Büyük bir fidye yazılım grubunun uluslararası bir operasyonla çökertilmesinin ardından, bu tür eylemlerin ne kadar hızlı şekil değiştirebildiğini gösteren yeni bir gelişme yaşandı: O grubun bazı eski üyelerinden oluştuğu düşünülen yeni bir grup ortaya çıktı.
Kendisine Kaos adını veren bu yeni grup, şifrelediği dosyalara eklediği .chaos uzantısı ve kurbanlara gönderdiği fidye notlarının dosya adıyla bu ismi benimsedi. Cisco'nun Talos Güvenlik Grubu araştırmacıları, Kaos'un Şubat ayından bu yana öncelikli olarak ABD'yi, daha az ölçüde ise Birleşik Krallık, Yeni Zelanda ve Hindistan'daki kuruluşları hedef alan büyük ölçekli saldırılar düzenlediğini belirtti. Talos, grubun yakın zamanda yaklaşık 300.000 dolarlık bir fidye talep ettiğini gözlemledi.
Adım Adım Takip
Kurbanlardan istenen fidye karşılığında, grubun şifre çözme aracı sağlayacağına, mağdurun ağındaki güvenlik açıklarını detaylı bir raporla sunacağına ve ele geçirdiği tüm verileri sileceğine dair bir güvence veriliyor. Ödeme yapmayı reddedenler ise verilerinin kilidinin hiçbir zaman açılmayacağı, bilgilerinin kamuya açıklanacağı ve hizmet aksatma saldırılarına maruz kalacağı tehdidiyle karşı karşıya kalıyor.
Talos'un raporu, uluslararası emniyet güçlerinin BlackSuit'un itibar zedeleyici karanlık ağ sitesini çökerttiği "CheckMate Operasyonu"nun ardından geldi. ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı'na göre BlackSuit, kısa tarihinde 500 milyon doların üzerinde fidye talep etmiş bir gruptu.
Talos, Kaos'un ya BlackSuit fidye yazılımının yeniden markalaşması olduğunu ya da eski BlackSuit üyeleri tarafından işletildiğini düşünüyor. Bu değerlendirmeyi, fidye yazılımlarındaki şifreleme mekanizmalarının benzerliğine, fidye notlarının temasına ve yapısına, hedef alınan ağlara erişmek için kullanılan uzaktan izleme ve yönetim araçlarına ve hedef sistemlere sızmak için tercih ettikleri yerel Windows yürütülebilir dosyalarına dayandırıyorlar. Bu tür dosyalar, saldırganların mevcut sistem araçlarını kullanarak faaliyet göstermesine olanak tanır.
Talos'un yayınladığı rapor, BlackSuit'a ait karanlık ağ sitesinde "CheckMate Operasyonu kapsamında ele geçirilmiştir" mesajının görünmesinden kısa süre sonra geldi. Bu operasyona katılan kuruluşlar arasında ABD Adalet Bakanlığı, ABD İç Güvenlik Bakanlığı, ABD Gizli Servisi, Hollanda Ulusal Polisi, Alman Eyalet Kriminal Polis Ofisi, Birleşik Krallık Ulusal Suç Ajansı, Frankfurt Başsavcılığı, Adalet Bakanlığı, Ukrayna Siber Polisi ve Europol bulunuyor.
Kaos, genellikle e-posta veya sesli kimlik avı teknikleri aracılığıyla sosyal mühendislik yoluyla ilk erişimi sağlıyor. Nihayetinde kurban, aslında fidye yazılımı operasyonunun bir parçası olan bir BT güvenlik temsilcisiyle iletişime geçmeye ikna ediliyor. Kaos üyesi, hedefi Windows'a entegre edilmiş bir uzaktan yardım aracı olan Microsoft Quick Assist'i başlatmaya ve saldırganın uç noktasına bağlanmaya yönlendiriyor.
Kaos'un öncülü BlackSuit'un ise, Trend Micro'ya göre Conti fidye yazılım grubundan ayrılan bir grup olan Royal fidye yazılım operasyonunun bir yeniden markalaşması olduğu biliniyor. Fidye yazılımı grupları arasındaki bu döngü devam ediyor.
