Fidye yazılımı grupları, diğer yasa dışı taktiklerin yanı sıra çifte gasp gibi çok sayıda gelişmiş teknik kullanarak sürekli olarak hızlı bir şekilde gelişiyor.
Çifte şantaj taktiğinde, tehdit aktörleri yalnızca verileri şifrelemekle kalmıyor, aynı zamanda kurbanlarını hassas bilgi veya verilerini açıklamaları için tehdit ediyor.
Son zamanlarda, güvenlik araştırmacıları, aşağıdaki şeyleri kullanarak karlarını en üst düzeye çıkarmak için yüksek profilli kurbanları giderek daha fazla hedef aldıklarını belirtti: –
- Gelişmiş kötü amaçlı yazılım
- Daha büyük fidye miktarları talep ediyor
Bunun yanı sıra, bazı gruplar da işbirliği yapıyor veya kaynaklarını paylaşıyor; bu sayede kolluk kuvvetlerinin ve diğer güvenlik uzmanlarının faaliyetleriyle etkin bir şekilde mücadele etmelerini zorlaştırıyorlar.
İçindekiler:
Fidye Yazılımı Türleri
2023 Yılının En Ünlü 10 Fidye Yazılımı Çetesi
Kilit Biti
Alphv/BlackCat
alkış
Asil
SiyahByte
Yeterince Siyah
Ragnar Dolabı
Yardımcısı Derneği
Everest
BianLian
Fidye Yazılımı Türleri
Aşağıda, tehdit aktörlerinin yasa dışı amaç ve amaçları doğrultusunda kullandığı tüm fidye yazılımı türlerinden bahsettik:-
- Dolap Fidye Yazılımı
- Kripto-Fidye Yazılımı
- Korku yazılımı
- Sızıntı yazılımı
- Hizmet Olarak Fidye Yazılımı (RaaS)
Ancak iki tür fidye yazılımı çok popülerdir ve tehdit aktörleri tarafından yaygın olarak kullanılır: –
- Dolap fidye yazılımı
- Kripto fidye yazılımı
Fidye Yazılımı Çetelerinin Motivasyonları
Aşağıda tüm motivasyonlardan bahsettik: –
- Finansal Kazanımlar
- Kullanım kolaylığı
- Güçlü Para Kazanma
- Gelişen Teknolojiler
- Siyaset
2023 Yılının En Ünlü 10 Fidye Yazılımı Çetesi
Bu blogda 2023’ün en kötü 10 fidye yazılımı çetesini ele aldık ve aşağıda bunlardan bahsettik: –
- Kilit Biti
- Alphv/BlackCat
- alkış
- Asil
- SiyahByte
- Yeterince Siyah
- Ragnar Dolabı
- Yardımcısı Derneği
- Everest
- BianLian
Şimdi yukarıda bahsedilen 2023’ün en kötü 10 fidye yazılımı çetesini tartışalım:
Kilit Biti
Kötü şöhretli bir fidye yazılımı grubu olan LockBit, küresel bir hizmet olarak fidye yazılımı (RaaS) modelini kullanarak Eylül 2019’da ortaya çıktı.
Küresel şirketleri hedef alıyorlar ve sırasıyla Haziran 2021 ve 2022’de 2.0 ve 3.0 sürümlerini yayınladılar. Bu sürümlerde şunlar yer alıyor:-
- BlackMatter tabanlı şifreleyiciler
- Yeni ödeme yöntemleri
- Bir hata ödül programı
Yeniliklerine rağmen geliştirici, LockBit Black’in oluşturucusunu çevrimiçi olarak sızdırarak meşruiyetini tehlikeye attığında bir aksilik yaşandı.
Alphv/BlackCat
Çözülmüş fidye yazılımı gruplarının halefi olduğundan şüphelenilen BlackCat/AlphV, tespit edilmekten kaçınmak ve kurbanların dosyalarını başarılı bir şekilde şifrelemek için Rust’ta faaliyet gösteriyor ve bu fidye yazılımı grubu şunları hedefliyor:-
- Batı Dijital
- Güneş İlaç
ALPHV/BlackCat, Rust tarafından yazılmış ilk fidye yazılımıdır; belirli bir erişim belirteci gerektirir ve aşağıdakiler dahil olmak üzere şifrelenmiş yapılandırmalar içerir: –
- Hizmetler/Süreç listeleri
- Beyaz listeye alınan dizinler/Dosyalar
- Çalınan kimlik bilgileri
Bunun dışında Birim Gölge Kopyalarını siler, ayrıcalık yükseltmeden yararlanır ve AES ve RSA şifrelemesini kullanarak dosya uzantılarını “uhwuvzu” olarak değiştirir.
alkış
Clop fidye yazılımı 2019’da ortaya çıktı ve gelişmiş sosyal mühendislik taktikleriyle işbirliğine dayalı bir hizmet olarak fidye yazılımı (RaaS) modelini kullandı. O zamandan bu yana, bu gizli grup dünya çapında birçok şirketten zorla 500 milyon doların üzerinde para almayı başardı.
Bu grubun operatörleri aşağıdaki şeylerden yararlanarak çok çeşitli varlıkları hedef alıyor: –
- Yazılım açıkları
- E-dolandırıcılık
Dikkate değer saldırılarından biri, 2020’de Accellion’un Dosya Aktarım Aracını hackleyerek küresel organizasyonları etkilemeleriydi.
Clop, dosyaları “.clop” uzantılı olarak şifreler, erişimi reddeder ve veri sızıntılarını kanıt olarak gösterir. Clop operatörleri çifte şantaj taktikleri kullanıyor ve bu nedenle kurbanlarını, yüksek kripto para birimi taleplerinin yanı sıra hassas verilerini ifşa etmek veya satmakla tehdit ediyorlar; bu da tipik fidye yazılımı trendlerinden keskin bir değişimi gösteriyor.
Asil
Royal Ransomware, 2022’de karmaşık bir tehdit olarak ortaya çıktı ve yılın en korkunç kampanyaları arasında yer aldı.
Dev-0569 kapsamında faaliyet göstererek, öncelikle bahsettiğimiz gibi milyonlarca talepte bulunan yüksek profilli mağdurları hedef aldılar: –
- Silverstone Devresi
- Büyük bir ABD telekom
Tipik fidye yazılımlarının aksine, özel bir grup olan Dev-0569, doğrudan ağ erişimini satın alıyor ve çifte şantaj taktikleri kullanıyor, bu da onu diğer siber suç operasyonlarından ayırıyor.
SiyahByte
BlackByte, Temmuz 2021’de ortaya çıktı ve ABD’nin kritik altyapı sektörlerini hedef alarak FBI ve USS’nin dikkatini çekti.
Ekim 2021’de piyasaya sürülen Trustwave şifre çözücüye rağmen BlackByte, muhtemelen Conti’nin yeniden markalaşmasıyla bağlantılı olarak birden fazla anahtarla ve devam eden operasyonlarla gelişti.
Küresel saldırılarda ısrar ediyor ancak aşağıdaki gibi Rus kuruluşlarından uzak duruyor: –
Yeterince Siyah
Black Basta fidye yazılımı, çok sayıda benzersiz özellikle Şubat 2022’de ortaya çıktı. Birim Gölge Kopyalarını siler ve bunları aşağıdakilerle değiştirir: –
Diğerlerinden farklı olarak, dosyaları ayrım gözetmeden şifreler ancak kritik klasörleri ayırır ve ChaCha20 algoritmasını kullanarak sabit kodlu bir RSA genel anahtarıyla şifreler.
Bunun yanı sıra, dosya boyutu tam veya kısmi şifrelemeyi belirler ve .basta uzantısı eklenir.
Ragnar Dolabı
Ragnar Locker fidye yazılımı ve operatörleri, Aralık 2019’dan bu yana küresel altyapıyı hedef alarak aşağıdaki varlıkları hedef alıyor:
- Portekizli taşıyıcılar
- İsrail hastanesi
Uzak Masaüstü Protokolünü kullanarak Windows üzerinde çalışan grup, çifte şantaj stratejisi kullanarak büyük ödemeler talep etti.
Sadece bu da değil, tehdit aktörleri mağdurları şifre çözme araçları ve hassas verilerin yayınlanmasıyla da tehdit ediyor. Ragnar Locker fidye yazılımı, kritik altyapı saldırıları nedeniyle yüksek tehdit seviyesine sahip olduğundan en tehlikeli yazılımlardan biri olarak kabul edilir.
Yardımcısı Derneği
Vice Society, 2021’de ortaya çıkan, Rusça konuşan bir bilgisayar korsanlığı grubudur. Bu tehdit grubu, aşağıdaki sektörlere yönelik fidye yazılımı saldırılarında uzmanlaşmıştır:-
- Sağlık hizmeti
- Eğitim
- Üretme
Bağımsız olarak faaliyet gösteriyorlar ve çifte şantaj yaklaşımıyla Avrupa ve ABD’yi vurarak ilk fidye sırasında 1 milyon dolardan fazla talep ettiler ve bunu 460.000 dolar civarında kapattılar.
İnternete yönelik uygulamalardan ve güvenliği ihlal edilmiş kimlik bilgilerinden yararlanarak nüfuz eder. Bunun yanında SystemBC, PowerShell Empire ve Cobalt Strike kullanarak yanal hareket ederler.
Hatta Windows hizmetleri PrintNightmare’den de yararlanıyor ve gizlenmiş kötü amaçlı yazılım ve işlem ekleme yoluyla tespit edilmekten kaçınıyor.
Everest
Everest, Aralık 2020’den bu yana aktif ve veri hırsızlığından fidye yazılımına geçiş yaptı ve artık İlk Erişim Aracısı hizmetlerine odaklanıyor.
Hedefleri, Amerika kıtasına, sermaye mallarına, sağlığa ve kamu sektörüne odaklanan endüstrileri kapsamaktadır. Bu kötü şöhretli grubun AT&T’ye ve Güney Amerika devlet kurumlarına saldırmasıyla biliniyor ve bunun yanı sıra aşağıdaki fidye yazılımlarıyla da bağlantısı var:-
Gizlice faaliyet gösteriyor ve şu ana kadar karanlık web sitesinde 100’e yakın kuruluşu listelemeyi başardı. Grup nadiren, siber suç ortamında nadir görülen bir hareket olan doğrudan fidye yazılımı saldırılarından farklı olarak İlk Erişim Aracısı olarak hareket ediyor.
BianLian
BianLian fidye yazılımı ilk olarak Haziran 2022’de ortaya çıktı ve Go dilinde yazıldı. Ancak, verileri şu yollarla sızdırır: –
Öncelikle aşağıdaki sektörleri hedefler: –
- Finansal Kurumlar
- Sağlık hizmeti
- Üretme
- Eğitim
- Eğlence
- Enerji
Başlangıçta fidye için şifrelemeyi kullandılar, ancak daha sonra ifşa etme tehdidiyle veri sızıntısını da dahil ettiler. Ancak Ocak 2023’te Avast’ın şifre çözücüsü, odağını veri hırsızlığına kaydırarak dosya şifrelemeyi sonlandırdı.
BianLian hedef odaklı kimlik avı yoluyla saldırıyor, kötü amaçlı e-postalar veya güvenliği ihlal edilmiş bağlantılar yoluyla giriş sağlıyor. Kötü amaçlı yazılım içeri girdikten sonra komut sunucusuna bağlanır, araçları indirir ve sistemde kalıcı bir denetim sağlar.