Microsoft bugün, güvenlik ekiplerinin saldırılar sırasında fidye yazılımı dağıtan 100’den fazla tehdit aktörünü izlediğini açıkladı. Toplamda şirket, geçen yılın sonuna kadar aktif olarak kullanılan 50’den fazla benzersiz fidye yazılımı ailesini izlediğini söylüyor.
Microsoft, “Son kampanyalardaki en önemli fidye yazılımı yüklerinden bazıları arasında Lockbit Black, BlackCat (ALPHV olarak da bilinir), Play, Vice Society, Black Basta ve Royal yer alıyor” dedi. dedim.
“Bununla birlikte, savunma stratejileri yüklere daha az, bunların konuşlandırılmasına yol açan faaliyetler zincirine daha fazla odaklanmalıdır.”
Ayrıca, yeni fidye yazılımı aileleri her zaman başlatılsa da çoğu tehdit aktörü, ağları ihlal ederken ve ağlar aracılığıyla yayarken aynı taktikleri kullanır ve bu tür davranışları tespit etme çabalarını, saldırılarını engellemede daha da yardımcı hale getirir.
Redmond’un da eklediği gibi, saldırganlar saldırılarını yürütmek için kimlik avının ötesindeki taktiklere giderek daha fazla güveniyorlar; DEV-0671 ve DEV-0882 gibi tehdit aktörleri, savunmasız sunucuları hacklemek ve Cuba ve Play fidye yazılımlarını dağıtmak için yakın zamanda yamalanan Exchange Server güvenlik açıklarından yararlanıyor.
Geçen hafta Exchange ekibi, yöneticileri şirket içi Exchange sunucularının güvenliğini sağlamak için desteklenen en son Toplu Güncelleştirmeyi (CU) dağıtmaya ve acil durum güvenlik güncelleştirmesini yüklemeye her zaman hazır olmaya çağırdı.
60.000’den fazla İnternet’e maruz kalan Exchange sunucusu, ProxyNotShell RCE açıklarından yararlanan saldırılara karşı hâlâ savunmasızdır. Aynı zamanda binlerce kişi, 2021’in en çok istismar edilen güvenlik açıklarından ikisi olan ProxyShell ve ProxyLogon açıklarını hedef alan saldırılardan korunmayı bekliyor.
Diğer fidye yazılım aktörleri de, fidye yazılımlarını ve bilgi hırsızları gibi çeşitli diğer kötü amaçlı yazılım türlerini zorlamaya yardımcı olan kötü amaçlı yazılım yükleyicileri ve indiricileri sunmak için kötü amaçlı reklamcılık kullanıyor veya kullanıyor.
Örneğin, fidye yazılımı çeteleri için ilk erişim aracısı olduğuna inanılan DEV-0569 olarak izlenen bir tehdit aktörü, şu anda kötü amaçlı yazılım dağıtmak, virüslü cihazlardan şifreleri çalmak ve nihayetinde kurumsal ağlara erişim elde etmek için yaygın reklam kampanyalarında Google Ads’ü kötüye kullanıyor.
Bu erişimi saldırılarının bir parçası olarak kullanıyorlar veya Royal fidye yazılımı çetesi de dahil olmak üzere diğer kötü niyetli aktörlere satıyorlar.
Hizmet olarak fidye yazılımı (RaaS) ekosistemi, çeşitli teknikler, hedefler ve beceriler getiren çok sayıda oyuncuyla gelişmeye ve genişlemeye devam ediyor. 2022 sonu itibarıyla Microsoft, saldırılarda fidye yazılımı kullanan 50’den fazla benzersiz etkin fidye yazılımı ailesini ve 100’den fazla tehdit aktörünü izliyor.
— Microsoft Güvenlik İstihbaratı (@MsftSecIntel) 31 Ocak 2023
Geçen yıl, Conti siber suç operasyonunun sona ermesi ve Royal, Play ve BlackBasta dahil olmak üzere yeni hizmet olarak fidye yazılımı (Raas) operasyonlarının yükselişiyle kutlandı.
Bu arada, LockBit, Hive, Cuba, BlackCat ve Ragnar fidye yazılımı operatörleri, 2022 boyunca sürekli bir kurban akışını ihlal etmeye ve onları zorla almaya çalıştı.
Bununla birlikte, fidye yazılımı çeteleri, blockchain analitik şirketi Chainalysis’e göre, önceki iki yılda rekor kıran 765 milyon doların ardından, 2022 boyunca kurbanlardan yalnızca kabaca 456,8 milyon doları gasp edebildiklerinden, geçen yıl yaklaşık %40’lık büyük bir gelir düşüşü gördü.
Ancak bu önemli düşüş, daha az saldırıdan değil, kurbanların saldırganların fidye taleplerini ödemeyi reddetmesinden kaynaklandı.
Bu yıl, ABD Adalet Bakanlığı, FBI, Gizli Servis ve Europol’ün dahil olduğu uluslararası bir yasa uygulama operasyonunun bir parçası olarak Hive fidye yazılımı veri sızıntısı ve Tor ödeme karanlık web sitelerinin ele geçirilmesinin ardından fidye yazılımı gruplarına karşı büyük bir galibiyetle başladı.
Hive’ın sunucularına girdikten sonra FBI, Hive kurbanlarına 1.300’den fazla şifre çözme anahtarı dağıttı ve Hive iletişim kayıtlarına, kötü amaçlı yazılım dosya karmalarına ve 250 Hive bağlı kuruluşunun ayrıntılarına erişim sağladı.
Aynı gün ABD Dışişleri Bakanlığı, Hive fidye yazılımı çetesini (veya diğer tehdit aktörlerini) yabancı hükümetlerle ilişkilendirmeye yardımcı olabilecek herhangi bir bilgi için 10 milyon dolara kadar teklif verdi.