Bir bilgisayar korsanlığı grubu, Rus kuruluşlarına karşı siber saldırılarda kullanmak üzere kendi fidye yazılımlarını oluşturmak için Conti’nin sızdırılmış fidye yazılımı kaynak kodunu kullandı.
Şirketleri hedef alan ve verileri şifreleyen fidye yazılımı saldırılarını duymak yaygın olsa da, Rus kuruluşlarının benzer şekilde saldırıya uğradığını nadiren duyuyoruz.
Bu saldırı eksikliği, Rus bilgisayar korsanlarının, Rus çıkarlarına saldırmazlarsa, ülkenin kolluk kuvvetlerinin diğer ülkelere yönelik saldırılara göz yumacağına dair genel inancından kaynaklanmaktadır.
Ancak, NB65 olarak bilinen bir bilgisayar korsanlığı grubunun artık fidye yazılımı saldırılarıyla Rus kuruluşlarını hedef almasıyla durum değişti.
Fidye yazılımı Rusya’yı hedef alıyor
Geçtiğimiz ay boyunca, NB65 olarak bilinen bir bilgisayar korsanlığı grubu, Rus varlıklarını ihlal ediyor, verilerini çalıyor ve çevrimiçi sızdırıyor ve saldırıların Rusya’nın Ukrayna’yı işgalinden kaynaklandığı konusunda uyarıyor.
Bilgisayar korsanlığı grubu tarafından saldırıya uğradığı iddia edilen Rus varlıkları arasında şunlar yer alıyor: belge yönetimi operatörü Tensör, Rus uzay ajansı Roscosmosve devlete ait Rus Televizyon ve Radyo yayıncısı VGTRK.
VGTRK’ye yapılan saldırı, DDoS Secrets web sitesinde yayınlanan 900.000 e-posta ve 4.000 dosya dahil 786,2 GB’lık verinin çalındığı iddiasına yol açtığı için özellikle önemliydi.
Daha yakın zamanlarda, NB65 bilgisayar korsanları, Mart ayının sonundan bu yana fidye yazılımı saldırılarıyla Rus kuruluşlarını hedef alan yeni bir taktiğe yöneldi.
Bunu daha ilginç yapan şey, bilgisayar korsanlığı grubunun fidye yazılımlarını aşağıdakileri kullanarak oluşturmasıdır. sızdırılmış kaynak kodu üyelerinin Rusya’daki varlıklara saldırmasını yasaklayan Rus tehdit aktörleri olan Conti Ransomware operasyonu için.
Conti’nin kaynak kodu onlardan sonra sızdırıldı Ukrayna’ya yönelik saldırıda Rusya’nın yanında yer aldıve bir güvenlik araştırmacısı 170.000 dahili sohbet mesajı ve kaynak kodu sızdırıldı operasyonları için.
BleepingComputer, NB65’in saldırılarını ilk olarak tehdit analisti tarafından öğrendi Tom Malkaancak bir fidye yazılımı örneği bulamadık ve bilgisayar korsanlığı grubu bunu paylaşmak istemedi.
Ancak bu, dün NB65’in değiştirilmiş Conti fidye yazılımı yürütülebilir dosyasının bir örneği şu adrese yüklendiğinde değişti. VirüsToplamnasıl çalıştığına dair bir fikir edinmemizi sağlıyor.
Hemen hemen tüm antivirüs satıcıları bu örneği VirusTotal’da Conti olarak algılar ve Intezer Analizi ayrıca, olağan Conti fidye yazılımı örnekleriyle aynı kodun %66’sını kullandığını da belirledi.
BleepingComputer, NB65’in fidye yazılımını çalıştırdı ve dosyaları şifrelerken, .NB65 şifrelenmiş dosyanın adlarının uzantısı.

Kaynak: BleepingComputer
Fidye yazılımı ayrıca şu adla fidye notları oluşturacaktır: R3ADM3.txt Şifrelenmiş cihaz boyunca, tehdit aktörleri siber saldırıyı Ukrayna’yı işgal etmekle suçlayarak Başkan Vladimir Putin’i suçluyor.
Aşağıda görüntülenen NB65 fidye yazılımı notu, “Çok yakından izliyoruz. Başkanınız savaş suçu işlememeliydi. Mevcut durumunuz için suçlayacak birini arıyorsanız, Vladimir Putin’den başkasına bakmayın” diyor.

Kaynak: BleepingComputer
NB65 bilgisayar korsanlığı grubunun bir temsilcisi, BleepingComputer’a şifreleyicilerini ilk Conti kaynak kodu sızıntısına dayandırdıklarını, ancak mevcut şifre çözücülerin çalışmaması için her kurban için değiştirdiklerini söyledi.
NB65, BleepingComputer’a “Conti’nin şifre çözücünün tüm sürümlerinin çalışmayacağı bir şekilde değiştirildi. Her dağıtım, her hedef için değiştirdiğimiz birkaç değişkene dayalı rastgele bir anahtar üretir.”
“Bizimle iletişim kurmadan şifreyi çözmenin gerçekten bir yolu yok.”
Şu anda, NB65 kurbanlarından herhangi bir iletişim almadı ve bize herhangi bir şey beklemediklerini söyledi.
NB65’in Rus kuruluşlarına saldırma nedenlerine gelince, kendilerinin konuşmasına izin vereceğiz.
“Bucha’dan sonra, sivillere ait olabilecek, ancak yine de Rusya’nın normal şekilde faaliyet gösterme kabiliyeti üzerinde etkisi olabilecek belirli şirketleri hedef almayı seçtik. Putin’in savaş suçlarına yönelik Rus halk desteği çok büyük. En başından beri bunu açıkça belirttik. ‘Ukrayna’yı destekliyoruz.Sözümüzü yerine getireceğiz.Rusya Ukrayna’daki tüm düşmanlıkları durdurduğunda ve bu saçma savaşa son verdiğinde NB65, Rus internete bakan varlıklarına ve şirketlerine saldırmayı bırakacaktır.
O zamana kadar, siktir et.
Rusya dışında hiçbir hedefi vurmayacağız. Conti ve Sandworm gibi gruplar, diğer Rus APT’leri ile birlikte yıllardır batıya fidye yazılımları, tedarik zinciri darbeleri (Solarwinds veya savunma müteahhitleri) ile saldırıyor… Onlarla kendi başlarına başa çıkma zamanının geldiğini düşündük.”