Hive fidye yazılımı çetesi, sızdırılan sitenin gösterdiğinden daha aktif ve saldırgan; bağlı kuruluşlar, operasyonun Haziran ayı sonlarında bilinmesinden bu yana her gün ortalama üç şirkete saldırıyor.
Doğrudan Hive’ın yönetici panelinden bilgi toplayan güvenlik araştırmacıları, bağlı kuruluşların dört ay boyunca 350’den fazla kuruluşu ihlal ettiğini buldu.
Çetenin veri sızıntısı sitesinde şu anda fidye ödemeyen yalnızca 55 şirket listeleniyor ve bu da çok sayıda Hive fidye yazılımı kurbanının fidyeyi ödediğini gösteriyor.
Muhafazakar bir tahmin, Hive fidye yazılımı çetesinin kârını yalnızca Ekim ve Kasım ayları arasında milyonlarca ABD Doları’na yerleştiriyor.
İş ortakları
Hive fidye yazılımı, Haziran ayı sonlarında çeşitli sektörlerdeki şirketleri hedef alarak ortaya çıktı. Sızıntı sitelerindeki ödeme yapmayan kurbanların çoğu küçük ve orta ölçekli işletmeler olsa da, çete daha büyük şirketlerden gelen ve yüz milyonlarca olarak değerlendirilen gelirleri olan dosyalar yayınladı.
Bir kaynak, BleepingComputer’a Virginia’nın Yasama Otomatik Sistemler Bölümü’ne (DLAS) yapılan son saldırının arkasında Hive fidye yazılımının da olduğunu söyledi. Ancak, bilgileri bağımsız olarak doğrulayamadık.
Siber güvenlik şirketi Group-IB’deki Hive bir hizmet olarak fidye yazılımı (RaaS) operasyonunu araştıran analistler, grubun “en agresif olanlardan biri” olduğunu ve bağlı kuruluşlarının 16 Ekim’e kadar en az 355 şirketi vurduğunu keşfetti.
Bu çetenin halka açık olarak bilinen ilk saldırısı 23 Haziran’da Kanadalı bilişim şirketi Altus Group’a yapıldı. O zaman, Hive’ın diğer siber suçlulara açık bir RaaS operasyonu olup olmadığı belli değildi.
Grup, “kkk” olarak bilinen bir kullanıcı aracılığıyla, şirket ağlarına zaten erişimi olan ortaklar aradıkları “itibarlı” fidye yazılımı programlarıyla ilgili bir ileti dizisine yanıt verdiğinde, Eylül ayı başlarında her şey netleşti.
Mesaj ayrıca fidye parasının bölünmesiyle ilgili ayrıntıları da içeriyordu: %80 bağlı kuruluşlar için, %20 geliştiriciler için.
Aynı kullanıcı, Group-IB araştırmacıları tarafından yakalanan kendi kendini imha eden bir notta dosya şifreleyen kötü amaçlı yazılım hakkında teknik bilgiler de verdi.
“kkk”, temsil ettikleri RaaS’nin adını vermese de, araştırmacılar, sağlanan teknik detayların, oyuncunun Hive fidye yazılımından bahsettiğini açıkça ortaya koyduğunu söylüyorlar.
Hive fidye yazılımı perdelerinin ardında
Group-IB, Hive fidye yazılımı yönetici paneline erişim sağladı ve operasyon ve nasıl çalıştığı hakkında bilgi toplamaya başladı.
Görünüşe göre geliştiriciler, fidye yazılımı dağıtımını ve kurbanlarla müzakereleri olabildiğince kolay ve şeffaf hale getirmek için her şeyi ayarlamış görünüyor.
İştirakler 15 dakikaya kadar bir kötü amaçlı yazılım sürümü oluşturabilir ve müzakereler, mesajı kurbana bağlı kuruluşlar tarafından da görülebilen bir sohbet penceresinde ileten Hive fidye yazılımı yöneticileri aracılığıyla yürütülür.
Şifre çözme yazılımı fidye ödendikten sonra sağlanmış olmasına rağmen, bazı şirketler aracın düzgün çalışmadığından ve sanal makinelerin Ana Önyükleme Kaydı’nı bozarak onları önyüklenebilir hale getirmediğinden şikayet etti.
BleepingComputer ile paylaşılan bir raporda Group-IB, Hive fidye yazılımı yönetim panelinin bağlı kuruluşlara ne kadar para kazandıklarını, ödeme yapan şirketleri ve verilerini sızdıranları gösterdiğini ve hedeflenen işletmeler için profil depolamalarına izin verdiğini belirtiyor.
Araştırmacılar, tüm bağlı kuruluşların, oldukça sıra dışı olan Hive fidye yazılımı veritabanındaki şirket kimliklerine erişimi olduğunu buldu.
Ayrıca, yönetici panelleri ve sızıntı sitesi, Group-IB’nin yalnızca iki fidye yazılımı grubuyla görüldüğünü söylediği bir API (Uygulama Programlama Arayüzü) üzerinden çalışıyor: Grief ve DoppelPaymer.
API’ye daha yakından bakıldığında, araştırmacılar, tüm Hive fidye yazılımı saldırıları hakkında bilgi toplamalarına ve bu saldırganlara kaç şirketin ödeme yaptığını ölçmelerine izin veren bir hata buldular.
Değerlendirmelerine göre, tehdit aktörü 16 Ekim’e kadar 355 kuruluşu vurdu; 104 kurban saldırganlarla pazarlık yaptı.
API aracılığıyla elde edilen şirket verilerinin analizine göre, kurbanların sayısı bir aydan kısa bir sürede %72 arttı. 16 Eylül’de, mağdur şirketlerle ilgili toplam kayıt sayısı 181’di. Sadece bir ay sonra, 16 Ekim’de sayı 312’ye yükseldi. Özellikle, Eylül ayında mağdur olarak listelenen 43 şirket, büyük olasılıkla ödeme yaptıktan sonra, Ekim ayında API’den kayboldu. fidye” – Grup-IB
Kurbanlardan zorla alınan paraya gelince, Group-IB BleepingComputer’a çetenin Ekim’den Kasım’a kadar en az 6,5 milyon dolar kazandığını tahmin ettiklerini söyledi.
Group-IB’nin fidye yazılımı işine ilişkin araştırması, yakın zamanda şirketin “Corporansom: bir numaralı tehdit”, mağdurların yaklaşık %30’unun tehdit aktörüne ödeme yapmayı seçtiğini gösteriyor.
Hive fidye yazılımı, başlangıçta sanıldığından daha aktif olmasına rağmen, aşağıdakileri içeren ortak ilk uzlaşma yöntemlerine güvenir:
- savunmasız RDP sunucuları
- güvenliği ihlal edilmiş VPN kimlik bilgileri
- kötü niyetli ekleri olan kimlik avı e-postaları
Saldırganlar, çoğu fidye yazılımı saldırısı için tipik olan, çalışma saatleri dışında veya hafta sonu boyunca saldırının şifreleme aşamasını da uygular.