İngiltere merkezli bir siber güvenlik hizmetleri şirketi olan Bridewell, fidye yazılımı trendlerine kapsamlı bir derin dalış olan en son CTI yıllık raporunu yayınladı. Saldırı stratejileri, ödeme dinamikleri ve tehdit aktör davranışlarında önemli bir değişimi vurguladı, veri hırsızlığı ve gasp, saldırganlar için en başarılı yaklaşım olarak yalnızca geleneksel şifreleme yazılımlarını geçtiğini ortaya koydu.
Şifreleme tabanlı saldırılar, genellikle kritik hizmetleri geri yükleme aciliyetinden dolayı daha büyük bireysel fidye ödemelerine neden olma eğilimindeyken, veri hırsızlığı ve gasp vakalarının bir ödemeye yol açma olasılığı daha yüksektir, saldırganlar düzenleyici cezalar korkusundan ve baskı kurbanlarına uyum sağlayan itibar hasarından yararlanır.
Aynı zamanda, fidye yazılımı ödemeleri genel olarak yıllık düşüşe devam etti. Bridewell bunu daha katı düzenlemelere, daha fazla kolluk koordinasyonuna ve siber suçlu varlıklar üzerindeki yaptırımlara bağlar. Ödemeyi düşünen kuruluşlar, yaptırımlı gruplarla veya Hizmet Olarak Fidye Yazılımı (RAAS) operasyonlarıyla yanlışlıkla işlem yapmaktan kaçınmak için titiz bir durum tespiti yapmalıdır.
Diğer temel bulgular şunları içerir:
Güvenlik Açığı Sömürü Artış
Bridewell, Clop ve Termit gibi grupların, Fortinet, Ivanti ve diğerleri de dahil olmak üzere internete dönük sistemlerden ve Edge cihazlarından yararlanmada oldukça yetkin hale geldiğini gözlemledi. Patlamasız güvenlik açıklarından yararlanmak birincil saldırı vektörü olmaya devam ederek tehdit aktörlerinin ölçekte birçok kurbanı tehlikeye atmasına ve daha büyük finansal sonuçlar elde etmesine izin veriyor.
Parçalanma ve yalnız kurtlar
Fidye yazılımı ekosistemi giderek daha fazla parçalanıyor. Bridewell Tehdit İstihbaratı bunu hem gruplar içinde kavga hem de kalıcı kolluk kuvvetleri yayından kaldırma ile ilişkilendirir, bu da Conti ve Alphv/Blackcat gibi büyük grupların parçalanmasına yol açar. Bu, daha geniş ve daha çeşitli aktif fidye yazılımı aktörleri havuzuyla sonuçlandı, bu da tehdit manzarasını daha değişken ve savunmayı zorlaştırdı.
Bu sorunu birleştirmek, yalnız kurt aktörlerinin veya bağımsız olarak çalışan bireysel bağlı kuruluşların veya siber suçluların yükselişidir. Bu aktörler genellikle, yerleşik bir gruba ihtiyaç duymadan fidye yazılımı işlemlerini monte etmek için sızdırılmış RAAS kaynak koduna veya halka açık araçlara güvenir. Bu eğilim kısmen, iştiraklerin fidye gelirlerinden paylarının reddedildiği çıkış dolandırıcılığı riski nedeniyle daha büyük operasyonlara güven eksikliğinden kaynaklanmaktadır.
Takım ve tekniklerde taktiksel değişimler
Bridewell, VMware ESXI ortamlarını hedefleyen fidye yazılım aktörlerini gözlemlemeye devam ediyor ve çekirdek sanallaştırılmış altyapıyı hızlı bir şekilde sakatlamayı hedefliyor. VanHelsing ve Dragonforce gibi gruplar bu taktiği devam eden kampanyalarda aktif olarak takip ediyorlar.
Bu arada, rakipler genellikle savunmasız sürücülerin veya yerel yazılım özelliklerinin kötüye kullanılması yoluyla uç nokta tespit ve yanıt (EDR) sistemlerinden kaçınmak için yetenekler geliştiriyor veya ediniyorlar. Yayın geçirme ikililerinin (lolbins) ve uzaktan izleme ve yönetim (RMM) araçlarının kullanımı yaygın hale geldi ve saldırganların geleneksel kötü amaçlı yazılımları dağıtmadan algılamadan kaçınmasını ve kalıcı erişimi sürdürmesini sağladı.
Kullanımını bozma çabalarına rağmen, Cobalt Strike fidye yazılımı operatörleri tarafından en çok kullanılan saldırgan güvenlik aracı olmaya devam ediyor, bunu Metasploit, Sliver, Brute Ratel ve daha yakın zamanda Python Tabanlı Komuta ve Kontrol (C2) çerçevesi olan Piramit C2 gibi diğerleri takip ediyor.
Yalnızca veri hırsızlığı işlemlerine geçiş
Bridewell ayrıca, şifrelemeyi tamamen atlayan sadece veri-çalma fidye yazılımı işlemlerinin sürekli evrimini gözlemledi. Bu yaklaşım, kuruluşların önemli para cezalarından ve uzun vadeli marka hasarından korktuğu günümüzün giderek düzenlenmiş gizlilik manzarasında özellikle etkilidir. Saldırganlar artık bu baskıyı daha etkili bir şekilde kullanacak şekilde gasp taktiklerini rafine ediyorlar.
Uzaktan erişim ve yama yönetimi hala zayıf bir bağlantı
Bridewell’in Coveware’den ilk çeyrek 2025 verileriyle uyumlu bilgiler, uzaktan erişim çözümlerinin (VPN’ler, RMMS) ve eşleştirilmemiş yazılım güvenlik açıklarının önde gelen saldırı vektörleri olarak kaldığını göstermektedir. Kimlik avı olayları azalıyor gibi görünse de, fidye yazılımı bağlı kuruluşlarına kimlik bilgileri satan erişim brokerleri tarafından kimlik avı artık dolaylı olarak kullanılmaktadır.
“Fidye yazılımı taktiklerinde net bir değişim görüyoruz. Sadece şifreleme saldırıları daha az etkili olduğunu kanıtlarken, veri hırsızlığı ve gasp daha başarılı ödeme sonuçlarına yol açıyor. Aynı zamanda, kuruluşlar artan düzenleyici baskı ve yaptırımları ihlal etme riski nedeniyle fidye ödemekte tereddüt ediyorlar” dedi. “Bu raporla hedefimiz, kuruluşların savunmalarını güçlendirmelerine ve siber saldırılara karşı daha fazla esneklik oluşturmalarına yardımcı olan eyleme geçirilebilir içgörüler sağlamaktır. Kalıcı ve gelişen tehdit aktörlerinin önünde kalmak kolay bir iş değildir, ancak düşmanca altyapı tarafından ortaya çıkan riskleri anlamak ve azaltmak, herhangi bir Robust Cybersecity stratejisinin temel bir bileşeni olarak kalmalıdır.”
Post Bridewell raporu, yalnız kurt fidye yazılımı aktörlerindeki artışın ilk önce BT güvenlik gurusu üzerinde ortaya çıktığını gösteriyor.