Embargo, Haziran 2024'te ESET tarafından tespit edildi. Grubun geliştirdiği araçlar arasında MDeployer ve MS4Killer yer alıyor. Bu araçlar, güvenlik yazılımlarını devre dışı bırakmak için özel olarak tasarlandı. MDeployer , Güvenli Mod'u çalıştırırken, MS4Killer, BYOVD (Kendi Savunmasız Sürücünü Getir) yöntemiyle çekirdek saldırı düzeyinde gerçekleştiriyor.
Güvenlik Çözümlerini Hedef Alıyorlar
Ambargo'nun farkı, kurbanlarının sürekliliğine özel çözümler üretmesi. Araçlar, kurbanın kullandığı güvenlik çözümlerine göre uyarlanıyor ve savunma mekanizmalarını devre dışı bırakıyor. Bu süreçte Rust dilinin dağıtımının hızından ve esnekliğinden faydalanılıyor.
Fidye cüzdanı ve Şantaj Taktikleri
Ambargo, yalnızca verileri saklayarak saklıyor, aynı zamanda hassas verileri çalıyor ve bunları sızdırmakla tehdit ediyor. Bu yöntem, kurbanların ödeme yapmaları için baskı oluşturuyor. Grup, fidye hizmeti yazılımı olarak RaaS (Hizmet Olarak Ransomware) modeliyle çalışıyor. ESET araştırmacıları, grubun bu alanda markalaşmaya çalıştığını belirtiyor.
Rust ile Güçlenen Araç Setleri
Embargo'nun araçları, aktif gelişme sürecindedir. Özellikle MDeployer ve MS4Killer'ın her zaman birlikte çalıştırılması, grubun karmaşık ve hedefli saldırılar planladığını gösteriyor. Rust'ın tercih edilmesi, grubun teknik olarak yetkin olduğunu ve gelecekte daha gelişmiş araçların üretilebileceğini işaret ediyor.
Güvenlik Yazılımlarını Devre Dışı Bırakma Stratejisi
Embargo'nun amacı, kurbanın seçeneklerindeki güvenlik çözümlerini etkisiz hale getirerek fidye yazılımını sorunsuzca çalıştırmak. Güvenlik yazılımlarını devre dışı bırakmak için BYOVD teknolojisini kullanıyorlar. Bu kayıt, imzalı ama hacimlerin parçalanması, güvenlikle gerçekleştiriliyor.
Siber Güvenlik Uzmanlarının Uyarısı
ESET, Embargo'nun araçlarını detaylı bir şekilde analiz ederek şirketlere saklamalarda bulundu. Kritik güvenlik yazılımlarını düzenli olarak güncellemek , küresel çapta karşı önlemleri almak ve kapsamlı bir güvenlik protokolü oluşturmak, bu tür saldırılara karşı korumayı sağlamak için temel adımlar arasında yer alıyor.
Ambargo Tehdidine Karşı Önlemler
- Güvenlik yazılımlarını güncel tutun.
- BYOVD gibi gelişmiş saldırı tekniklerine karşı savunma önlemleri alınıyor.
- Veri para politikası ve tasarruf politikalarını gözden geçirin.
- Şüpheli etkinlikler için sistemler sürekli olarak izleniyor.
Fotoğraf:ESET
Metin Karakuş
