2025’i sallayan yeni fidye yazılımı grupları

2024’te, küresel fidye yazılımı saldırıları 2023’ten% 11’lik bir artışla 5.414’e ulaştı.

Yavaş bir başlangıçtan sonra, 1.827 olayla (yılın toplamının% 33’ü) 4. çeyrekte arttı ve 4. çeyrekte yükseldi. Lockbit gibi büyük gruplara karşı kolluk eylemleri parçalanmaya neden oldu, bu da daha fazla rekabete ve daha küçük çetelerde artışa yol açtı. Aktif fidye yazılımı gruplarının sayısı%40, 2023’te 68’den 2024’te 95’e yükseldi.

İzlemek için yeni fidye yazılımı grupları

2023’te sadece 27 yeni grup vardı. 2024, 46 yeni grup tespit edildi. Yıl geçtikçe, 48 grup aktif olan 4. çeyrek 2024 ile hızlanan grup sayısı.

2024’teki 46 yeni fidye yazılımı grubundan Ransomhub baskın hale geldi ve Lockbit’in aktivitesini aştı. Şimdi bir kontrol noktası şirketi olan Cyberint’te, araştırma ekibi en son fidye yazılımı gruplarını sürekli olarak araştırıyor ve potansiyel etki için analiz ediyor. Bu blog, yukarıda belirtilen Ransomhub, Sis ve Lynx olmak üzere 3 yeni oyuncuya bakacak ve 2024’teki etkilerini inceleyecek ve kökenlerine ve TTP’lerine girecek.

Diğer yeni oyuncular hakkında bilgi edinmek için 2024 fidye yazılımı raporunu buradan indirin.

Ransomhub

Ransomhub, 2024 yılında önde gelen fidye yazılımı grubu olarak ortaya çıktı ve Şubat 2024’te operasyonlara başlamadan bu yana veri sızıntı sitesine 531 saldırı olduğunu iddia etti. FBI’ın ALPHV’nin bozulmasının ardından Ransomhub, ‘manevi halefi’ olarak algılanıyor ve potansiyel olarak eski Affiliate’i içeriyor.

Bir Hizmet Olarak Fidye Yazılımı (RAAS) olarak faaliyet gösteren Ransomhub, katı bağlı kuruluş anlaşmalarını uygular ve Ransomhub, bağlı kuruluş anlaşmalarına sıkı sıkıya bağlı kalır ve uyumsuzluğun yasaklanmasına ve ortaklıkların sona ermesine neden olur. 90/10 fidye bölünmesi, bağlı kuruluşlar/çekirdek grup sunar.

Küresel bir hacker topluluğu talep ederken, Ransomhub, geleneksel bir Rus fidye yazılımı kurulumunun özelliklerini sergileyen CIS Nations, Küba, Kuzey Kore, Çin ve kar amacı gütmeyen kuruluşları hedeflemekten kaçınıyor. Ruslara bağlı ülkelerden kaçınmaları ve hedeflenen şirketlerdeki diğer Rus fidye yazılımı gruplarıyla örtüşmeleri, Rusya’nın siber suç ekosistemiyle olası bağlantılarını daha da vurgulamaktadır.

Cyberint’in Ağustos 2024 bulguları düşük bir ödeme oranını göstermektedir: Mağdurların sadece% 11,2’si (190’ın 20’si), müzakereler genellikle talepleri azaltır. Ransomhub, düşük bireysel ödeme başarısına rağmen zaman içinde önemli bir gelir elde etmek amacıyla, karlılığı sağlamak için bağlı kuruluş genişlemesinden yararlanarak ödeme oranları üzerinden saldırı hacmine öncelik verir.

Kötü amaçlı yazılım, araç seti ve ttps

RansomHub’ın Golang ve C ++ ‘da geliştirilen fidye yazılımı, hızlı şifrelemesiyle ayırt edilen Windows, Linux ve ESXI’yi hedefler. Ghostsec’in fidye yazılımı ile benzerlikler bir eğilim önerir.

Ransomhub, bağlı kuruluşların ödeme sonrası veya hedef yasaklanmış kuruluşları sağlayamaması durumunda ücretsiz şifre çözme garanti eder. Fidye yazılımı, verileri pesfiltrasyondan önce şifreler. ALPHV ile potansiyel bağlar, benzer araçlar ve TTP’lerin kullanılabileceğini gösteren saldırı modelleri ile önerilir.

Sophos Research, Goobfuscate ve aynı komut satırı menüleri ile gizlenmiş Go-dili yükler de dahil olmak üzere Knight Fidye Yazılımları ile paralellikleri vurgular.

Sis fidye yazılımı

Sis fidye yazılımı Nisan 2024’ün başlarında, çalıntı VPN kimlik bilgilerini kullanarak ABD eğitim ağlarını hedef aldı. Mağdurlar ödemiyorsa Tor tabanlı bir sızıntı sitesinde veri yayınlayarak çift genişlemeli bir strateji kullanırlar.

2024’te küresel olarak 87 kuruluşa saldırdılar. Kasım 2024’ten itibaren bir Arktik Kurt Raporu, FOG’un en az 30 müdahaleyi başlattığını gösterdi, hepsi de tehlikeye atılan Sonicwall VPN hesapları aracılığıyla. Özellikle, bu müdahalelerin% 75’i Akira ile bağlantılıydı, geri kalanı sisle ilişkilendirildi, bu da ortak altyapı ve işbirliği olduğunu düşündürdü.

Sis öncelikle eğitim, iş hizmetleri, seyahat ve üretimi hedefler, ABD’ye ilginç bir şekilde odaklanarak, Sis, eğitim sektörünü birincil hedefleri olarak önceliklendiren birkaç fidye yazılımı grubundan biridir.

Sis fidye yazılımı endişe verici bir hız gösterdi, başlangıç ​​erişiminden en kısa sürede şifrelemeye sadece iki saat. Saldırıları, ağ numaralandırmasını, yanal hareketi, şifrelemeyi ve veri açığa çıkmasını kapsayan tipik bir fidye yazılımı öldürme zincirini takip eder. Fidye yazılımlarının sürümleri hem Windows hem de Linux platformları için mevcuttur.

IOC

Lynx

Lynx, son zamanlarda çok aktif olan ve web sitelerinde birçok mağdur şirket sergileyen bir çift genişlemeli fidye yazılımı grubudur. Hükümet kuruluşlarını, hastaneleri, kar amacı gütmeyen grupları ve diğer temel sosyal sektörleri hedeflemekten kaçındıklarını belirtiyorlar.

Bir sisteme eriştikten sonra Lynx, “.LYNX” uzantısını ekleyerek dosyaları şifreler. Daha sonra birden fazla dizinlere “Readme.txt” adlı bir fidye notu yerleştirirler. Yalnızca 2024’te Lynx, 70’den fazla kurbanı iddia ederek devam eden faaliyetlerini ve fidye yazılımı manzarasında önemli varlıklarını gösterdi.

IOC

2025’te ne olacak?

Fidye yazılımı gruplarındaki baskı nedeniyle, kayıttaki en yeni gruplar ortaya çıktı ve kendileri için bir isim yapmaya çalıştı. 2025’te Cyberint, bu yeni grupların birçoğunun yeteneklerini artırmasını ve sadece Ransomhub değil, baskın oyuncular olarak ortaya çıkmasını bekliyor.

En iyi hedeflenen endüstriler ve ülkeler için bir Check Point Company’nin 2024 fidye yazılımı raporu olan Cyberint’i okuyun, en iyi 3 fidye yazılımı grubunun, dikkat çekmeye değer fidye yazılımı aileleri, sektöre yeni gelenler, tutuklamalar ve haberler ve 2025 tahminleri.

Ayrıntılı bilgiler ve daha fazlasını kazanmak için 2024 fidye yazılımı raporunu okuyun.