Son zamanlarda siber casusluk saldırıları için fidye yazılımını tuzak olarak kullanan devlet destekli hacker’lar gündeme geldi.

Çin merkezli bir APT grubu, kampanyalarının arkasındaki gerçek operasyonel ve taktik hedefleri örtbas etmek için muhtemelen kısa ömürlü fidye yazılımlarını tuzak olarak kullanıyor. Secureworks tarafından Bronze Starlight olarak adlandırılan bir hacker grubunun; LockFile, Atom Silo, Rook, Night Sky, Pandora ve LockBit 2.0 gibi izinsiz giriş sonrası fidye yazılımlarını kullandıkları öne sürüldü.

Uzmanların yayınladığı bir raporda, ‘’Fidye yazılımı, siber tehdit aktörlerinin gerçek niyetini belirleme noktasında zorluk çıkartabilir ve kötü amaçlı faaliyetlerin devlet destekli bir Çin tehdit grubuna atfedilme olasılığı noktasında sıkıntı yaratabilir. Bu bağlamda fidye yazılımı, kalıcı olarak operasyonları durdurmadan önce nispeten kısa bir süre boyunca az sayıda kurbanı hedefliyor.’’ dedi.

2021 ortalarından itibaren aktif olarak gözlemlenen Bronze Starlight, fidye yazılımının saldırı döngüsünün tüm aşamalarında yer aldığını vurguladı. Ayrıca ortaya çıkan bu tehdit kümesinin Microsoft tarafından da izlendiğini belirtti.

Microsoft, “DEV-0401 kendi fidye yazılımı yüklerini koruduğu ve sık sık yeniden markaladığı için, yüke dayalı raporlamada farklı gruplar olarak görünebilir ve bunlara yönelik algılamalardan, eylemlerden kaçınabilir.” ifadelerini kullandı.

Bronze Starlight’ın, ağ içinde bir yer edindikten sonra yanal hareket için Cobalt Strike ve Windows Yönetim Araçları’nı kullanmak gibi tekniklere başvurduğunun altı çizildi. Ancak artık grubun saldırılarında Cobalt Strike’ı Sliver çerçevesiyle değiştirmeye başlandığı görülüyor.

Kurbanları arasında Brezilya ve ABD’deki ilaç şirketleri, Çin ve Hong Kong’da ofisleri bulunan ABD merkezli bir medya kuruluşu, Litvanya ve Japonya’daki elektronik bileşen tasarımcıları ve üreticileri, ABD’de bir hukuk firmasının yer alması ise dikkat çekti.

Araştırmacılar, ‘’Bronze Starlight’ın fikri mülkiyeti çalmak veya casusluk yapmak gibi temel motivasyonla, fidye yazılımını finansal kazançtan ziyade bir sis perdesi olarak kullanılması bekleniyor.’’ dedi.