ESET Research, yeni bir fidye yazılımı grubu olan Embargo’nun, siber saldırılarda güvenlik çözümlerini devre dışı bırakan bir araç seti kullandığını keşfetti. Bu grup, fidye yazılımı ve şantajla kurbanları kıskaca alarak, zarar verme yöntemlerini giderek geliştiriyor.
Rust Tabanlı Araçlar ile Yenilik
Embargo, Rust tabanlı araçlar geliştiriyor ve bu araçları kurbanlarının ortamına uyarlıyor. ESET tarafından Haziran 2024’te gözlemlenen grup, MDeployer ve MS4Killer adlı iki araç geliştirmiş durumda. MS4Killer, özellikle her kurbanın sistemine özgü olarak tasarlanmış ve yalnızca belirli güvenlik çözümlerini hedef alıyor. Bu durum, grup için bir avantaj sağlıyor; zira zararlı yazılım, Güvenli Mod ve savunmasız sürücüler aracılığıyla güvenlik ürünlerini devre dışı bırakabiliyor.
Kendi Altyapısını Oluşturuyor
Embargo, şantaj yöntemleriyle kurbanlarına baskı yaparak ödeme talep ediyor. Kurbanların hassas verilerini sızdırmakla tehdit eden grup, bu bilgileri bir sızıntı sitesinde yayınlamayla korkutuyor. Grubun bir temsilcisi, RaaS (hizmet olarak fidye yazılımı) sunduklarını belirtirken, araştırmacılar Tomáš Zvara ve Jan Holman, grubun gerçekten de bir RaaS sağlayıcısı olabileceğini vurguladı.
Aktif Geliştirme Süreci
Embargo, sürekli olarak araç setini geliştiriyor ve dağıtılan sürümlerdeki farklılıklar, hatalar ve kalan izler bunun göstergesi. MDeployer ve MS4Killer’ın birlikte kullanılması, bu araçların aynı tehdit aktörleri tarafından geliştirildiğini ortaya koyuyor. Grubun geliştirdiği araçların aktif bir şekilde evrim geçirdiği ve Rust konusunda yetkin oldukları anlaşılmakta.
Güvenlik Yazılımını Atlatma Taktikleri
Embargo, güvenlik çözümlerini devre dışı bırakmak için Güvenli Mod’u kötüye kullanıyor ve BYOVD (Bring Your Own Vulnerable Driver) tekniğiyle güvenlik süreçlerini sonlandırıyor. Bu yöntem, çekirdek düzeyinde kod yürütmeyi sağlayarak, fidye yazılımı yükünün kurbanların sistemlerinde tespit edilmeden çalıştırılmasına olanak tanıyor.
Sonuç olarak, Embargo’nun hedefi, kurbanlarının güvenlik çözümlerini etkisiz hale getirerek fidye yazılımı yüklemesini mümkün kılmak. Grup, bu amaç doğrultusunda titizlikle çalışarak, siber güvenlik tehditlerini daha da artırma çabası içinde.
