Conti fidye yazılımı operasyonundan ayrılan en az üç grup, bir kurbanın ağına ilk erişim elde etmek için BazarCall kimlik avı taktiklerini birincil yöntem olarak benimsedi.
Bu, tehdit aktörlerinin, sosyal mühendislik bileşeni nedeniyle tespit edilmesi ve durdurulması daha zor olan, yüksek düzeyde hedefli saldırılar dağıtmasına olanak tanır.
BazarCall temelleri
Geri arama kimlik avı olarak da adlandırılan BazarCall/BazaCall yöntemi, 2021 başı Ryuk fidye yazılımı operasyonu tarafından kullanılan ve daha sonra Conti olarak yeniden adlandırılan bir saldırı vektörü olarak.
Bu tekniği kullanan tehdit aktörleri, ister bir şirketten ister tüm sektörden çalışanları hedef alır ve maksimum verimlilik için oltalama kampanyalarını buna göre uyarlar.
BazarCall saldırısı, alıcının ödeme yaptığı iddia edilen bir aboneliğin otomatik olarak yenilenmek üzere olduğunu ve belirli bir numarayı arayarak ödemenin iptal edilebileceğini bildiren bir e-posta ile başlar.
Sağlanan telefon numarasını arayan kurbanlar, sosyal mühendislik konusunda bilgili bir tehdit aktörüne ulaşır ve bu aktör, arayanı bir ağ davetsiz misafiri tarafından kontrol edilen meşru bir yazılım aracılığıyla uzaktan erişim oturumu başlatmaya ikna eder.
Sosyal mühendis kurbanın dikkatini dağıtırken, saldırgan herhangi bir alarmı tetiklemeden ağın nasıl tehlikeye atılacağını belirler.
Şu anda, BazarCall’ı veya bu taktiklerin bir versiyonunu kullanan eski Conti fidye yazılımı operasyonunun bir parçası olan üç grubun kanıtı var: Silent Ransom Group, Quantum ve Roy/Zeon.
Sosyal mühendisliğe geçiş, saldırıların öngörülebilirliğinden kaynaklandı ve bu da savunucular etkili hafifletmeler uygulamaya başladıkça kârların azalmasına neden oldu.
Bununla birlikte, insanları kandırmak, bir kampanyadan diğerine değişebilen daha esnek bir yaklaşıma izin vererek, saldırıları tespit etmeyi ve bunlara karşı savunmayı daha zor hale getirecektir.
Siber istihbarat şirketi Advanced Intelligence’daki araştırmacılara göre (AdvIntel), bir Conti üyesi iç iletişimde şunları söyledi:
“Teknoloji savaşını kazanamayız çünkü bu zeminde milyar dolarlık şirketlerle rekabet ediyoruz ama insan faktörünü kazanabiliriz” – Conti üyesi
Silent Ransom Group, BazarCall ile büyük firmaları vurdu
AdvIntel araştırmacıları, BazarCall kampanyalarını yürüten ilk grubun Mart 2022’de Conti sendikasından ayrıldığını ve Silent Ransom Group (SRG) adlı yeni bir kolektif oluşturduğunu söylüyor. Pervane böceği.
Nisan 2022’den itibaren Conti kapanırken BazarCall operatörleri Silent Ransom Group (SRG) adlı kendi gasp gruplarını kurdular. Üç ay boyunca en az 94 kuruluşu hedef aldılar ve yalnızca veri çalmaya ve kurbanları gasp etmeye odaklandılar.
Kimlik avı kampanyalarında genellikle Duolingo dil öğrenimini ve MasterClass çevrimiçi eğitim platformlarını taklit eden sahte abonelik bildirimleri gönderirler.
Grup, yıllık geliri 500.000 ABD Doları ile 100 milyar ABD Doları arasında olan sağlık sektöründeki kuruluşlara yoğun bir şekilde odaklandı ve bunların neredeyse %40’ı 1 milyar ABD Dolarının üzerinde gelir elde etti.
AdvIntel bugünkü raporlarında herhangi bir isim vermese de, araştırmacılar SRG’nin başlıca hedeflerinden ve kurbanlarından bazılarını şöyle tanımlıyor:
- NBA takımı
- çok uluslu bir silah üreticisi ve havacılık şirketi (ihlalde çalınan veriler)
- büyük bir BT çözümleri sağlayıcısı
- multi milyar dolarlık bir teknoloji ve yazılım şirketi
- büyük bir sıhhi tesisat ve HVAC tedarikçisi
AdvIntel, erken raporlama ve yardımlarının, yukarıdaki listede yer alan hedeflenen son üç şirketin, tam ölçekli bir ihlali ve veri hırsızlığını önleyen hafifletme adımları atmasına izin verdiğini söylüyor.
Quantum özel BazarCall taktiğini kullanıyor
Haziran 2022’nin ortalarında, Conti’den bir başka kıymık olan Quantum fidye yazılımı, “Jörmungandr” (İskandinav Mitolojisinde Midgard Yılanı veya Dünya Yılanı) adlı bir operasyonda BazarCall’ın kendi versiyonunu kullanmaya başladı.
Oyuncular, spam gönderme, OSINT, tasarım ve çağrı merkezi operatörleri konusunda uzmanlaşmış kişileri işe alarak operasyonu geliştirdiler.
AdvIntel’den alınan bilgilere göre, Quantum fidye yazılımı operatörleri, ana Conti alt bölümüydü (Conti Team Two). Kosta Rika hükümetini ihlal etmek.
Quantum fidye yazılımı, Eylül 2021’de MountLocker olarak yeniden adlandırıldı, ancak başarılı olamadı. Conti kapanmaya başladığında, Quantum fidye yazılımı operasyonu Nisan 2022’de adı orijinal operatörlerden alan Conti Team Two’daki bilgisayar korsanları tarafından devralındı.
Quantum grubuna atfedilen BazarCall çağrı kampanyaları, iki ay içinde daha karmaşık hale geldi ve satın aldıkları özel e-posta veri kümelerine dayalı olarak yüksek profilli şirketleri hedef aldı.
AdvIntel araştırmacılarının gözlemlediği gibi, Quantum BazarCall kimlik avı kampanyaları için çok daha fazla sayıda markayı taklit ediyor:
- Ginyard Uluslararası
- “Azure Dragon” (Azure Depolama)
- kehanet
- MerhabaTaze
- Luchechko Mortgage Ekibi
- ABD Fırsat Eşitliği İstihdam Komisyonu
- CrowdStrike
- Silip süpürmek
Kimlik avı e-postasındaki temadan bağımsız olarak, tehdit aktörü daha fazla açıklama için alıcıları bir numarayı aramaya çağırdı.
AdvIntel, Quantum’un ilk aşamalardan birinde Oracle’ın kimliğine bürünen BazarCall e-postalarını denediğini ve kimlik avı mesajlarını 200.000’den fazla alıcıya teslim ettiğini söylüyor.
Daha sonra, daha sofistike kampanyalar yürüttüler, CrowdStrike’tan gelen iletişimi taklit etme kurbanın ağındaki anormal faaliyetler hakkında siber güvenlik şirketi.
Başka bir gelişmiş kimlik avı operasyonunda, Quantum, Luchechko markasını taklit eden bir e-posta ile bankaları hedef aldı ve hedefin etnik kökenine göre kredi başvurusunda bulunan bir kişiye karşı ayrımcılık yaptığına dair bir bildirim gönderdi.
AdvIntel, tehdit aktörünün Luchechko’yu şirketin Doğu Avrupa geçmişi nedeniyle seçtiğini söylüyor. Bu sayede hedef verilen numarayı aradığında operatörün aksanı şüphe uyandırmayacaktır.
AdvIntel’in raporuna göre Quantum, BazarCall yönteminin kendi versiyonu olan Jörmungandr’ı kullanarak, çoğu sağlık sektöründe olmak üzere, yıllık geliri 20 milyar doları aşan beş “büyük ölçekli şirketi” hedef aldı.
Bunlardan biri, yüzlerce işletmeye erişime izin verecek ve onları şifreleme riskine sokacak bir yönetilen hizmet sağlayıcısıydı (MSP). REvil fidye yazılımının Kaseya’ya saldırısı geçen yıl.
Kuantum bilgisayar korsanları kurban ağına erişim elde ettiklerinde genellikle verileri çaldı ve sistemleri şifreledi.
Conti Team One, Roy/Zeon olur
Conti’den ayrılan ve BazarCall benzeri teknikleri benimseyen üçüncü grup, kurban ağlarını şifrelemek için kullandıkları iki dolabın (Roy ve Zeon) adından sonra Roy/Zeon olarak anılır.
“Bu grup, Conti’nin Ryuk’un yaratılmasından sorumlu olan “Birinci Takım”ın eski Muhafız üyelerinden geldi” – AdvIntel
Roy/Zeon aynı zamanda sosyal mühendislikte en usta ve hedeflerinde çok seçici, yıllık geliri yüksek veya hassas sektörlerden şirketleri seçiyor.
BazarCall tekniklerini 20 Haziran’da, çoğu belirli bir sektördeki şirketler tarafından kullanılan yazılımların satıcısı olan en fazla sayıda markayı taklit eden ayrıntılı operasyonlarda kullanmaya başladılar:
- Sinyal Ortakları
- iKablolu
- Uygulamalı Otomasyon Teknolojisi
- RMM Merkez
- İtalyan
- auvik
- uzak bilgisayar
- Rento Mojo’su
- Parsel Uluslararası
- WhatFix
- EZLynx
- EATclub Kanada
- Standart Notlar
Roy/Zeon sosyal mühendislik becerilerini sergiliyor
AdvIntel araştırmacıları, yukarıdaki markaları taklit etme seçiminin, hedeflenen çalışanların, sektör dışında daha az bilinen faaliyetlerine özel yazılım satıcılarıyla konuşmaya daha meyilli olacağı değerlendirmesine dayandığını söylüyor.
Ayrıca, Roy/Zeon ayrıca yazılım çözümleri yönetim şirketi Edifecs’in gerçek bir çalışanının kimliğine büründü, böylece gönderenin kimliğinin üstünkörü bir şekilde doğrulanması üzerine meşruiyet hissini artırdı.
AdvIntel araştırmacıları, yakın tarihli bir kampanyada, tehdit aktörünün, deneme süresinin sonu hakkında uçtan uca şifreleme özelliğine sahip bir not alma uygulaması olan Standard Notes satıcısından sahte bir bildirimle finansal kurumları hedef aldığını buldu.
Roy/Zeon, BazarCall tekniğini “kuzeydoğu New Jersey’deki büyük bir konut otoritesinde” bir ilk saldırı vektörü olarak kullandı ve bu da 130’dan fazla sunucunun ve 500 iş istasyonunun şifrelenmesine yol açtı.
Tehdit aktörü, şirket ağına erişmek için korumasız bir VPN kullandı ve 600 GB veri çaldı.
AdvIntel’den alınan istihbarata dayanarak grup, 5.5 milyon dolarlık fidye talep etti ve zimmete para geçirme faaliyeti kanıtı içerdiği iddia edilen belgeleri serbest bırakmakla tehdit etti.
Araştırmacılar, Roy/Zeon’un BazarCall kampanyalarının diğer sekiz kurbanını tespit edebildiler:
- Teksas’ta tam hizmet veren bir peyzaj şirketi
- önde gelen bir İtalyan ilaç üreticisi
- işlenmiş metal bileşenlerin üreticisi
- Porsche, Bentley, Lamborghini, Audi ve Mercedes için özel bir servis merkezi
- küçük bir İtalyan belediyesi
- Kanadalı bir elektrik ve enstrümantasyon yüklenicisi
- Akdeniz gıdalarının büyük bir Kanadalı distribütörü
- Detroit bölgesine odaklanan bir şehir dergisi
Şirketleri ihlal etmek için BazarCall taktiklerini benimseyen üç grup, sadece veri çalarak veya ağ şifrelemesi ile birleştirerek gasp işinin hala karlı olabileceğini göstermiştir.
Geri arama kimlik avı işe yarar
AdvIntel araştırmacıları, üç aydan biraz fazla bir süre içinde SRG, Quantum ve Roy/Zeon’a atfedilen BazarCall kampanyalarının, on milyonlarca ABD doları büyüklüğünde 20 yüksek profilli erişime ve fidye talebine yol açtığını belirtiyor.
Bu yeni saldırı vektörü için risk değerlendirmesi, tehdit aktörleri tarafından Atera, Cobalt Strike, Brute Ratel, Zoho Remote Desktop Control, Uzaktan İzleme ve Yönetim aracıları veya kötü amaçlı yazılımlar (Sliver) gibi kötü amaçlı olarak kullanılan yazılımlarla enfeksiyon oranını artırmak için kullanabileceğinden, acımasızdır. .
Saldırının ilk aşamasını tespit etmek zor olsa da, savunucular komuta ve kontrol sunucusu ile iletişimden gelen olağandışı sinyalleri ve bir enfeksiyon olduğunu gösteren makinelere yerleştirilmiş işaretçileri izleyebilir.
Ayrıca AdvIntel, etki alanı denetleyicisini etkileyebilecek olası yanal hareket etkinliğine karşı ağın izlenmesini önerir.