Bir kontrol noktası yazılım şirketi ve dış siber risk yönetiminde önde gelen bir ses olan Cyberint’teki son Q3 fidye yazılımı raporunda, en son çeyrek, çeyrek 2024’ü, fidye yazılımı olaylarının oranlarının her zaman en yüksek seviyeye ulaştığında karşılaştırılmasına özellikle vurgu yaptık. Q3, 1209 vaka ile (önceki çeyrekte 1277’den aşağı)% 5,5 oranında hafif bir düşüş görürken, rakamlar hala üçüncü çeyrek 2024 ve önceki yıllardan daha yüksektir.
Raporumuzda açıklanan bazı temel eğilimler ve temalar.
Bir aile meselesi
Çarpıcı bir trend, en iyi 10 fidye yazılımı grubunun, tüm saldırıların sadece% 58,3’ünden sorumlu olması ve artan sayıda aktif siyah şapka grubunun devam eden yükselişine işaret etmesidir. Bu aynı zamanda, daha önce saldırıların geniş bir çoğunluğunu oluşturan Conti ve Lockbit gibi meşhur grupların azalan baskınlığını da yansıtır.
2022’den bu yana ilk kez, Lockbit artık çeyrek boyunca en üretken fidye yazılımı grubu değildi. Ransomhub adlı bir grup, toplam 195 kurbanla, Q3 fidye yazılımı vakalarının% 16,1’inden sorumlu şüpheli unvanı geçti. Lockbit, 85 başarılı saldırı ile üçüncü sıraya düştü, bu da bir buçuk yıldaki en düşük sayı.
Hangi grupların zirvede olduğuna bakılmaksızın, tüm zamanların en yüksek seviyesinde aktif fidye yazılımı gruplarının sayısıyla, işletmeler doğal olarak artan saldırı riski ile karşı karşıyadır. Gerçekten de, farklı fidye yazılımı grupları arasındaki yeniden canlandırılan rekabet, giderek daha sık görülen ihlalleri körükledi. Bu rakip çeteler, her zamankinden daha fazla ateş ve yoğunluğa sahip hedefler için yarışıyor ve kurumsal siber güvenlik ekipleri tarafında hataya çok az yer bırakıyor.
Bu çoğalan fidye yazılımı sınıfları, bir sonraki kurbanları için Web’i incelemeye devam ettikçe, küçük hatalar bile hızla büyük güvenlik olaylarına yol açabilir.
Yasal bir yanıt
Değişen manzara ve yeni büyük oyuncuların büyümesine rağmen, hükümetlerden ve kolluk kuvvetlerinin artan müdahalesi, bazı büyük fidye yazılım gruplarını uzak tutmaya yardımcı oluyor. Bununla birlikte, bu baskı bazı önemli oyuncuları önemli ölçüde zayıflatmış ve deneyimli çetelere maruz kalmaya devam ederken, daha küçük suç gruplarının saflarda yükselmesi için açıklıklar bırakmıştır. Yaratıcı yeni oyuncularla daha çeşitlendirilmiş bir manzara, birkaç büyük ismin egemen olduğu birinden daha tehdit edici olabilir.
Bu, yasal baskıların etkinliğini itibarsızlaştırmak değildir. Bu eylemler, birçok fidye yazılımı grubu için daha az elverişli bir ortam yaratmayı başardı, bu da hakimiyetlerinin eskisinden daha az sürdürülebilir olabileceğine işaret etti.
İzleme Eğilimleri
Son yıllarda, fidye yazılımı grupları giderek daha fazla Linux tabanlı sistemleri ve VMware ESXI sunucularını hedeflemekte ve bunları kurumsal altyapılarda değerli hedefler olarak kabul etmektedir. Bu sistemler genellikle tehlikeye girerse, daha yaygın olarak daha yaygın bir bozulmaya yol açabilecek kritik sanal makinelere (VM) ev sahipliği yapar.
Örneğin, Play Ransomware, bu sunucular kurumsal ortamlarda yaygın olarak kullanıldığından, VMware ESXI sunucularına özel olarak saldırmak için bir Linux varyantı geliştirdi. 2023’ün başlarından beri VMware, fidye yazılımı kampanyalarının önemli bir hedefi olmuştur ve iki yılı aşkın bir süredir bilinen bir kırılganlıktan yararlanmaktadır. Daha yeni sürümler kusuru yamalarken, daha eski, eşleştirilmemiş sistemler, otomasyon yoluyla neredeyse tamamen tespit edilebilen ve sömürülebilen bu kritik güvenlik açığına maruz kalır.
Benzer bir şekilde, CICADA3301 fidye yazılımı da VMware ESXI sunucularına saldırılar başlatırken, BlackByte, VMware ESXI’daki güvenlik açıklarını hedefleyerek, kimlik doğrulama bypass tekniklerini kullanan saldırıları başlatmak için taktiklerini uyarladı ve bu da eriyal makineleri uzaklaştırmasına izin verdi.
Bu eğilim muhtemelen işletmelerin kritik altyapıya ev sahipliği yapmak için Linux sistemlerine olan bağımlılığının bir yansımasıdır. Sanallaştırma ortamlarına daha fazla odaklanma, büyük ölçekli operasyonları tek bir saldırı ile etkileme potansiyeli tarafından da yönlendirilir, çünkü ESXI sunucularından ödün vermek, tek bir düşmüş sanallaştırılmış kaynağın çok sayıda sanallaştırılmış kaynağın şifrelemesine yol açabilir.
Diğer önemli eğilimler arasında özelleştirilmiş kötü amaçlı yazılımlar ve haksız amaçlar için meşru araçların kullanılması yer alır.
Örneğin, Blackbasta, daha kaçındıran ve modern güvenlik algılama mekanizmalarını atlamak için tasarlanmış özel kötü amaçlı yazılımlar benimserken, RansomHub, uç nokta tespiti ve yanıt (EDR) yazılımını devre dışı bırakmak için Kaspersky’nin TDSSKILler – ücretsiz bir virüs kaldırma aracı – gibi meşru araçlardan yararlanıyor. Bu, RansomHub’ın kötüye kullanım için izlenmesi daha az olan araçları kullanarak tehlikeye atılmış ortamlarda tespit edilmemiş ortamlarda çalışmasını sağlar.
Meşru bulut tabanlı araçlar da veri hırsızlığı için kullanılmaktadır. Her ikisi de kurban ağlarından veri verileri yakalanan ve Microsoft’un Azure Storage Explorer ve Azcopy araçlarını-meşru bulut tabanlı altyapı-çalınan bilgileri saklamak için kullanın.
Gelecek için çıkarımlar
Fidye yazılımı saldırılarının hızı, yavaşlama belirtisi göstermez.
Eğilimleri değiştirmeye ve yetkililerden artan baskıya rağmen, siber suçlular nihayetinde finansal olarak motive edilmektedir ve fidye yazılımı saldırıları kazançlı olmaya devam etmektedir. Bu çeteler daha başarılı ve iyi finanse edildikçe, sömürücü yetenekleri giderek daha sofistike hale gelir ve tahmin edilmesi veya önlenmesi daha zor hale gelir.
İşletmeler sadece geleneksel tehdit vektörleri-örneğin kimlik avı saldırıları, çalınan kimlik bilgileri veya internete dönük varlıklar içindeki güvenlik açıkları ile ilgili olarak korumalarını sürdürmekle kalmaz, aynı zamanda gittikçe çevik fidye yazılım gruplarından da yeni ortaya çıkan yaratıcılık ve sofistike olmaları gerekir.
Buna göre, işletmeler her zamankinden daha stratejik, kapsamlı ve güncel bir güvenlik duruşu benimsemelidir. Fidye yazılımı trendlerinin farkında kalmak, bunu yapmak için ilk adımdır.
Yazar hakkında
Adi Bleih, tehdit istihbaratı, olay müdahale alanları ve tehdit peyzajı, zeka ve siber saldırı teknikleri, ağ güvenliği ve azaltma stratejileri konusunda 7 yıllık deneyime sahip siber güvenlik araştırmacısıdır.