Cyber Express, güvenlik alanlarında milyonlarca hırsı yerle bir eden ve 2023’te korkunç eylemlerde bulunma yolunda olan beş ana süper kötü adam buldu. Bu kötü amaçlı yazılım/fidye yazılımı aileleri, şirketleri vahşice etkisiz hale getiriyor ve konumlarını terk etmeleri için boyun eğdiriyor; küçük güvenlik protokolleri.
2023 için başlatılan beş kötü amaçlı yazılım/fidye yazılımı grubu, Rusların hacklediği Lockbit, Kuzey Kore tarafından finanse edilen Lazarus, çifte şantaj uzmanı Black Basta, eski Sovyet devlet destekli fidye yazılımı merkezi Hive ve kötü şöhretli Conti fidye yazılımı çetesidir.
Bu tehdit grupları arasında 2022’nin üçüncü çeyreğinde hüküm süren LockBit ve Black Basta, onları geçen yılın en korkusuz tehdit aktörleri haline getirdi.
Bu iki fidye yazılımı grubu, fidye olarak kurbanlarından milyonlar aldı. İstatistiklere göre LockBit, 2022’nin altı ayı boyunca 436 kurban kuruluş olduğunu iddia etti ve Black Basta vardı 101. Üçüncü çeyrekte Karakurt, daha önce BlackCat’in yılın ikinci çeyreğinde sahip olduğu ikinci sırayı aldı.
Nisan’dan Eylül 2022’ye kadar fidye yazılımı saldırganları, daha hızlı virüs dağıtımı ve daha büyük ödüller için hizmet olarak fidye yazılımı (RaaS) modelini benimsemeye devam etti.
2023’te dikkat edilmesi gereken 5 hacker grubu
Geçen yıl olduğu gibi, er ya da geç, tehdit aktörleri kesinlikle daha fazla şirkete saldıracak. TCE, 2023’ün ilk haftasında birçok yeni olay bildirdi. Yakın tarihli bir rapora göre, ortalama ihlal maliyeti vardır 2021’de 4,24 milyon ABD dolarından %2,6 artarak 2022’de 4,35 milyon ABD dolarına yükseldi.
Dünya hükümetleri, geçen yılın zararlarını sürekli olarak hafifletiyor ve önde gelen kurum ve şirketlerin hâlâ bu gelişmeleri yakalamaları gerekiyor. zayıf güvenlik ve yönetim yaklaşımları.
#5 Yeterince Siyah
Black Basta fidye yazılımı Şubat 2022’de bir tehdit olarak ortaya çıktı, ilk toplu kötü amaçlı yazılım örneğini derlediğinde. Bu fidye yazılımının en önemli özelliklerinden biri, tüm Birim Gölge Kopyalarını silme ve bunları masaüstü duvar kağıdı olarak ayarlanan yeni bir JPG resim ve şifrelenmiş dosyaları temsil eden bir ICO dosyasıyla değiştirme yeteneğidir.
Diğer bazı fidye yazılımı ailelerinden farklı olarak Black Basta, sistemi çalışmaz hale getirecek kritik klasörleri şifrelemekten kaçınmasına rağmen uzantılarına göre dosyaları atlamaz.
Black Basta tarafından hedeflenen dosyalar, anahtar ile ChaCha20 algoritması kullanılarak şifrelenir ve sabit kodlu bir RSA genel anahtarı kullanılarak şifrelenmez. Dosyanın boyutu, tamamen mi yoksa kısmen mi şifrelendiğini belirler ve fidye yazılımı, şifrelenmiş dosyaların uzantısını .basta olarak değiştirir.
#4 Kovan
Kasım 2022 itibarıyla FBI, Hive fidye yazılımı grubunun dünya çapında 1.300’den fazla şirketi etkilediğini ve yaklaşık 100 milyon dolarlık fidye ödemesi aldığını bildirdi. Hive, geliştiricilerin kötü amaçlı yazılımı oluşturduğu, sürdürdüğü ve güncellediği hizmet olarak fidye yazılımı (RaaS) modelini kullanarak çalışır, bu sırada bağlı kuruluşlar gerçek fidye yazılımı saldırılarını gerçekleştirir.
Haziran 2021’den en az Kasım 2022’ye kadar Hive, özellikle devlet tesisleri, iletişim, kritik üretim, bilgi teknolojisi ve sağlık ve halk sağlığı (HPH) dahil olmak üzere çok çeşitli işletmeleri ve kritik altyapı sektörlerini hedef aldı.
Hive bağlı kuruluşları tarafından kullanılan ilk izinsiz giriş yöntemi değişebilir, ancak Uzak Masaüstü Protokolü (RDP), sanal özel ağlar (VPN’ler) ve diğer uzak ağ bağlantısı protokolleri aracılığıyla tek faktörlü oturum açma işlemlerinin istismarını içerebilir.
Bazı durumlarda Hive aktörleri, ikinci bir kimlik doğrulama faktörü istenmeden oturum açmalarına olanak tanıyan Ortak Güvenlik Açığı ve Etkilenme (CVE) CVE-2020-12812’den yararlanarak çok faktörlü kimlik doğrulamayı (MFA) atlamış ve FortiOS sunucularına erişim elde etmiştir. (FortiToken) sadece kullanıcı adının durumunu değiştirerek.
#3 Devam
Mayıs 2022’de Conti fidye yazılımı grubunun kapatıldığı bildirildi. Ancak grup birkaç siber saldırı gerçekleştirmeye devam ettiği için bunun yanlış olduğu ortaya çıktı. Kosta Rika hükümetini hedef aldılar ve Cobalt Strike sunucularına Dağıtılmış Hizmet Reddi (DDoS) saldırıları başlattılar.
Grup ayrıca Rusya-Ukrayna ihtilafı sırasında Ukrayna hükümetini ve çeşitli Ukraynalı ve Avrupalı insani ve kar amacı gütmeyen kuruluşları hedef aldı. Conti daha önce Rusya’ya desteğini açıklarken daha sonra geri çekildi.
Google’ın Tehdit Analiz Grubu’na göre grup, kurbanlarını hedef almak için Ukrayna Ulusal Siber Polisi’nin kimliğine bürünen kimlik avı e-postaları kullandı. Bu e-postalar, alıcıdan işletim sistemleri için bir güncelleme indirmesini isteyen bir bağlantı içeriyordu. Bunun yanı sıra saldırı, kişisel verileri çalmak için kullanılan IcedID bankacılık Truva Atı’nın konuşlandırılmasını da içeriyordu.
#2 Lazarus
Kuzey Kore hükümetiyle bağları olan bir hacker topluluğu olan Lazarus Group, ABD hükümetinin 2022’nin başlarında kazan-oyna oyun planında grup tarafından çalınan 30 milyon dolarlık kripto paraya el koymasıyla yoğun bir yıl geçirdi. ve o yılın Temmuz ayında Lazarus, kuruluşlara ilk erişim elde etmek için VMWare Horizon’daki güvenlik açıklarını kullanarak ve kötü amaçlı yazılım dağıtarak Kanada, Japonya ve Amerika Birleşik Devletleri’ndeki enerji sağlayıcılarını hedef aldı.
Birkaç güvenlik firması kampanyayı kısmen ifşa etti, ancak teknik bir rapor, Lazarus’un “kurumsal ağlara ilk dayanaklar oluşturmak” ve “sifon çekmek” için VSingle ve YamaBot adlı bilinen kötü amaçlı yazılım implantlarının yanı sıra MagicRAT adlı daha önce bilinmeyen bir kötü amaçlı yazılımın bir kombinasyonunu kullandığını ortaya koyuyor. tescilli fikri mülkiyetin dışında.”
Saldırının birincil amacının, kritik altyapı ve enerji şirketlerine odaklanarak Kuzey Kore hükümeti adına casusluk operasyonları için kurban ağlarına uzun vadeli erişim elde etmek olduğuna inanılıyor.
1 Numaralı Kilit Biti
LockBit fidye yazılımı organizasyonu itibar kazandı olarak için var olan en tehlikeli gruplardan biri olmak. İlk olarak Eylül 2019’da keşfedildiler ve bir hizmet olarak fidye yazılımı (RaaS) modeli çalıştırdıkları, ağları tehlikeye atmak ve onlar adına cihazları şifrelemek için başkalarını işe aldıkları biliniyor. Grup, çeşitli ülkelerdeki şirketleri hedefliyor, Amerika Birleşik Devletleri, Çin, Hindistan ve Avrupa dahil.
LockBit, Haziran 2021’de RaaS’nin 2.0 sürümünü ve ardından Haziran 2022’de 3.0 sürümünü yayınladı. En son yineleme, BlackMatter kaynak kodunu temel alan yeni şifreleyicilerin yanı sıra yeni ödeme yöntemlerini, gasp stratejilerini ve hatta bir fidye yazılımı hata ödül programını içerir. .
Ancak LockBit operasyonu, yakın zamanda bir geliştiricinin LockBit Black olarak bilinen en yeni şifreleyicisinin oluşturucusunu çevrimiçi olarak sızdırmasıyla önemli bir gerileme yaşadı. Bu şifreleyici, Haziran ayında resmi olarak piyasaya sürülmesinden önce iki aydır test ediliyordu., ve birden fazla güvenlik araştırmacısı tarafından meşru olduğu onaylandı.