Son 12 ayda Almanya, dünyanın en çok saldırıya uğrayan ülkelerinden biri, AB’de en çok saldırıya uğrayan ülkelerden biri ve kötü şöhretli Black Basta grubunun favori hedefiydi.
Bu makale, fidye yazılımı çeteleri tarafından Dark Web sitelerinde yayınlanan bilgileri izleyen Malwarebytes’in fidye yazılımı uzmanı Marcelo Rivero’nun araştırmasına dayanmaktadır. Bu raporda “bilinen saldırılar”, kurbanın fidye ödememeyi tercih ettiği saldırılardır. Bu, fidye yazılımı etkinliğinin en iyi genel resmini sağlar, ancak gerçek saldırı sayısı çok daha yüksektir.
Nisan 2022 ile Mart 2023 arasında Almanya, fidye yazılımı çeteleri için dünya çapında önemli bir hedefti. O dönem boyunca:
- Dünyada en çok saldırıya uğrayan dördüncü ülke ve AB’de en çok saldırıya uğrayan ülke oldu.
- İnşaat sektörü ABD, İngiltere veya Fransa’dan daha sert etkilendi
- LockBit ve Black Basta, bilinen saldırıların %54’ünü oluşturuyor
- Black Basta, Almanya’daki hedeflere İngiltere veya Fransa’dakinden çok daha sık saldırdı
Ağustos 2022’de Alman güç yarı iletken üreticisi Semikron, ağını kısmen şifreleyen bir fidye yazılımı saldırısını ifşa etti ve saldırganlar 2 TB belge çaldıklarını iddia ettiler.
Aynı ay, Alman otomotiv parçaları devi Continental, 40 TB dosya çaldığını iddia eden LockBit tarafından saldırıya uğradı. Şirket, Ekim ayı sonlarında müzakereleri durdurdu ve fidye yazılımı çetesi, verileri 50 milyon dolara satış veya imha için teklif etti; 2023’ün başları.
Ekim 2022’de Alman Heilbronner Stimme gazetesine yönelik bir fidye yazılımı saldırısı, gazetenin baskı sistemlerini bozarak altı sayfalık bir acil durum baskısının yayınlanmasını zorunlu kıldı. Saldırı, Pressedruck, Echo ve RegioMail şirketleri de dahil olmak üzere tüm Stimme Mediengruppe’yi etkiledi ve Echo’nun web sitesi ve e-kağıt erişilebilirliği de tehlikeye girdi. Genel Yayın Yönetmeni Uwe Ralf Heer, tanınmış bir siber suçlu grubunun sistemlerini şifrelediğini ve fidye taleplerinde bulunduğunu bildirdi, ancak daha fazla ayrıntı vermedi.
Kasım 2022’de Vice Society fidye yazılımı çetesi, Duisburg-Essen Üniversitesi’ne (UDE) yönelik bir siber saldırının sorumluluğunu üstlendi. Saldırganlar, yedekleme arşivleri, finansal belgeler, araştırma kağıtları ve öğrenci elektronik tabloları dahil olmak üzere dosyaları sızdırdı. 9 Ocak 2023’te üniversite, saldırının neden olduğu kapsamlı ve karmaşık hasar nedeniyle tüm BT altyapısının yeniden yapılandırılması gerektiğini duyurdu.
Almanya ana hedef
Nisan 2022’den Mart 2023’e kadar olan 12 ayda Almanya, fidye yazılımları için dünya çapında önemli bir hedefti ve bilinen saldırılarla en çok saldırıya uğrayan dördüncü ülke oldu. AB’de en çok saldırıya uğrayan ülke ve İngilizce’nin ana dil olmadığı en çok saldırıya uğrayan ülke oldu.
Saldırı sayısı açısından ABD ile dünyanın geri kalanı arasındaki eşitsizlik göz önüne alındığında, fidye yazılımının her şeyden önce bir ABD sorunu olduğu sonucuna varmak kolay olacaktır. O değil. ABD ekonomisinin boyutu ve doğası, fidye yazılımı çeteleri için ilk ondaki diğer ülkelere göre çok daha fazla hedefi olduğu anlamına geliyor.
Bilinen fidye yazılımı saldırılarının sayısını bir ülkenin nominal GSYİH’sına bölerek ülkelerin ekonomilerinin büyüklüğündeki farkı açıklayabiliriz; bu bize 1 tonluk ekonomik çıktı başına yaklaşık bir saldırı oranı verir. Bu temelde, ilk ondaki ülkeler arasındaki fark, bilinen toplam saldırı sayısından çok daha küçüktür. En çok saldırıya uğrayan ilk on ülkenin tümü, 1 trilyon dolarlık ekonomik çıktı başına 15 ila 66 bilinen saldırıya maruz kaldı.
İlk 10’daki ülkelerin büyüklükleri de büyük farklılıklar gösteriyor ve bunu, bilinen saldırıları her ülkenin nüfus büyüklüğüne bölerek açıklamaya çalışabiliriz. Bu ölçümde, yine, ülkeler arasındaki farklar, basit bir bilinen saldırı sayısının gösterdiğinden çok daha küçüktür.
Bilinen kişi başına saldırı bazında Almanya, neredeyse aynı saldırı oranlarına sahip dört gelişmiş Avrupa ekonomisinden oluşan bir kümede oturuyor. İlk on listemizin tüm varyasyonlarında, İngilizce konuşulan ülkeler ilk beşte en az üçünü işgal ediyor ve Kanada ve Avustralya gibi daha küçük nüfusa ve ekonomiye sahip İngilizce konuşulan ülkeler orantısız bir şekilde zarar görüyor gibi görünüyor.
Almanya’daki durum iyi olmaktan çok uzak, en kötü ülkelerdeki kadar kötü değil. Her ne şekilde olursa olsun, Almanya dünyanın en çok saldırıya uğrayan ülkelerinden biridir ve kuruluşları fidye yazılımı çetelerinin başlıca hedefleridir.
Çoğu ülkede olduğu gibi, Alman hizmetler sektörü son 12 aydaki saldırıların %28’ini oluşturarak en sert darbeyi aldı ve bu, %25’lik küresel ortalamanın biraz üzerinde. Çoğu açıdan, Alman sanayi sektörleri, bazı dikkate değer istisnalar dışında, aşağı yukarı İngiltere ve Fransa’daki oranlarda saldırıya uğruyor. Son 12 ayda Alman sağlık hizmetlerine yönelik bilinen herhangi bir saldırı olmamıştır (yine buna dahil değildir) Bilinmeyen Saldırılar), ülke hukuk hizmetlerine yönelik saldırılara Birleşik Krallık veya Fransa’dan daha az maruz kaldı ve Fransa’nın hükümet sektörünü veya Birleşik Krallık’ın eğitim sektörünü korurken yaşadığı sorunları yaşamamış gibi görünüyor.
Almanya’nın komşularından daha fazla acı çektiği yer inşaattır. Bilinen saldırılardaki %12’lik payı küresel ortalamanın iki katıdır ve özellikle ABD (%7), İngiltere (%7) ve Fransa’dan (%5) önemli ölçüde yüksektir.
Black Basta’nın avlanma yeri
Birleşik Krallık’ta, inşaatlara yönelik bilinen ikiden fazla saldırıda hiçbir bireysel fidye yazılımı kullanılmadı. Fransa’da bir çete, LockBit, üç tane kaydetti. Almanya’da, iki farklı çete, inşaata karşı bilinen beş saldırı kaydetti ve bu, toplamın üçte ikisinden biraz fazlasını oluşturdu. Bu çetelerden biri, dünya çapında açık ara en çok kullanılan fidye yazılımı konumu göz önüne alındığında şaşırtıcı olmayan LockBit’ti. Diğeri 12 ayda Alman inşaat hedeflerine yönelik saldırıları, aynı dönemde tüm Fransa’da kaydettiği saldırılardan daha fazla kaydeden Black Basta.
Görünüşe göre Black Basta’nın Alman hedefleri için iştahı var. Son 12 ayda, bilinen 27 saldırı ile Almanya’da en çok kullanılan ikinci fidye yazılımı oldu. Aynı dönemde İngiltere’de 10 saldırıyla meşguldü ama LockBit, Vice Society ve diğerlerinin gölgesinde kaldı, LockBit’in kesinlikle hakim olduğu Fransa’da yalnızca üç saldırı kaydetti.
Geçen yıl, Black Basta ve LockBit, her ikisi de sekize kadar yükselen, bir ayda dörtten fazla bilinen saldırı kaydeden tek fidye yazılımıydı. Aralarındaki iki grup, Almanya’daki bilinen saldırıların %54’ünü oluşturuyordu ve büyük ölçüde ülkenin fidye yazılımı çetelerinin elinde kötü bir ay mı yoksa korkunç bir ay mı geçireceğini belirledi.
Black Basta, tekerleği çalışma şekliyle yeniden icat etmez. Diğer fidye yazılımı gruplarına benzer şekilde, saldırılar sıklıkla kimlik avı saldırıları yoluyla kazanılan ilk erişimle başlar. Tipik bir saldırı, bir zip dosyasında kötü amaçlı bir belge içeren bir e-posta ile başlayabilir. Ayıklamanın ardından belge, arka kapı erişimi oluşturmak ve bir komut ve kontrol sunucusuna şifreli bir bağlantı kuran SystemBC’yi dağıtmak için Qakbot bankacılık truva atını yükler. Oradan, ağ keşfi ve ek araçlar dağıtmak için CobaltStrike kurulur.
Bugünlerde fidye yazılımı grupları için kapsayıcı eğilim olduğu gibi, Black Basta’nın birincil hedefi, kurbanları üzerinde sızan veri tehdidini elinde tutabilmek için veri çalmak. Veriler genellikle belirli dosyaları filtreleyen ve bir bulut hizmetine kopyalayan Rclone kullanılarak çalınır. Veriler dışarı sızdırıldıktan sonra, fidye yazılımı dosyaları “.basta” uzantısıyla şifreler, birim gölge kopyalarını siler ve etkilenen cihazlarda readme.txt adlı bir fidye notu sunar. Black Basta kullanan saldırganlar, fidye yazılımlarını çalıştırmadan önce kurbanın ağında iki ila üç gün aktif olabilir.
Sonuçlar
Son 12 ayda Almanya, fidye yazılımı çeteleri için dünya çapında önemli bir avlanma alanı ve bilinen en yüksek dördüncü toplam saldırı sayısına sahip ülke oldu. Çeşitli endüstri sektörlerinde inşaat, ABD, Fransa ve Birleşik Krallık’taki inşaat sektörlerinden daha yüksek oranda bilinen saldırılara maruz kaldı ve aşırı temsil edildi. Birleşik Krallık’taki eğitim sektörü ve Fransa’daki hükümet sektörü gibi, aralarından seçim yapabileceğiniz koca bir hedef dünyası ile orantısız miktarda dikkat çekmesi endişe verici olmalıdır.
Özellikle Alman inşaat sektörü, her türlü Alman hedefini beğenen ve en çok kullanılan ikinci fidye yazılımı olan LockBit ve Black Basta’dan zarar gördü. Black Basta, geçen yıl Almanya’da İngiltere veya Fransa’dakinden çok daha fazla saldırı kaydetti. Hatta dünyada son on iki ayda Almanya’dan daha fazla Kara Basta saldırılarına maruz kalan tek ülke ABD oldu.
Fidye yazılımından nasıl kaçınılır?
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde yamalamak için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin; fidye yazılımı dağıtmak için kullanılan açıkları ve kötü amaçlı yazılımları tespit edebilen uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri algıla. Ağları bölümlere ayırarak ve ihtiyatlı bir şekilde erişim hakları atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı gerçekleşmeden önce olağandışı etkinliği algılamak için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını belirlemek için birden fazla farklı algılama tekniği ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımı geri dönüşü kullanan Malwarebytes EDR gibi Uç Nokta Tespiti ve Yanıtı yazılımını dağıtın.
- Tesis dışı, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri, saldırganların erişemeyeceği bir yerde, tesis dışında ve çevrimdışı tutun. Temel iş işlevlerini hızlı bir şekilde geri yükleyebildiğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğrama. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların tüm izlerini, kötü amaçlı yazılımlarını, araçlarını ve giriş yöntemlerini kaldırmalısınız.
Malwarebytes, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmasını önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme edinin.
ŞİMDİ DENE