Hibrit Saldırı Bülteni: Salt Typhoon - Telco Siber Saldırılarında Sessiz Fırtına >

Vectra AI Japonya、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger simgesi üst satır
Hamburger simgesi orta çizgi
Hamburger simgesi alt satırı
cybercriminels
>
Fidye Yazılım Grubu

Bashe

Daha önce APT73 veya Eraleig olarak bilinen bir fidye yazılımı grubu olan Bashe, 2024 yılında LockBit'e benzeyen taktiklerle ortaya çıktı, gelişmiş ülkelerdeki kritik endüstrileri hedef aldı ve Tor tabanlı bir Veri Sızıntısı Sitesi (DLS) aracılığıyla veri gaspından yararlandı.

Bashe'nin TTP'lerini tespit edin
Kuruluşunuz Bashe'nin Saldırılarına Karşı Güvende mi?
Arka plan
Hedefler
TTP'ler
Algılama
Sıkça Sorulan Sorular
Tehdit Brifingini izleyin

Bashe'nin kökeni

Daha önce APT73 ve Eraleig Fidye Yazılımı olarak bilinen Bashe, Nisan 2024'ün ortalarında ortaya çıktı ve başlangıçta kendini "Gelişmiş Kalıcı Tehdit" (APT) olarak tanımladı. Genellikle son derece sofistike ve iyi kaynaklara sahip siber aktörler için kullanılan bu tanımlama, Bashe'nin kendisini güvenilir bir tehdit olarak pazarlama stratejisinin bir parçası gibi görünmektedir. Bashe'nin, Veri Sızıntı Siteleri (DLS) arasındaki benzerliklere dayanarak LockBit fidye yazılımı grubundan türediğine inanılıyor. Bashe'nin DLS yapısı, LockBit'in kurulumunda görülenlerle aynı olan "Bize Ulaşın", "Bitcoin Nasıl Satın Alınır", "Web Güvenliği Hata Ödülü" ve "Aynalar" bölümlerini içerir.

Bashe, Çek Cumhuriyeti'nde barındırılan altyapısı ile Tor ağı üzerinden faaliyet göstermektedir. Barındırma için daha önce DarkAngels, Vice Society, TrickBot, Meduza Stealer ve Rimasuta dahil olmak üzere çeşitli kötü niyetli gruplar ve malware tarafından kullanılan bir ağ olan AS9009 ASN'ye güvenmektedir. Bu altyapı seçimi Bashe'nin tespit edilmekten kaçınmak için tanıdık sistemlerden yararlanıyor olabileceğini düşündürmektedir.

Bashe'nin kökeni
Hedefler

Bashe'nin hedefleri

Bashe tarafından hedef alınan ülkeler

Grubun faaliyetlerinin Kuzey Amerika, Birleşik Krallık, Fransa, Almanya, Hindistan ve Avustralya'daki kuruluşları etkilediği bildirildi. Bashe'nin değerli veri varlıklarına sahip gelişmiş ülkelere odaklanması, mağduriyet potansiyelini en üst düzeye çıkarmaya yönelik küresel yaklaşımını vurgulamaktadır.

Görüntü kaynağı: ransomware.live

Bashe tarafından hedeflenen sektörler

Bashe'nin teknoloji, ticari hizmetler, imalat, tüketici hizmetleri ve finansal hizmetler gibi yüksek değerli sektörlere öncelik verdiği görülüyor. Grup ayrıca ulaşım, lojistik, sağlık ve inşaat sektörlerini de hedef alıyor. Bu sektörlere odaklanmak, Bashe'nin hassas veya önemli verileri işleyen sektörleri hedef alarak fidye talepleri için kaldıraç gücünü en üst düzeye çıkarmasına olanak tanıyor.

Bashe tarafından hedeflenen sektörler

Bashe'nin teknoloji, ticari hizmetler, imalat, tüketici hizmetleri ve finansal hizmetler gibi yüksek değerli sektörlere öncelik verdiği görülüyor. Grup ayrıca ulaşım, lojistik, sağlık ve inşaat sektörlerini de hedef alıyor. Bu sektörlere odaklanmak, Bashe'nin hassas veya önemli verileri işleyen sektörleri hedef alarak fidye talepleri için kaldıraç gücünü en üst düzeye çıkarmasına olanak tanıyor.

Bashe'nin kurbanları

Bashe şimdiye kadar yaklaşık 35 kurbana ulaştı.

Saldırı Yöntemi

İlk Erişim
Ayrıcalık Yükseltme
Savunma Kaçırma
Kimlik Bilgileri Erişimi
Keşif
Yanal Hareket
Koleksiyon
Yürütme
Sızma
Etki
Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.
Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.
Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.
Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.
Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.
Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.
Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.
Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.
Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.
Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.
Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.
İlk Erişim
Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.
Ayrıcalık Yükseltme
Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.
Savunma Kaçırma
Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.
Kimlik Bilgileri Erişimi
Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.
Keşif
Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.
Yanal Hareket
Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.
Koleksiyon
Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.
Yürütme
Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.
Sızma
Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.
Etki
MITRE ATT&CK Haritalama

TA0001: Initial Access
No items found.
TA0002: Execution
No items found.
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
No items found.
TA0006: Credential Access
No items found.
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.
Platform Tespitleri

Fidye yazılımı saldırıları nasıl tespit edilir? Vectra AI

Bashe'nin Taktikleri, Teknikleri ve Prosedürleri (TTP'ler) araştırılmaya devam ederken, LockBit ile benzerliklerine dayanarak olası faaliyetleri değerlendirebiliriz. Tipik bir fidye yazılımı saldırısı durumunda tetiklenecek Vectra AI tespitlerinin bir taslağını aşağıda bulabilirsiniz:

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

Daha fazla algılama görüntüleyin
Saldırıya maruz kalma durumunuzu değerlendirin

Sıkça Sorulan Sorular

Kuruluşunuz Bashe'nin Saldırılarına Karşı Güvende mi?

Saldırıya maruz kalma durumunuzu değerlendirin