiş bir uyarı yayınladı.
O tarihten bu yana, Eylül 2024’te araştırmacılar, ‘Cicada3301’ adı verilen yeni bir fidye yazılımı şifreleyicisinin BlackCat tarafından kullanılan şifreleyicinin daha gelişmiş bir yinelemesi gibi göründüğünü ve grubun siber suç endüstrisi üzerindeki etkisinin ortadan kaldırılmasının daha zor olacağını bildirdi.
Şubat 2024‘te ortak bir operasyon, önde gelen fidye yazılımı topluluğu LockBit tarafından kullanılan altyapının kontrolünü ele geçirdi. Bu altyapı, birincil yönetim ortamını, sızıntı sitesini, platform kaynak kodunu ve ele geçirilen sistemlerden elde edilen grubun faaliyetleri hakkında çok miktarda istihbaratı içeriyordu.
Güvenlik uzmanları, ihlalden günler sonra ITPro’ya, LockBit iştiraklerinin kısa sürede çalışacakları yeni bir fidye yazılımı operatörü bulmasını beklediklerini ve fidye yazılımı sektörünün henüz çökmüş olmadığını söyledi.
LockBit, Eylül 2024′te yeniden ortaya çıktı ve Toronto’daki Kanada’nın en büyük okul yönetim kuruluna düzenlenen siber saldırının sorumluluğunu üstlendi; ancak analistler bunun muhtemelen grubun azalan itibarını yeniden inşa etme girişimi kapsamında uydurulmuş bir iddia olduğunu söyledi.
5 Temmuz 2024’te Europol liderliğindeki ortak bir operasyon, Cobalt Strike tehdit simülasyon aracını kullanarak kötü amaçlı saldırılar gerçekleştirmek için kullanılan yaklaşık 600 sunucuyu kapattı.
Operasyonların yol açtığı önemli aksaklıklara rağmen güvenlik uzmanları, bunun tehdit aktörleri tarafından Cobalt Strike‘ın kötü amaçlı kullanımına son vermeyeceği konusunda uyardı .
Operasyon kolluk kuvvetleri için ‘büyük bir zafer’ olsa da, tehdit aktörlerinin aracı kötü amaçlı kullanmaya devam etmeleri için birçok fırsat bulunduğunu belirttiler.