Tehdit İstihbaratı ekibimiz, Aralık 2022’de çete, ülke ve endüstri sektörüne göre bilinen fidye yazılımı saldırılarını inceliyor ve LockBit’in neden halka açık bir özür dilemek zorunda kaldığını inceliyor.
Malwarebytes Tehdit İstihbaratı, fidye yazılımı çeteleri tarafından karanlık web sızıntı sitelerinde yayınlanan bilgileri izleyerek fidye yazılımı etkinliğinin aylık bir resmini oluşturur. Bu bilgiler, başarılı bir şekilde saldırıya uğrayan ancak fidye ödememeyi seçen kurbanları temsil eder.
Lockbit, Kasım ayındaki olağandışı düşüşünden toparlandı ve Royal’den ayın en kötü fidye yazılımı unvanını kaptı. Bu arada Royal, Aralık ayındaki saldırı sayısında üçüncü sırada yer alarak, hesaba katılması gereken bir güç olarak kendini gösterdi.
Royal saldırıları, Kasım ayındaki en yüksek seviyesi olan 49’dan yüzde 35 düşmüş olabilir, ancak aynı zamanda, saldırılarının daha hedefli hale geldiğinden şüphelenmek için iyi nedenler var.
7 Aralık 2022’de ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın (HHS) bir kolu olan Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi (HC3), grubun sağlık sektörünü orantısız bir şekilde hedef aldığını gözlemledikten sonra Royal hakkında bir tehdit özeti yayınladı. Aralık ayı için taçlandıran saldırıları, telekomünikasyon şirketi Intrado’yu ihlal ettiklerinde ayın sonlarında geldi.
İlerleme açısından, geçen ay tanıttığımız iki yeni oyun, Play ve Project Relic’in anlatacak çok farklı hikayeleri var.
Play jetleri çalıştırırken Project Relic haritadan düştü; Kasım ayına kıyasla çete saldırılarında yüzde 136 gibi muazzam bir artış kaydettik. Son güncellememizden bu yana Play’in daha önce hiç görülmemiş bir istismar zincirinden yararlandığı görüldü ve bu, saldırılardaki keskin artıştan sorumlu olabilir. ‘OWASSRF’ olarak adlandırılan yeni Microsoft Exchange saldırısı, kurumsal ağlara ilk erişim elde etmek için CVE-2022-41082 ve CVE-2022-41080 açıklarını zincirler. Bu, Aralık ayı başlarında bulut bilgi işlem hizmet sağlayıcısı Rackspace’e yönelik bir fidye yazılımı saldırısının arkasındaki teknikti ve Play daha sonra sorumluluğunu üstlendi.
Bununla birlikte, Play’in etkinlikteki artışı, Aralık ayı için pek de bir anormallik değildi. Aydan aya, genel olarak saldırılarda önemli yüzde puanlık artışlar gördük.
Örneğin, ALPHV (namı diğer BlackCat), fidye yazılımı incelemelerimizde sürekli olarak listelerin başında yer alan bir fidye yazılımı çetesidir; Ancak Aralık ayındaki (33) saldırılarının sayısı, Kasım ayına göre yalnızca yüzde 70’lik bir artış değil, aynı zamanda tüm 2022’deki en yüksek artış. Ayrıca BianLian ve BlackBasta’da sırasıyla yüzde 25 ve yüzde 116’lık artışlar gördük. Saldırganların güvertedeki güvenlik personelinin azalması nedeniyle tatil dönemlerini çok sevdikleri göz önüne alındığında, bu artışlar muhtemelen beklenebilir. Fidye yazılımı çetelerinin artan etkinlik düzeylerini Yeni Yıl’a kadar sürdürüp sürdürmeyeceğini veya artışın gerçekten de hediye paketli bir sapma olup olmadığını yalnızca zaman gösterecek.
Lockbit… özür mü diliyor?
Lockbit Aralık ayında saldırı hacmine göre en büyük fidye yazılımı çetesi olarak tahtını yeniden ele geçirdi ve kurban sayısında üç aylık düşüş eğilimini tersine çevirdi.
Üretken fidye yazılımı grubu, 12 Aralık’ta Kaliforniya Maliye Bakanlığından 75 GB’a kadar gizli veri veya 114.000’den fazla klasördeki 246.000’den fazla dosyayı çaldığını iddia etti. SickKids (hasta çocuklar için bir hastane) bile Aralık ayında LockBit’in açgözlülüğünden kurtulamadı. LockBit kullanan bir fidye yazılımı saldırısı, hastanenin dahili ve kurumsal sistemlerini, hastane telefon hatlarını ve web sitesini etkiledi.
Bir çetenin bu kadar alçalmasına şaşırmasak da, olaydan sonra özür dileyen pek fazla kişi görmüyoruz. İki gün sonra LockBit, haydut bir üyeyi suçladığı saldırı için özür diledi ve ücretsiz olarak bir şifre çözücü yayınladı.
LockBit’in operasyon politikası, “Kardiyoloji merkezleri, nöroşirürji bölümleri, doğum hastaneleri ve benzerleri gibi dosyalara zarar verilmesinin ölüme yol açabileceği kurumların, yani bilgisayar kullanılarak ileri teknoloji ekipmanlarda cerrahi işlemlerin yapıldığı kurumların şifrelenmesi yasaktır. icra edilebilir.”
Elbette özür, LockBit’i bir tür Robin Hood’a dönüştürmez. İş modeli o kadar çok zarar vermektir ki, insanlar bunu durdurmak için bir servet ödemeye razıdır.
Yeni fidye yazılımı çeteleri
güvensiz
Aralık ayında, gerçek fidye yazılımı çetelerinin peşine düşerek para kazanan bir grubun ortaya çıktığını gördük.
Yeni oyuncu Unsafe, diğer fidye yazılımı gruplarından gelen sızıntıları geri dönüştürüyor gibi görünüyor. Unsafe, siber suçluların kurbanlarını ve sızan verileri göndermeleri için güvenlik blogları ve ücret karşılığında danışmanlık hizmetleri sağlar. Şu anda sekiz kurbanı listeliyor.
Dayanıklılık
Biz onlara fidye yazılımı diyoruz çeteler Bunun bir nedeni var: Bunlar, hiyerarşik bir organizasyonda birlikte çalışan siber suçlu grupları. Nadiren yalnız kurt saldırıları görüyoruz ve görürsek, Endurance’ın sahip olduğu kadar kısa sürede büyük bir sıçrama yapmaları daha da sıra dışı.
Dark web forumlarında IntelBroker olarak bilinen bu siber suçlu, satışta olan veriler hakkında bireysel gönderiler yapma eğilimindedir.
Başlangıcından bu yana 30 günden daha kısa bir süre içinde Endurance, bazı büyük şirketlere başarılı bir şekilde sızmış ve birkaç ABD devlet kuruluşuna sızmış görünüyor. Bazı yüksek değerli kurbanları yayınladıktan sonra, Endurance onları “geliştirilmekte olan” karanlık web sitesinden kaldırdı.