The Gentlemen Fidyə Proqramı Dəstəsi Məlumat Sızması ilə Çökdü

Hadisənin Xülasəsi

Kibertəhlükəsizlik dünyası, ovçunun ova çevrildiyi nadir anlardan birinə şahidlik edir. Son dövrlərdə bir çox qurumu hədəf alan 'The Gentlemen' kimi tanınan fidyə proqramı dəstəsi, özünün etdiyi kritik bir əməliyyat təhlükəsizliyi (OPSEC) səhvi səbəbindən öz məlumatlarını sızdırdı. 14 May 2024-cü ildə ortaya çıxan bu hadisə, qrupun daxili işləmə mexanizminə, təşkilati quruluşuna və taktikalarına dair misli görünməmiş bir pəncərə açdı. Bu sızma, kibercinayətkarların da rəqəmsal dünyada nə qədər həssas ola biləcəyini və ən kiçik bir səhvin belə bir imperatorluğu necə yıxa biləcəyini gözlər önünə sərir.

Hadisə, qrupun istifadə etdiyi bir komanda və nəzarət (C2) serverinin yanlış konfiqurasiya edilməsi nəticəsində ictimaiyyətə açıq olması ilə başladı. Təhlükəsizlik tədqiqatçıları tərəfindən aşkar edilən bu boşluq, qrupun bütün daxili ünsiyyətini, mənbə kodlarını, filial (affiliate) məlumatlarını və qurban məlumatlarını ifşa etdi. 'The Gentlemen' dəstəsi, xüsusilə 'Xidmət Kimi Fidyə Proqramı' (Ransomware-as-a-Service - RaaS) modeli ilə tanınırdı. Bu modeldə, fidyə proqramını inkişaf etdirən əsas qrup, proqramı digər kibercinayətkarlara icarəyə verərək hücumlardan əldə edilən gəlirdən pay alırdı. Sızma, bu RaaS modelinin nə qədər gəlirli və cəlbedici olduğunu da sübut edir.

Sızdırılan Məlumatlar və Miqyası

Sızmanın miqyası və məzmunu həm təhlükəsizlik tədqiqatçıları, həm də hüquq-mühafizə orqanları üçün sanki bir xəzinədir. Sızdırılan məlumatlar arasında olduqca həssas və kritik məlumatlar var:

• Mənbə Kodları: 'The Gentlemen' fidyə proqramının həm şifrələyici (encryptor), həm də deşifrəedici (decryptor) versiyalarının tam mənbə kodları sızdırıldı. Bu vəziyyət, qrupun mövcud və keçmiş qurbanları üçün bir ümid işığı ola bilər. Təhlükəsizlik şirkətləri bu kodları təhlil edərək potensial olaraq pulsuz bir deşifrəedici hazırlaya və qurbanların məlumatlarını fidyə ödəmədən xilas etmələrini təmin edə bilər.
• Daxili Ünsiyyət Qeydləri: Qrupun üzvləri və filialları arasında keçən minlərlə saatlıq söhbət qeydləri (chat log) ifşa oldu. Bu qeydlər, qrupun iyerarxik quruluşunu, qərar qəbuletmə proseslərini, hədəf seçmə meyarlarını və gəlir paylaşma modellərini ətraflı şəkildə ortaya qoyur.
• Filial (Affiliate) Məlumatları: RaaS modelinin onurğa sütunu olan filialların siyahısı, ləqəbləri, kriptovalyuta cüzdan ünvanları və müvəffəqiyyət dərəcələri kimi məlumatlar sızdırıldı. Bu, hüquq-mühafizə orqanlarının dünya miqyasında bir çox kibercinayətkarı müəyyən edib tutması üçün mühüm bir fürsət təqdim edir.
• Qurban Məlumat Bazası: Qrupun hədəf aldığı şirkətlərin bir siyahısı, bu şirkətlərdən nə qədər fidyə tələb edildiyi, hansılarının ödəmə etdiyi və danışıqlar proseslərinin detalları da sızdırılan məlumatlar arasındadır. Bu vəziyyət, hücuma məruz qaldığını ictimaiyyətə açıqlamayan şirkətlər üçün ciddi bir böhran potensialı daşıyır.

Hücumun Texniki Tərəfi

Bu hadisəni maraqlı edən, 'The Gentlemen' dəstəsinin qurban olmaması, əksinə öz diqqətsizliklərinin qurbanı olmasıdır. Əməliyyat Təhlükəsizliyi (OPSEC), bir təşkilatın və ya fərdin, həssas məlumatlarını düşmən və ya rəqib təhlili ilə ortaya çıxara biləcək hərəkətlərdən çəkinmə prosesidir. 'The Gentlemen' dəstəsi məhz bu nöqtədə uğursuz oldu.

Texniki olaraq sızmanın mənbəyi, qrupun istifadə etdiyi və bütün əməliyyat məlumatlarını saxlayan bir serverin yanlış konfiqurasiya edilmiş bir təhlükəsizlik divarı qaydası idi. Bu səhv, serverdəki müəyyən qovluqların və verilənlər bazalarının internetə tamamilə açıq olmasına səbəb oldu. Bu cür bir səhv, adətən tələsik davranmaq, təcrübəsizlik və ya sadə bir laqeydlikdən qaynaqlanır və ən mürəkkəb kibercinayətkar qrupların belə əsas təhlükəsizlik prinsiplərini nəzərdən qaçıra biləcəyini göstərir.

Qrupun uğurunun arxasındakı texniki model isə RaaS idi. Xidmət Kimi Fidyə Proqramı (RaaS), kibercinayətkarlığın 'franşiza' modeli kimi düşünülə bilər. 'The Gentlemen' kimi əsas inkişaf etdiricilər, mürəkkəb fidyə proqramını yaradır, infrastrukturu idarə edir və texniki dəstək verir. Filiallar (affiliates) isə bu 'xidməti' istifadə edərək hədəflərə sızır, fidyə proqramını yayır və danışıqları aparır. Əldə edilən gəlir, adətən 80/20 və ya 70/30 kimi nisbətlərlə əsas qrup və filial arasında paylaşılır. Sızdırılan məlumatlar, 'The Gentlemen' dəstəsinin %85-ə çatan nisbətlərlə olduqca səxavətli bir paylaşma modeli təklif etdiyini və bu sayədə qısa müddətdə çox sayda bacarıqlı kibercinayətkarı özünə cəlb etdiyini göstərir.

Təsirə Məruz Qalanlar Kimlərdir

Bu sızma, adət olunmuşdan fərqli olaraq, birbaşa son istifadəçiləri və ya tək bir şirkəti deyil, kibercinayətkarlıq ekosisteminin özünü hədəf alır. Təsirə məruz qalan tərəfləri aşağıdakı kimi sıralaya bilərik:

• 'The Gentlemen' Dəstəsi və Filialları: Sızmanın əsas qurbanlarıdırlar. Onların kimlikləri, metodları və maliyyə məlumatları artıq açıqdır. Bu vəziyyət həm hüquq-mühafizə orqanları tərəfindən tutulma risklərini artırır, həm də digər rəqib kibercinayətkar qruplar tərəfindən hədəf alınmalarına səbəb ola bilər.
• Keçmiş Qurbanlar: Fidyə ödəmiş və ya məlumatları şifrələnmiş şirkətlər üçün bu sızma yaxşı bir xəbər ola bilər. Sızdırılan mənbə kodları sayəsində hazırlana biləcək bir deşifrəedici, onların məlumatlarını geri almalarını təmin edə bilər.
• Potensial Qurbanlar: Qrupun çökməsi ilə birlikdə, ən azından qısa müddətə, bu dəstənin təhdidi aradan qalxmış oldu. Ancaq qrupun filiallarının başqa RaaS platformalarına keçməsi ehtimalı yüksəkdir.
• Kibertəhlükəsizlik İcması: Tədqiqatçılar üçün bu sızma, müasir bir RaaS əməliyyatının anatomiyasını araşdırmaq üçün əvəzsiz bir fürsətdir. Qrupun Taktika, Texnika və Prosedurları (TTP-lər) təhlil edilərək gələcəkdəki oxşar hücumlara qarşı daha təsirli müdafiə mexanizmləri hazırlana bilər.

Nə Etməlisiniz

Bu hadisə, kibertəhlükəsizliyin hər iki tərəf üçün də nə qədər kritik olduğunu bir daha xatırladır. Qurumlar və fərdlər üçün alınmalı olan dərslər və atılmalı olan addımlar bunlardır:

Qurumlar Üçün:

• Əsas Təhlükəsizlik Gigiyenasını Təmin Edin: Ən mürəkkəb hücumlar belə adətən əsas bir təhlükəsizlik zəifliyindən faydalanır. Güclü parol siyasətləri, çoxfaktorlu autentifikasiya (MFA) və müntəzəm sistem yeniləmələri həyati əhəmiyyət daşıyır.
• Aktivlərin İdarə Edilməsi və Konfiqurasiya Nəzarəti: İnternetə açıq olan bütün aktivlərinizdən xəbərdar olun və təhlükəsizlik konfiqurasiyalarını müntəzəm olaraq yoxlayın. 'The Gentlemen' dəstəsinin etdiyi səhv hər hansı bir şirkətin də başına gələ bilər.
• Hücum Səthini Azaldın: Lazımsız portları və xidmətləri bağlayaraq potensial təcavüzkarların işini çətinləşdirin.
• Ehtiyat Nüsxə və Bərpa Planı: 3-2-1 ehtiyat nüsxə qaydasını tətbiq edin (məlumatlarınızın 3 nüsxəsi, 2 fərqli mediada, 1-i ofisdən kənarda). Mümkün bir fidyə proqramı hücumunda məlumatlarınızı fidyə ödəmədən geri gətirməyin yeganə yolu budur.

Keçmiş Qurbanlar Üçün:

Əgər 'The Gentlemen' tərəfindən hücuma məruz qalmısınızsa, kibertəhlükəsizlik xəbər mənbələrini və etibarlı şirkətlərin bloglarını izləyin. Yaxın günlərdə və ya həftələrdə pulsuz bir deşifrəedicinin yayımlanma ehtimalı olduqca yüksəkdir.

Kibertəhlükəsizlik Dünyasının Reaksiyası

Gözlənildiyi kimi, 'The Gentlemen' dəstəsindən rəsmi bir açıqlama gəlmədi. Kibercinayətkar qruplar bu cür vəziyyətlərdə adətən səssizliyə bürünür, infrastrukturlarını bağlayır və izlərini itirməyə çalışırlar. Ancaq qaranlıq veb (dark web) forumlarındakı müzakirələr, qrup daxilində böyük bir təşviş və qarşılıqlı ittihamların yaşandığını göstərir. Filiallar, əsas inkişaf etdiriciləri bacarıqsızlıqda günahlandırarkən, qrupun nüfuzu və etibarlılığı tamamilə məhv olmuş vəziyyətdədir. Bu hadisə, RaaS ekosistemindəki etimad dinamikasını da dərindən sarsıtmışdır.

Nəticə olaraq, 'The Gentlemen' sızması, kibercinayət dünyasının toxunulmaz olmadığını və ən güclü görünən aktyorların belə sadə bir səhvlə devrilə biləcəyini göstərən ibrətamiz bir hadisə kimi tarixə keçəcəkdir.

Kaynak

https://www.darkreading.com/threat-intelligence/gentlemen-raas-gang-data-leak