Bilinen Fidye Yazılımı Saldırı Hacmi Yine Aylık Rekor Kırdı

Birleşik Krallık siber güvenlik firması NCC Group, fidye yazılımı gruplarının Eylül ayında veri sızıntısı sitelerinde toplu olarak 514 kurbanı listeleyerek Temmuz ayında 502 kurbanla önceki rekoru kırdığını söyledi. Firma, “bu faaliyetin ana itici güçlerinin” LostTrust, Cactus ve RansomedVC gibi daha yeni grupları içerdiğini bildiriyor.

Siber güvenlik firması Malwarebytes’in bildirdiğine göre LostTrust, Eylül ayında 53 kurban listeleyerek listelenen saldırıların %10’unu oluşturdu ve 72 kurban sayılan LockBit’ten sonra ikinci sırada yer aldı. Cactus ve RansomedVC’nin her biri Eylül ayında 33 kurban listeledi, RansomedVC ise Sony gibi özellikle yüksek profilli bir kurbanı belirledi.

Malwarebytes, diğer iki önemli grubun (geçen ay listede 10 kurbanı bulunan ThreeAM ve sekiz kurbanı listelenmiş CiphBit) de yeni gelenler olduğunu söyledi.

Bahsedilen grupların tümü çifte şantaj uygulamaktadır; bu, dosyaları ve klasörleri zorla şifrelemeden önce bir kurbandan veri çalmaya çalıştıkları, ardından bir şifre çözücü vaadi için fidye ödemeleri ve çalınan verileri sızdırmayacağına dair bir söz talep ettikleri anlamına gelir (bkz.: Fidye Realpolitik: Veri Silinmesi İçin Ödeme Yapmak Enayiler İçindir).

NCC Group, saldırılardaki son artışın sağlık ve yaşam bilimleri sektörlerini orantısız bir şekilde etkilediğini ve bu tür mağdurların sayısının ağustos ayından eylül ayına kadar %86 ​​arttığını belirtti. “İlaç endüstrisindeki şirketlere yönelik bir fidye yazılımı saldırısının yaratabileceği mali etki nedeniyle sağlık hizmetleri, tehdit aktörleri için cazip bir hedef olmaya devam ediyor” dedi.

Enfeksiyonun Halka Açık Gösterimleri

Eylül ayındaki fidye yazılımı faaliyetlerindeki artış, pek çok grubun tipik olarak yaz tatilini yapmasının ardından gerçekleşti. Siber güvenlik firması Guidepoint Security’nin bildirdiğine göre, Temmuz ve Eylül aylarındaki 36 grupla karşılaştırıldığında Ağustos ayında yalnızca 25 grup kurban bildirdi.

Bu tür suçları takip etmenin bir yolu kaç fidye yazılımı kurbanının listelendiğini saymak olsa da bazı uyarılar da geçerli. Böyle bir yaklaşım aşağıdakileri hesaba katmaz veya hesaba katmaz:

• Listelenmeyen gruplar: Fidye yazılımı gruplarının tümü, kurbanları ödemeye zorlamak için listeledikleri veri sızıntısı siteleri çalıştırmaz;
• Ödeme yapan mağdurlar: Bazı kurbanlar (belki de üçte biri) sızıntı sitelerini işleten gruplar tarafından listelenmemek için hızlı bir şekilde ödeme yapıyor;
• Eksik listeler: Veri sızıntısı sitelerine sahip fidye yazılımı grupları, ödeme yapmayan kurbanları nadiren listeliyor;
• Açıkça yalan: Fidye yazılımı grupları bazen kurban sayısını artırarak daha vahşi görünmek için yalan söyler ve bazen de hata yaparlar.

Tahmin: Kurbanlar İçin Kötü Bir Yıl

Bu tür uyarılar bir yana, bilinen fidye yazılımı kurbanlarının sayısı bu yıl boyunca arttı. Siber sigorta şirketi Resilience, alınan iddialar da dahil olmak üzere mevcut trendlere dayanarak “2023’ün fidye yazılımları açısından kayıtlara geçen en kapsamlı yıllardan biri olacağını” belirtiyor.

Fidye yazılımı grupları genel olarak kurbanların ağlarına eskisinden daha hızlı bir şekilde sızıyor ve kriptoları kilitliyor. Güvenlik firması Sophos, yılın ilk altı ayında fidye yazılımı olaylarının ortalama bekleme süresinin dokuz günden beş güne düştüğünü tespit etti.

Sophos ayrıca, grubun sızdırılmış sürüm 3 kaynak kodunu içeren “çoklu LockBit nakavt saldırıları” da dahil olmak üzere, sızdırılmış kripto dolabı kaynak kodunu yeniden kullanan saldırganların sayısında da bir artış gördü. Bir saldırıda suçlular, satıcının güvenlik güncellemeleri yayınladığı Progress Software tarafından oluşturulan WS_FTP Sunucusundaki bilinen güvenlik açıklarından yararlanmaya çalıştı (bkz.: Suçlular Neden Sızan Fidye Yazılımı Oluşturucularını Yeniden Kullanmaya Devam Ediyor?).

Daha yeni bir saldırıda Sophos, kendisine “BlackDog 2023” adını veren bir grubun, Windows ağına erişim sağlamak için Adobe’nin ColdFusion sunucu yazılımının eski sürümlerindeki bilinen güvenlik açıklarından yararlanmaya çalıştığını gördü ve ardından grup, Monero’dan 30.000 dolar değerinde fidye talep etmeyi planladı. .

Her iki saldırı girişimi de başarısız olsa da Sophos’un baş tehdit araştırmacısı Sean Gallagher, yama yapılmamış veya güncelliğini kaybetmiş yazılım kullanan firmaların, yükseltme veya yama yaptıktan sonra bile fidye yazılımı grupları da dahil olmak üzere bilgisayar korsanlarına karşı yüksek risk altında olduğunu söyledi. “Korunmasız ColdFusion sunucuları ve WS_FTP gibi şeylerde şirketlerin ayrıca sunucularından hiçbirinin güvenliğinin ihlal edilmediğinden emin olmaları gerekir, aksi takdirde bu saldırılara karşı hâlâ risk altındalar.”

Clop Büyük Görünüyor

Son aylarda, fidye yazılımı gruplarının (yalnızca veri gaspı yapan grupları kapsayan bir terim) kurbanlarının çoğu, Clop’un, Progress Software’in Mayıs ayı sonlarında başlattığı MOVEit güvenli dosya aktarım yazılımı kullanıcılarını hedef alan en son toplu güvenlik ihlali kampanyasına dayanıyor. Clop, diğer adıyla Cl0p, verileri çalmak ve fidye amacıyla saklamak için MOVEit’teki sıfır gün güvenlik açığından yararlanırken, kurbanlar için bir avantaj da şantajcıların kurbanların ağlarını kriptoyla kilitlememesidir.

Siber sigorta şirketi Corvus, Clop’un kampanyasını saymasak bile, her çeyrekte bilinen fidye yazılımı saldırılarının hacminin zaten ikinci çeyrekten üçüncü çeyreğe %5, yıllık bazda ise eylül ayına kadar %70 arttığını bildirdi.

Corvus, “Mevsimsel fidye yazılımı modellerini takiben, saldırı hızının 4. çeyrekte artmasını bekliyoruz” dedi.

Clop’un bir sonraki sıfır gün saldırısına mı hazırlandığı, yoksa MOVEit hackleme kampanyasından tahmini 75 ila 100 milyon dolar kazandıktan sonra sadece refah içinde mi yaşadığı belirsizliğini koruyor (bkz: Bilgisayar Korsanları Güvenli Dosya Aktarım Yazılımını Tekrar Tekrar Kullanıyor).

Clop en son 31 Temmuz’da veri sızıntısı sitesinde paylaşımda bulundu.