Avustralya ve ABD’nin yeni ortak siber güvenlik tavsiye belgesine göre, Play fidye yazılımının arkasındaki tehdit aktörlerinin Ekim 2023 itibarıyla yaklaşık 300 kuruluşu etkilediği tahmin ediliyor
Yetkililer, “Play fidye yazılımı aktörleri, verileri sızdırdıktan sonra sistemleri şifreleyerek çift gasp modeli kullanıyor ve Kuzey Amerika, Güney Amerika, Avrupa ve Avustralya’daki çok çeşitli işletmeleri ve kritik altyapı kuruluşlarını etkiledi” dedi.
Balonfly ve PlayCrypt olarak da adlandırılan Play, 2022’de ortaya çıktı ve Microsoft Exchange sunucularındaki (CVE-2022-41040 ve CVE-2022-41082) ve Fortinet cihazlarındaki (CVE-2018-13379 ve CVE-2020-12812) güvenlik açıklarından yararlanarak işletmelerin güvenliğini ihlal ediyor ve dosya şifreleyen kötü amaçlı yazılımları dağıtın.
Corvus’tan alınan verilere göre, fidye yazılımı saldırılarının, ilk enfeksiyon vektörleri olarak kimlik avı e-postalarını kullanmak yerine giderek daha fazla güvenlik açıklarından yararlandığını, Corvus’tan alınan verilere göre 2022’nin ikinci yarısında neredeyse sıfırdan 2023’ün ilk yarısında neredeyse üçte birine sıçradığını belirtmekte fayda var.
Yapay Zeka Destekli Tehditleri Sıfır Güvenle Yenmek – Güvenlik Profesyonelleri için Web Semineri
Günümüz dünyasında geleneksel güvenlik önlemleri bunu kesmeyecektir. Şimdi Sıfır Güven Güvenliği zamanı. Verilerinizi daha önce hiç olmadığı gibi koruyun.
Şimdi Katıl
Siber güvenlik firması Adlumin, geçen ay yayınlanan bir raporda, diğer tehdit aktörlerine “hizmet olarak” sunulduğunu ve hizmet olarak fidye yazılımı (RaaS) operasyonuna dönüşümünü tamamladığını açıkladı.
Grup tarafından gerçekleştirilen fidye yazılımı saldırıları, Active Directory sorgularını çalıştırmak için AdFind, ağ bilgilerini numaralandırmak için Grixba, antivirüs yazılımını devre dışı bırakmak için GMER, IOBit ve PowerTool ve yedekleme yazılımı ve yedekleme yazılımı hakkında bilgi toplamak için Grixba gibi genel ve özel araçların kullanılmasıyla karakterize edilir. bir makineye yüklenen uzaktan yönetim araçları.
Tehdit aktörlerinin ayrıca yanal hareket, veri sızdırma ve şifreleme adımları gerçekleştirdiği, istismar sonrası için Cobalt Strike, SystemBC ve Mimikatz’a yatırım yaptığı da gözlemlendi.
Ajanslar, “Play fidye yazılımı grubu, verileri sızdırdıktan sonra sistemleri şifreleyerek çift gasp modeli kullanıyor” dedi. “Fidye notları, ilk fidye talebini veya ödeme talimatlarını içermiyor; bunun yerine, kurbanlara tehdit aktörleriyle e-posta yoluyla iletişime geçmeleri talimatı veriliyor.”
Malwarebytes tarafından derlenen istatistiklere göre Play’in yalnızca Kasım 2023’te yaklaşık 40 kurban aldığı ancak akranları LockBit ve BlackCat’in (diğer adıyla ALPHV ve Noberus) önemli ölçüde gerisinde kaldığı söyleniyor.
Uyarı, ABD devlet kurumlarının, çalıntı oturum açma bilgileri ve izinsiz giriş aracıları (diğer adıyla ilk erişim aracıları) satın alarak ağlara ilk erişimi elde ettikten sonra saf gasp uğruna şifreleme tabanlı saldırılardan kaçındığı bilinen Karakurt grubu hakkında güncellenmiş bir bülten yayınlamasından birkaç gün sonra geldi. ), kimlik avı ve bilinen güvenlik kusurları.
Hükümet, “Karakurt kurbanları ele geçirilen makinelerin veya dosyaların şifrelendiğini bildirmediler; bunun yerine, Karakurt aktörleri verileri çaldıklarını iddia ettiler ve talep edilen fidyeyi ödemedikleri takdirde verileri açık artırmaya çıkarmak veya kamuya açıklamakla tehdit ettiler” dedi.
Gelişmeler aynı zamanda BlackCat fidye yazılımının, karanlık web sızıntı portallarının beş gün boyunca çevrimdışı kalmasının ardından bir kolluk kuvvetleri operasyonunun hedefi olabileceği yönündeki spekülasyonların ortasında geldi. Ancak e-suç örgütü, kesintinin donanım arızasından kaynaklandığını belirtti.
Dahası, NoEscape olarak bilinen başka bir yeni ortaya çıkan fidye yazılımı grubunun, etkili bir şekilde “fidye ödemelerini çalarak ve grubun web panellerini ve veri sızıntısı sitelerini kapatarak” bir çıkış dolandırıcılığı yaptığı ve LockBit gibi diğer çeteleri eski bağlı kuruluşlarını işe almaya teşvik ettiği iddia ediliyor.
Fidye yazılımı ortamının, ister kolluk kuvvetlerinin dış baskısı nedeniyle olsun, sürekli olarak gelişmesi ve değişmesi hiç de şaşırtıcı değil. Bu, BianLian, White Rabbit ve Mario fidye yazılımı çetelerinin halka açık finansal hizmet firmalarını hedef alan ortak bir gasp kampanyasındaki işbirliğiyle de kanıtlanıyor.
Resecurity geçen hafta yayınlanan bir raporda, “Bu işbirlikçi fidye kampanyaları nadirdir, ancak karanlık ağdaki birden fazla grupla işbirliği yapan ilk erişim aracılarının (IAB’ler) katılımı nedeniyle muhtemelen daha yaygın hale geliyor” dedi.
“Daha fazla işbirliğine yol açabilecek bir diğer faktör, siber suçlu diaspora ağları oluşturan kolluk kuvvetlerinin müdahaleleridir. Bu tehdit aktörü ağlarının yerinden edilmiş katılımcıları, rakiplerle işbirliği yapmaya daha istekli olabilir.”