2025 yazında siber saldırılar arttı

   Ağustos 5, 2025  Posted in Bleeping Computer


Yaz siber saldırıları

2025 yaz sadece sıcak değildi; acımasızdı.

Fidye yazılımı dövülmüş hastaneler, perakende devleri veri ihlali, sigorta firmaları kimlik avı tarafından vuruldu ve ulus devlet aktörleri yıkıcı kampanyalar başlattı.

Gizli Powershell yükleyicilerinden sıfır gün SharePoint istismarlarına kadar, saldırganlar savunucuları topuklarında tuttu.

Bu rapor, sezonun en yüksek etkili olaylarını ve güvenlik ekiplerinin bir sonraki dalga isabetlerinden önce ne yapması gerektiğini bozuyor.

Summer, Healthcare’in büyüyen fidye yazılımı riskini ortaya çıkarır

Hastaneler kesinti süresini karşılayamaz ve saldırganlar bunu bilir.

Bu yaz, fidye yazılımı grupları sağlık hizmetlerini hedef aldı, hem hasta verilerinin değerini hem de bakımın aciliyetinden yararlandı.

Interlock, ABD sağlık hizmetleri için büyük bir tehdit olarak yükseliyor

22 Temmuz 2025, CISA, FBI ve HHS’nin ortak danışmanlığı, Sağlık ve Halk Sağlığı (HPH) sektörü için büyük bir tehdit olarak kilitlenmeyi vurguladı. Grup etrafında bağlantılı 14 Yalnızca 2025’teki olaylar, üçüncüsü sadece sağlık hizmeti sağlayıcılarını etkiliyor.

Kavşağı birbirinden ayıran şey, “Kabarcık“Decoy dosya yollarının arkasındaki kötü niyetli komut dosyalarını gizleyen bir PowerShell başlatıcısı. Kullanıcıları, tipik güvenlik algılamalarını atlayarak dosya explorer aracılığıyla yükleri çalıştırmaya yönlendirir.

Rhysida fidye yazılımı başka bir ABD Sağlık Merkezi’ni hedef aldı

8 Temmuz 2025’te, Rhysida fidye yazılımı grubu, tıbbi görüntüler, sürücü lisansları ve sigorta formları da dahil olmak üzere Florida El Merkezi’nden hassas verileri sızdırdığı iddia ediliyor.

Punta Gorda, Port Charlotte ve Fort Myers hastalarına hizmet veren kliniğe sadece verildi yedi gün sürümden önce yanıt vermek için.

Rhysida veri sızıntı sitesi

Qilin Geri Dönüşümler Dalgalanmış Örümcek Oyun Kitabı, Wave of Healthcare Breaches

Haziran 2025’te Qilin, 81 kurbanı kaydeden en aktif fidye yazılımı grubu oldu. 52’si sağlık sektöründe.

Grup, EHR’ler ve sigorta kayıtları gibi erişim elde etmek, fidye yazılımı dağıtmak ve erişim elde etmek için fidye yazılımlarını dağıtmak ve dışarı atmak için eşleştirilmemiş Fortinet güvenlik açıklarından (CVE-2024-21762 ve CVE-2024-55591) sömürdü.

Baskı en üst düzeye çıkarmak için Qilin, şifrelemenin ötesine geçti ve yasal temalı gasp taktiklerinden yararlandı “Avukat arayın“Daha hızlı ödemeler yapmak için özellik ve otomatik müzakere araçları.

Picus güvenlik doğrulama platformu ile birlikte, 2025 yazının en etkili tehditlerine (interlock, qilin, dragonforce, dağınık örümcek ve araç kılıfı dahil olmak üzere en etkili tehditlere karşı proaktif olarak test edin ve doğrulayın.

14 günlük ücretsiz denemenize başlayın ve hazırlığınızı dakikalar içinde keşfedin.

Ücretsiz bir deneme ile test edin

Perakende siber suç dalgasında büyük markalar ihlal edildi

Perakende sektörü, 2025 yaz boyunca süpürülen siber saldırılar dalgasından kaçamadı.

Louis Vuitton ihlali çeyrekte üçüncü

2 Temmuz 2025’te Louis Vuitton UK, Dior ve LV Kore’den üç ay sonra üçüncü LVMH marka ihlali olan müşteri iletişim bilgilerini ve satın alma geçmişini ortaya çıkaran bir veri ihlali yaşadı.

Günler sonra, 10 Temmuz’da İngiltere polisi, M&S, kooperatif ve Harrods’a yüksek profilli saldırılara bağlı dört şüpheliyi tutukladı.

Grubun, Dragonforce gibi fidye yazılımı operatörleri ile sosyal mühendislik ve işbirliği ile bilinen bir yerli tehdit aktörü olan dağınık örümcekle bağlantılı olduğu iddia ediliyor ve ev yapımı siber suçluların büyük perakendeciler üzerindeki artan etkisini işaret ediyor.

Dragonforce bize perakende zinciri Belk

7 ve 11 Mayıs 2025 arasında, Atlantik’in diğer tarafında Kuzey Carolina, perakendeci Belk veri ihlali yaşadı.

Dragonforce, fidye müzakereleri durduktan sonra daha sonra sızıntı sitesinde yayınlanan isimler, sosyal güvenlik numaraları, e -postalar, sipariş geçmişleri ve İK dosyaları dahil olmak üzere 156 GB müşteri ve çalışan verisini ortadan kaldırdığını belirterek sorumluluk iddia etti.

İlk olarak 2023’ün sonlarında ortaya çıkan Dragonforce, birçoğu ABD ve İngiltere perakende kuruluşlarında olan Mart 2025’e kadar yaklaşık 136 kurbanı listeleyen bir hizmet olarak fidye yazılımı karteli olarak faaliyet gösteriyor.

Dağınık örümcek taktikleri perakende satıştan sigortaya geçti

Dağınık Örümcek (UNC3944), yerel bir İngilizce konuşan siber suçlu kolektif, kimlik merkezli sosyal mühendislik, ses kimlik avı, MFA yorgunluğu, yardım takımı, yardım taklit etme ve tüzüklü alan adlarını İngiltere perakendecilerini (M&S, ko-op, harrods) ihlal etmek için kullandı. Nisan – Mayıs 2025.

İçinde Haziran ortası 2025Araştırmacılar, dağınık örümcek (UNC3944) perakende satıştan ABD sigorta firmalarını hedeflemeye geçtiğini işaretlediler.

  • AFLAC 12 Haziran 2025’te yetkisiz erişim tespit edildi ve içeriyordu; Müşteri ve çalışan kişisel verileri (SSN’ler, sağlık talepleri dahil) tehlikeye atılmış olabilir.

  • Erie Insurance ve Philadelphia Sigorta Şirketleri Ayrıca, Haziran ayı ortasına kadar benzer siber aksamalar bildirdi ve bu da operasyonel kesinti süresine neden oldu.

Müdahale, dağınık örümceklerin bilinen taktik profiliyle eşleşti, ancak fidye yazılımı dağıtılmadı ve sistemler operasyonel kaldı.

Devlet destekli ve jeopolitik siber aktivite

Bu yaz tüm siber tehditler para ile ilgili değildi.

Ulus-devlet korsanları ve hacktivistler de saldırılar başlatmak için çalkantılı jeopolitik iklimi kullanarak iz bıraktılar.

  • 14-17 Haziran, 2025: İsrail yanlısı Hacktivist Grubu Yırtıcı Serçe İran’ın bankasının Sepahını vurdu, bankacılık hizmetlerini bozdu, daha sonra Nobitex’i ihlal ederek ve cüzdanları yakmaya jeton göndererek kriptoda ~ 90 milyon dolar yok etti.

  • 30 Haziran 2025: ABD İç Güvenlik Bakanlığı ve CISA, ABD ve Avrupa’da kritik altyapıyı hedefleyen İran siber misilleme konusunda ortak bir uyarı uyarısı yayınladı.

Bu olaylar, siber çatışmanın artık sınırların ve sektörlerin çok ötesinde dalgalanabilen jeopolitik gerginliğin bir cephe uzantısı olduğunu hatırlatıyor.

Halkın dikkatini çeken temel güvenlik açıkları

Bu yaz çok sayıda Microsoft SharePoint güvenlik açıkları, yaygın bir siber casusluk kampanyasında kullanıldı. Alet.

  • CVE-2025-53770 Kritik bir uzaktan kod yürütme kusurudur, kimlik doğrulanmamış saldırganların savunmasız şirket içi sharepoint sunucularında keyfi kod çalıştırmasına izin verir. Tehdit aktörleri, web mermileri dağıtmak, kimlik bilgilerini çalmak ve kurumsal ağlardan yanal olarak hareket etmek için kullandılar. Cisa hatayı ekledi İletmek katalog 20 Temmuz 2025.

  • CVE-2025-49704 Ve CVE-2025-49706 ayrıca keV’ye eklendi 22 Temmuz Zincirli saldırılarda istismar edildikten sonra. Çift, kimlik doğrulama bypass ve kod enjeksiyonunu sağlar ve saldırganların daha önceki düzeltmeler uygulanmış olsa bile, eşleştirilmemiş SharePoint sistemlerinden yararlanmasına izin verir.

Araç kaşık kampanyası, devlet kurumları, enerji firmaları ve telekom sağlayıcıları da dahil olmak üzere ABD, Avrupa ve Orta Doğu’daki kuruluşları hedef aldı.

Güvenlik araştırmacıları, saldırganların muhtemelen CVE-2025-53770’de kullanılan bypass’ı geliştirmek için Microsoft’un Temmuz Yaması düzeltmelerini tersine çevirdiğini söylüyor.

Siber güvenlikte yaz orman yangınlarından ne almalı?

Hastanelerden perakende devlerine ve sigorta sağlayıcılarına ulus devletlere kadar, sezon en müstahkem ortamlarda bile çatlakları ortaya çıkardı.

Güvenlik ekiplerinin bundan sonra ne yapması gerektiği.

Hayatınız gibi bir yama buna bağlıdır, çünkü kritik sektörlerde yaparlar.

Cisa Kev girişleri ve yüksek şiddetli CVES ile başlayın, ancak orada durmayın. Daha zor soruyu sorun: Saldırganların peşinden gittikleri bir hedef misiniz?

Her bir CVE’nin ortamınızda gerçekten sömürülebilir olup olmadığını doğrulayın.

Sadece puanlara değil, istismar zincirlerine odaklanın. Rakiplerin yaptığı bu.

Yeni çevresiniz olarak sert kimlik.

Sosyal mühendislik bu yaz kötü amaçlı yazılımdan daha iyi çalıştı. MFA yorgunluk saldırılarını durdurun, yardım-desk doğrulamasını güçlendirin ve ayrıcalıklı erişimi sınırlayın.

İnsanlarınızı eğitin, çünkü onlar ihlal noktasıydı.

Dağınık örümcek ve diğerleri bir CVE’den yararlanmadı; Bir kişiyi sömürdüler. Düzenli simülasyonlar çalıştırın, kimlik avı senaryolarını güncelleyin ve gerçek dünya yemleri için yüksek riskli roller hazırlayın.

İlk erişimden sonra neler olduğunu izleyin.

Interlock ve Qilin gibi tehdit aktörleri sadece fidye yazılımı düşürmedi; Yanal olarak hareket ettiler, verileri aşamalı olarak ve kaçınmış tespit ettiler. PowerShell istismarı, kimlik bilgisi hırsızlığı ve gizli pespiltrasyon gibi teknikler için davranışsal izleme uygulayın.

Eski sistemleri ve gözden kaçan altyapıyı görmezden gelmeyin.

Eski sistemleri ve gözden kaçan altyapıyı görmezden gelmeyin. Araç kepçe kampanyası sömürüldü Şirket içi SharePoint sunucularıbirçok desteklenmeyen veya modası geçmiş sürümler.

İster şirket içi sharepoint, cihazlar isterse monitorize edilmemiş eski dişli yaşıyor olsun, yükseltemeyeceğinizi izole edin, yamalayamayacağınızı izleyin ve görmezden geldiğinizi değiştirin.

PICUS güvenlik doğrulama platformunu kullanarak güvenlik kontrollerinizin gerçek hayat siber saldırılarına karşı etkinliğini test etmek için söz konusu saldırıları simüle etmenizi şiddetle tavsiye ediyoruz.

Ayrıca, savunmalarınızı Medusa, Rhysida ve Black Basta gibi yüzlerce diğer kötü amaçlı yazılım ve sömürü kampanyalarına karşı birkaç dakika içinde test edebilirsiniz. Picus platformunun 14 günlük ücretsiz denemesi.

Picus Security tarafından sponsorlu ve yazılmıştır.



Source link