2024’ün ikinci çeyreği, RaaS (Fidye Yazılımı Hizmet Olarak) ekosistemindeki zorluklar ve uyarlamalarla karakterize edilen fidye yazılımı manzarasında önemli gelişmelere tanık oldu. ReliaQuest’in tehdit araştırmacıları tarafından derlenen verilere göre, fidye yazılımı veri sızıntısı sitelerinde tespit edilen kuruluş sayısında 2024’ün 1. çeyreğine kıyasla %20’lik bir artış oldu.
Mayıs, büyük ölçüde daha önceki kolluk kuvvetleri eylemlerinden kurtulmayı amaçlayan gruplar tarafından yönlendirilen, kuruluşların %43’ünün veri sızıntısı sitelerinde görünmesiyle önemli bir ay olarak ortaya çıktı. Özellikle LockBit, yalnızca Mayıs ayında 179 kuruluşun etkilenmesiyle öne çıktı ve zorluklar arasında operasyonları sürdürme çabalarını vurguladı.
RansomHub ve BlackSuit gibi yeni katılımcılar, ALPHV gibi iflas etmiş grupların bıraktığı boşluktan yararlanarak yenilikçi operasyonel modeller ve cazip iştirak programlarından yararlandı. RansomHub, iştirakçilere peşin ödemeler sunan yeni bir ödeme yapısı tanıttı ve bu da etkilenen kuruluşlarda önceki çeyreklere kıyasla önemli bir artışa neden oldu. Bu değişim, fidye yazılımı topluluğu içinde iştirak işe alım stratejilerinde stratejik bir dönüm noktasını ifade ediyor.
Fidye yazılımı saldırılarının coğrafi dağılımı, algılanan finansal kapasiteler ve sıkı düzenleyici ortamlar nedeniyle Batı ülkelerinde, özellikle ABD’de yoğunlaşmaya devam etti. Profesyonel, bilimsel ve teknik hizmetler (PSTS) sektörü, yüksek etki potansiyeli ve teknoloji tedarik zincirlerindeki güvenlik açıkları nedeniyle fidye yazılımı faaliyetleri için bir odak noktası olarak ortaya çıktı.
Fidye Yazılımı Alanında Ortaya Çıkan Trendler ve Taktikler
Bu fidye yazılımı ortamında gözlemlenen bir diğer önemli eğilim, ifşa edilmiş kimlik bilgilerinin daha fazla kullanılması ve fidye yazılımı grupları arasında sosyal mühendislik taktiklerinin yaygınlaşmasıydı.
Forum tartışmaları, yama uygulanmamış VPN’ler ve Uzak Masaüstü Protokolü (RDP) araçları gibi internete bakan uygulama güvenlik açıklarından yararlanmaya yönelik önerilerde artış olduğunu ortaya koydu. Bu taktikler, tehdit aktörlerinin sistemlere ilk erişimi elde etmesini sağlayarak, kuruluşların sağlam kimlik avı eğitimine ve zamanında yazılım güncellemelerine öncelik vermesinin kritik ihtiyacını vurguladı.
Taktikler açısından, tek gasp kampanyalarının ortaya çıkışı, önceki çeyreklerde gözlemlenen geleneksel çift ve üçlü gasp yöntemlerinden bir sapmayı işaret ediyordu. Özellikle, nadir görülen tek gasp kampanyası, bulut bilişim tabanlı veri bulutu şirketi Snowflake’in yaklaşık 165 müşterisini etkiledi.
Analistler, yazılım tedarik zincirlerindeki güvenlik açıklarından yararlanmaya ve yetkisiz erişim elde etmek için sosyal mühendislik taktiklerinden yararlanmaya odaklanarak fidye yazılımı alanında yeniliklerin devam edeceğini öngörüyor.
Fidye Yazılımı Alanındaki Önemli Oyuncular ve Stratejiler
Geleneksel komisyon yapıları yerine peşin ödemeler sunan RansomHub’ın yenilikçi iştirak programı, siber suçlu topluluğunda önemli ilgi gördü. Bu yaklaşım, veri sızıntısı sitelerinde listelenen etkilenen kuruluşların sayısında hızlı bir artışa neden oldu ve RansomHub’ı fidye yazılımı ekosisteminde güçlü bir oyuncu konumuna getirdi.
Benzer şekilde, BlackSuit, sofistike kötü amaçlı yazılım dağıtım yöntemleri ve gelişmiş şifreleme teknikleriyle kendini farklılaştırdı. Grubun faaliyetleri, özellikle üretim ve PSTS sektörlerinde, yüksek değerli hedeflere ve operasyonel verimliliğe odaklanmalarını yansıtan etkilenen kuruluşlarda bir artış gördü.
Operasyonel stratejiler açısından, RansomHub’ın “Scattered Spider” adlı hack grubuyla olan bağlantısı not edildi ve bu durum operasyonel yetenekleri geliştirmek ve kurban tabanlarını genişletmek için işbirlikçi çabalar olduğunu gösteriyor. Bu ittifak, RansomHub’ın veri sızıntısı sitesinde adı geçen kuruluşlarda çeyrekten çeyreğe %243’lük bir artışa katkıda bulunarak grubun agresif genişleme taktiklerini vurguluyor.
Analistler, fidye yazılımı grupları arasında rekabetçi işe alım stratejilerinin devam edeceğini, komisyon oranlarında potansiyel bir artış olacağını ve yüksek profilli kuruluşları hedef almak için “büyük av” taktiklerinin benimseneceğini öngörüyor.
Fidye Yazılımı Tehditlerine Karşı Gelecek Projeksiyonları ve Stratejileri
ReliaQuest analistleri, yeni ortaya çıkan grupların operasyonları birleştirmesi ve yerleşik oyuncuların stratejilerini uyarlamasıyla fidye yazılımı olaylarında sürekli bir artış öngörüyor. Ancak, devam eden kolluk kuvvetleri çabalarının etkinliği ve şifre çözme anahtarlarının kullanılabilirliğinin orta vadede genel büyüme oranlarını azaltması bekleniyor.
Tek seferlik gasp kampanyalarına doğru kayma ve ifşa edilen kimlik bilgilerinin artan şekilde sömürülmesi, fidye yazılımı operasyonlarında ortaya çıkan taktikleri vurgulamaktadır. Bu gelişmeler, kuruluşların sağlam olay yanıt protokolleri, dijital risk koruma (DRP) çözümleri ve kimlik avı önleme konusunda kapsamlı çalışan eğitimi dahil olmak üzere proaktif siber güvenlik önlemlerini benimseme zorunluluğunu vurgulamaktadır.
2024’ün 2. çeyreğindeki fidye yazılımı manzarası, kuruluşların siber güvenliğe stratejik bir zorunluluk olarak öncelik vermesi gerektiğini vurguladı. Proaktif savunmalar uygulayarak, düzenli güvenlik açığı değerlendirmeleri yaparak ve uç nokta korumasını iyileştirerek kuruluşlar, fidye yazılımı ve siber gasp tehditlerinin oluşturduğu riskleri azaltabilir.